besoin de récupérer des données à partir d'un disque dur de données sur lequel j'ai utilisé testdisk sur dans ma tentative de réparer mbr à partir d'un virus rootkit

Avant de commencer à dire quelle est ma situation ici, sachez que je serais à jamais reconnaissant pour tous ceux qui peuvent m'aider avec ce gâchis. J'ai ici des photos d'années et d'années de travail minutieux. Je suis un photographe semi-professionnel et mon disque dur contient environ 1,5 To de données de photos. Plus 100 Go de toute ma bibliothèque musicale et tous mes DVD, j'ai pris le temps de basculer sur mon disque dur. Mais mes photos me préoccupent le plus, elles ne sont pas remplaçables.

Maintenant, voici ce qui s'est passé: j'ai toujours eu une sauvegarde de mes données en utilisant Backblaze, qui est une sauvegarde en ligne pour Windows. J'ai décidé il y a environ 3 mois que je voulais obtenir un serveur pour mes fichiers en utilisant plex et j'ai décidé qu'Ubuntu était la meilleure solution. J'utilisais donc cette méthode de sauvegarde en utilisant quelque chose appelé "greyhole" et en train de configurer (2) disques durs de 2 To et (1) disque dur de 1 To sur ce programme de sauvegarde de greyhole.

C'est alors que j'ai obtenu un rootkit. Cette chose était méchante et je pense qu'après 2 mois de tout essayer, j'ai dû reflasher mon bios et TOUJOURS eu ce virus. J'ai dû reformater tous mes disques durs et tout sauvegarder sur 1 disque dur en le remplissant presque entièrement (un disque dur de 2 To). Je ne me suis toujours pas débarrassé de ce virus c'était incroyable. Finalement, je l'ai attrapé. Il était intégré à ma carte Ethernet réseau. Quiconque lit ceci devrait prendre en compte que tout ce qui y est intégré peut infecter votre routeur, tout votre LAN et restera sur votre ordinateur même en reflasher le bios lui-même!

Quoi qu'il en soit, après avoir semblé me ​​débarrasser de la chose, j'avais toujours mes fichiers sur mon disque dur. Je ne voulais pas réinfecter mes machines, j'ai donc essayé de réécrire le MBR en utilisant un utilitaire appelé testdisk.

GROSSE ERREUR

Je n'avais aucune idée de ce que je faisais. Et maintenant je ne peux pas lire mes informations!

Voici la bonne nouvelle? Après que testdisk ait fait sa chose (qui consistait à analyser le lecteur et à utiliser la commande WRITE pour faire les dégâts, cela n'a pris qu'une seconde pour que cela soit fait. sur le lecteur avec "dd". Ce fut une petite chose rapide que j'ai fait. Donc pour cette raison, je pense que les données doivent encore être sur le lecteur.

Voici ce que je sais:

• le lecteur est un lecteur de données, pas de système d'exploitation. J'ai utilisé Ubuntu comme système d'exploitation sur un autre lecteur.
• formaté en ext3 ou ext4
• taille = 2 To
• fichiers = irremplaçables, toute ma vie fonctionne - pas d'exagération.

Aussi - backblaze n'a plus mes fichiers car cela fait plus de 30 jours. J'ai écrasé toutes mes autres sauvegardes avec des 0 à cause du rootkit. Ce disque dur était et est la seule source de mes fichiers au moment où cela s'est produit. Par coïncidence, c'est la seule fois où je suis sans sauvegarde depuis de nombreuses années.

Voici un copier / coller de fdisk -l

Disk /dev/sda: 2000.4 GB, 2000398934016 bytes
255 heads, 63 sectors/track, 243201 cylinders, total 3907029168 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 4096 bytes
I/O size (minimum/optimal): 4096 bytes / 4096 bytes
Disk identifier: 0x0006a14b

   Device Boot      Start         End      Blocks   Id  System
/dev/sda1   *          63  3907024064  1953512001   83  Linux
Partition 1 does not start on physical sector boundary.

Et lshw

*-scsi:0
          physical id: 2
          logical name: scsi2
          capabilities: emulated
        *-cdrom
             description: DVD writer
             physical id: 0.0.0
             bus info: scsi@2:0.0.0
             logical name: /dev/cdrom
             logical name: /dev/sr0
             capabilities: audio cd-r cd-rw dvd dvd-r
             configuration: signature=643a3365 status=ready
        *-disk
             description: ATA Disk
             product: ST2000DM001-1CH1
             vendor: Seagate
             physical id: 0.1.0
             bus info: scsi@2:0.1.0
             logical name: /dev/sda
             version: CC24
             serial: W1E2L5K7
             size: 1863GiB (2TB)
             capabilities: partitioned partitioned:dos
             configuration: ansiversion=5 sectorsize=4096 signature=0006a14b
           *-volume
                description: EXT3 volume
                vendor: Linux
                physical id: 1
                bus info: scsi@2:0.1.0,1
                logical name: /dev/sda1
                version: 1.0
                serial: 05ea2f85-06fd-446c-a885-30614d53630c
                size: 1863GiB
                capacity: 1863GiB
                capabilities: primary bootable journaled extended_attributes large_files recover ext3 ext2 initialized
                configuration: created=2013-03-27 07:57:02 filesystem=ext3 label=foo modified=2013-03-27 08:11:50 mounted=2013-03-27 08:11:50 state=clean

Aidez-moi, que puis-je faire? J'ai peur de tout gâcher avec testdisk. Je veux juste récupérer les fichiers. Je ne vois pas comment ils ont disparu.

