Случайно удалил каталог с файлами .doc и .pdf и теперь не могу восстановить. Складывается такое впечатление, что если удалил файлы с NTFS раздела, находясь в Linux, то это навсегда.
Что было предпринято?
Testdisks, Sleuth Kit, ntfsundelete - не находят файлы. Подключение веника к о.с. Windows c использованием EasyRecovery и R-Studio, также не принесли положительных результатов.
Подскажите, может кто сталкивался с данной проблемой.
GetDataBack for NTFS отлично решает подобные задачи. Она, правда, платная, но это обычно никого не останавливает 
aliaksei1818 wrote:
> Что было предпринято?
> Testdisks, Sleuth Kit, ntfsundelete - не находят файлы.
> Подключение веника к о.с. Windows c
> использованием EasyRecovery и R-Studio, также не
> принесли положительных результатов.
>
Можете ещё попробовать foremost.
Но странно, что даже R-Studio не находит. Считалась лучшей программой для
восстановления.
В том то и дело, что в основном всегда полагался на эту программу, но в итоге, находятся файла даже прошлогодней давности, а удаленные вчера как след простыл. Обычно стараюсь очень осторожно обращаться с NTFS разделами в Linux, но от случайностей никто не застрахован. Поэтому и возник данный вопрос, поскольку как-то сталкивался с этим по неосторожности и также ничего не получалось, но тогда особо этому внимание не придал из-за отсутствия категории особой важности.
В остальном, огромное спасибо, обязательно попробую, что Вы посоветовали и о результатах отпишусь.
Раз утилиты восстановления ничего не находят, есть подозрение что эти файлы для файловой системы небыли удалены, а были помещены в корзину. Поищите в корне раздела папку “.Trash”.
Да нет, корзина здесь не причем - удалялось с помощью krusader в настройках которого “удалить файлы”.
Значит на их место что-то легко и теперь ничего изменить нельзя.
Исключено, поскольку раздел диска сразу же был размонтирован.
Использование утилит: GetDataBack с применением глубокого анализа и foremost, результатов не принесли.
Решил поэкспериментировать и в качестве примера были взяты две флешки с файловой системой NTFS и FAT, в каждой из которых были закинуты по два файла .pdf. Одни файлы были удалены находясь в Linux, а другие в Windows. Для проверки были использованы следующие утилиты: foremost (Linux) и r-studio (Windows).
Результат:
- Файлы удаленные с помощью Linux:
NTFS: foremost – отрицательный, r-studio- отрицательный;
FAT: foremost – положительный, r-studio- положительный - Файлы удаленные с помощью Windows:
NTFS: foremost – положительный, r-studio- положительный;
FAT: foremost – положительный, r-studio- положительный.
Да, похоже придется смирится и впредь быть более осторожным.
aliaksei1818 wrote:
> Решил поэкспериментировать и в
> качестве примера были взяты две флешки
> с файловой системой NTFS и FAT
Очень познавательно. Надо иметь ввиду. Видимо, Linux особым образом работает
с NTFS. Можно поискать или поспрашивать на форуме:
http://tuxera.com/forum/viewforum.php?f=2
Lazy_Kent, спасибо за ссылку, пошарю там.
А ведь сколько раз говорили, что NTFS это зло… Ну если так нужен кроссплатформенный вариант- используйте** UDF**](http://romanrm.ru/udf), читаться будет и в винде, и в Linux, без всяких полушаманских примочек (типа NTFS-3G).
В общем, вопрос решен. Во всем виновата моя невнимательность. Теперь все по порядку.
Зайдя по вышеприведенной ссылки и покопавшись, обнаружил страничку c отчетами версий, в которых постоянно что-то фиксируют с MFT. Немного подумав, решил, а что если ntfs-3g некорректно работает с записями таблицы MFT. В этом случае как бы все объясняется, почему при удалении из о.с. Windows файлы находятся в обоих случаях и при этом сохраняется полное имя файла (в случае с ntfsundelete). Поэтому для решения данной задачи нужна была утилита для чтения данных без информации о структуре файловой системы. И тут вспомнил, что подобное реализовано в EasyRecovery и в результате выбора соответствующего параметра, файлы удаленные с флешки нашлись.
Продолжая далее насиловать свой мозг задался вопросом, почему же foremost ничего не нашел, ведь по сути дела, он также сам распознаёт файловую структуру известных ему типу файлов? В результате решил повторить эксперимент, но уже заполнив флешку нулями, дабы ничего не пропустить, поскольку информации после сканирования было больше десятка - может попросту пропустил нужный мне файл. Проделав вышесказанное и просканировав устр-во на наличие удаленных файлов, результат оказался положительным.
В заключении хотелось бы добавить, что если необходимо восстановить большое кол-во файлов, то Вам придется потратить уйма времени для разбирательства, что куда растусовать, надо этот файл или нет, дать при необходимости правильное имя, поскольку название файлов не соответствуют оригинальным и дается в виде множества цифр.
P.S. Забыл упомянуть про R-Studio, поскольку именно его брал для сравнения. После сканирования всегда присутствовала папка в которой находилось много файлов не имеющих соответствующих названий и расширений, и как оказалось это именно те файлы которые необходимы, но когда таких файлов много, а не один, тем более без расширения – сложно было сказать, что это именно те файлы.
aliaksei1818, хотелось бы услышать ваше мнение об эффективности линуксовых программ по восстановлению данных именно с NTFS. Какая из них, на ваш взгляд, работает лучше?
Я не специалист по восстановлению данных, но исходя из наблюдений на своем опыте могу сказать следующие:
- ntfsundelete - утилита хороша только в том случае, если раздел диска не был отформатирован или данные были удалены находясь в Windows, только в этом случае восстанавливаемая информация будет иметь соответствующие имя и расширение;
- sleuthkit - показала себя также как и ntfsundelete, но за исключением первой, способна работать и с др. файловыми системами;
- foremost - самая лучшая на мой взгляд, которой абсолютно наплевать был веник отформатирован или нет, и где были удалены файлы - все нашла и присвоило соответствующие расширение.
В общем, если веник не отформатирован или Вам известен приблизительный размер файла, удаленный с помощью Linux, тогда первые две утилиты. Если дела обстоят иначе, тогда foremost, но в отличии от предыдущих утилит всегда присваивает имя файла в виде множества цифр и сканирует на порядок дольше.
Результаты сканирования:
linux-nhn4:/ # ntfsundelete /dev/sdb1
Inode Flags %age Date Size Filename
---------------------------------------------------------------
27 FN.. 100% 2010-12-28 64512 <none>
28 FN.. 100% 2010-12-27 1071036 3.pdf
30 F..! 0% 1970-01-01 0 <none>
*****************
63 F..! 0% 1970-01-01 0 <none>
64 FN.. 100% 2010-12-27 892881 <none>
65 FN.. 100% 2010-12-27 994918 <none>
66 FN.. 100% 2011-02-18 29696 титульник.doc
Files with potentially recoverable content: 5
linux-nhn4:/ # fls -rd /dev/sdb1
-/r * 28-128-3: 3.pdf
-/r * 66-128-2: титульник.doc
-/r * 27-128-4: $OrphanFiles/OrphanFile-27
-/r * 64-128-2: $OrphanFiles/OrphanFile-64
-/r * 65-128-2: $OrphanFiles/OrphanFile-65
linux-nhn4:/ # foremost -vTt all -i /dev/sdb1
Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus
Audit File
Foremost started at Fri Oct 28 01:09:51 2011
Invocation: foremost -vTt all -i /dev/sdb1
Output directory: /home/aliaksei/output_Fri_Oct_28_01_09_51_2011
Configuration file: /etc/foremost.conf
Processing: /dev/sdb1
|------------------------------------------------------------------
File: /dev/sdb1
Start: Fri Oct 28 01:09:51 2011
Length: 1 GB (2006936064 bytes)
Num Name (bs=512) Size File Offset Comment
********0: 01797124.jpg 870 KB 920127987
1: 01813504.jpg 970 KB 928514547
2: 01815576.jpg 1 MB 929575411
3: 01815448.ole 5 MB 929509376
4: 01829888.ole 5 MB 936902656
5: 01815541.zip 18 KB 929557018
6: 01829914.zip 18 KB 936916382
7: 01797124.pdf 871 KB 920127488
8: 01813504.pdf 971 KB 928514048
9: 01815576.pdf 1 MB 929574912
************|
Finish: Fri Oct 28 01:13:20 2011
10 FILES EXTRACTED
jpg:= 3
ole:= 2
zip:= 2
pdf:= 3
------------------------------------------------------------------
Foremost finished at Fri Oct 28 01:13:21 2011