Merci beaucoup-

Pour récupérer les données d'une image sur un lecteur USB externe, voici les étapes nécessaires:

1. Arrêtez d'utiliser le lecteur endommagé.
2. Ayez un ou des disques externes prêts à contenir deux fois plus de données que la taille de votre disque endommagé. Formater avec un système de fichiers capable de contenir un fichier aussi volumineux que celui qui sera créé à partir du lecteur d'origine (par exemple ext4)
3. Démarrez Ubuntu à partir d'une session en direct ( "Essayez Ubuntu" ).
4. Montez votre disque dur externe à l'aide de Nautilus.
5. Vérifiez le point de montage de votre disque externe.
   par exemple avec Propriétés -> Emplacement dans le menu contextuel.

6. Vérifiez l'emplacement de votre disque endommagé avec l'une de ces commandes dans un terminal

   sudo fdisk -l
   sudo blkid
   

7. Créez une image de votre disque endommagé

   sudo dd if=/dev/sdX of=/mountpoint/DRIVENAME/rescue.dd
   

   Remplacez-le sdXpar votre disque endommagé (par exemple sda) ou votre partition (par exemple sda1). Remplacez /mountpoint/DRIVENAME/par le chemin réel où votre clé USB a été montée.

   _{Ce n'est que dans le cas où votre lecteur endommagé ( sdX) est égal à la taille de votre lecteur externe ( sdY) que vous pouvez cloner le lecteur ( sudo dd if=/dev/sdX of=/dev/sdY) pour effectuer le sauvetage des données sur un lecteur externe cloné. Pourtant, travailler sur une image comme indiqué ci-dessus est une approche beaucoup plus sûre.}

   Il est essentiel à ce stade d'obtenir la ddcommande correctement. Si vous avez donné une mauvaise entrée, of=vous risquez d'endommager toutes les données qui y existaient.

8. Installez TestDisk sur votre système en direct comme cela a été développé dans ma réponse ci-dessous:

   • Comment récupérer mes partitions Windows accidentellement perdues après l'installation d'Ubuntu?

9. Lisez le guide génial et concis des créateurs de TestDisk pour récupérer.

10. Si votre disque est énorme, montez un autre disque / partition pour contenir les données récupérées. Notez ce point de montage pour testdisk.

11. Exécutez testdisk sur l'image de votre lecteur:

    cd /mountpoint/DRIVENAME/
    sudo testdisk rescue.dd
    

12. Enregistrez les répertoires et fichiers récupérés sur votre lecteur / partition de sauvegarde (donnez à testdisk le point de montage de ce lecteur comme emplacement de stockage au cas où il serait différent de celui de l'image).
13. Vérifiez que vos données sont là.
14. Démontez tous les lecteurs ou arrêtez la session en direct.

Si nous n'avons pas réussi à récupérer nos fichiers, nous pouvons également exécuter PhotoRec qui a été installé avec la suite TestDisk pour récupérer des fichiers individuels (mais les autorisations de noms de fichiers et les répertoires seront perdus).

Votre lecteur endommagé n'est toujours pas touché. Nous pouvons même laisser ce disque être récupéré par un service professionnel au cas où nous échouerions avec les étapes ci-dessus.

Je pense, entre autres, que testdisk devrait fonctionner comme un outil pour récupérer vos données. Cependant, avant tout - avant de faire quoi que ce soit d'autre, vous devez conserver votre dernière copie des données. Tout d'abord, montez-le uniquement en lecture à partir d'ici. (Vous pouvez le remonter avec l'option ro, voir man mount)

Je vous suggère de vous procurer un grand disque (> 2 To) et de copier une image complète de votre disque actuel: dd if=/dev/sda of=disk-image.ddoù / dev / sda est votre disque monté en lecture seule et disk-image.dd est un fichier sur le nouveau disque, assurez-vous qu'il y a 2 To gratuits.

testdisk fonctionnera également sur une image et devrait être capable de trier la table de partition. Revenez avec des questions et des commentaires et nous pouvons le reprendre à partir d'ici ...

Un bon endroit pour commencer la lecture est ici: http://epyxforensics.com/node/36 Dans sa marche, il commence par faire une copie dd comme je l'ai suggéré ci-dessus et continue de travailler sur la copie.

Avez-vous un ordinateur d'examen avec testdisk, gparted et peut-être hexedit installé?

Essayez "extundelte" pour récupérer vos fichiers

Essayez Recuva par Piriform (créateur de CCleaner ). L'outil est gratuit. Avec la v1.51.1063, ils ont ajouté la prise en charge des systèmes de fichiers ext2 et ext3.

L'outil analysera un disque et tentera de récupérer des fichiers individuels qui ont été supprimés du disque. Cet outil a enregistré des données critiques pour quelques personnes que je connais dont l'entreprise dépendait de leurs données (par exemple, les données Quickbooks) après avoir tout perdu sur un disque fortement corrompu ou après avoir fait formater le disque.

Je sais que Recuva est un outil uniquement disponible sur Windows et Mac, mais l'outil peut désormais être utilisé sur des formats de système de fichiers Linux typiques, j'ai donc pensé que les informations étaient utiles ici dans un site de questions / réponses d'Ubuntu; en particulier comme une solution à la question (bien que, je suis sûr qu'il / elle a trouvé une solution à ce jour).