Программы

Статьи

SSD и USB flash drive общие вопросы, ремонт и восстановление, технологии

Восстановление удалённых файлов в Linux (Использование Scalpel, extundelete, Foremost)

2026-04-24  |  Восстановление данных и ремонт

При необходимости восстановления данных, утраченных на разделах Linux, первым инструментом рекомендуется использовать утилиту PhotoRec. Подробное руководство по её применению доступно по ссылке: PhotoRec: восстановление удалённых и потерянных фотографий и файлов на картах памяти и жёстких дисках. Если PhotoRec не дал необходимого результата, можно обратиться к альтернативным специализированным инструментам, рассматриваемым в данной статье.

PhotoRec

Scalpel: восстановление по сигнатурам

Scalpel — утилита с открытым исходным кодом, предназначенная для восстановления файлов на основе базы данных заголовков и сигнатур окончания. Способна извлекать данные как непосредственно с блочных устройств, так и из образов дисков. Конфигурация позволяет пользователю точно задавать восстанавливаемые типы файлов. Благодаря гибкости инструмент применяется не только для восстановления, но и в задачах цифровой криминалистики.

Установка Scalpel

Для установки в дистрибутивах Ubuntu, Linux Mint и Debian достаточно выполнить:

sudo apt-get install scalpel

После установки необходимо определить расположение конфигурационного файла scalpel.conf:

locate scalpel.conf

Обычно он находится в /etc/scalpel/scalpel.conf или /etc/scalpel.conf. В исходном состоянии все строки закомментированы. Для работы требуется раскомментировать форматы файлов, подлежащих восстановлению. Полная разблокировка всего файла не рекомендуется, так как это приведёт к значительному времени сканирования и большому количеству ложных результатов.

Например, для восстановления только изображений JPEG раскомментируем соответствующую секцию:

# GIF and JPG files (very common)
gif y 5000000 x47x49x46x38x37x61 x00x3b
gif y 5000000 x47x49x46x38x39x61 x00x3b
jpg y 200000000 xffxd8xffxe0x00x10 xffxd9

Запуск восстановления с указанием исходного устройства (/dev/sda1) и пустой директории для вывода:

sudo scalpel /dev/sda1 -o output

Параметр -o задаёт директорию, куда будут сохранены восстановленные файлы. Директория должна существовать и быть пустой, иначе программа завершится с ошибкой. Пример вывода процесса:

Scalpel version 1.60
Written by Golden G. Richard III, based on Foremost 0.69.
Opening target "/dev/sda1"
Image file pass 1/2.
/dev/sda1: 6.1% |***** | 6.6 GB 39:16 ETA

Длительность сканирования зависит от объёма обрабатываемого устройства и производительности системы.

extundelete: восстановление на ext3/ext4

extundelete — специализированная утилита для восстановления файлов, удалённых с разделов ext3 и ext4. Она не восстанавливает жёсткие или символические ссылки, однако способна восстановить целевой файл, на который ссылки указывают. Расширенные атрибуты файлов не сохраняются. Официальный сайт: http://extundelete.sourceforge.net

Установка extundelete

Установка в Debian-подобных системах выполняется командой:

sudo apt-get install extundelete

Подготовка к восстановлению

Сразу после обнаружения потери данных необходимо отмонтировать затронутый раздел:

umount /dev/

или переключить его в режим «только чтение»:

mount -o remount,ro /dev/

Рекомендуется предварительно создать посекторную копию раздела:

dd bs=4M if=/dev/ of=partition.backup

Восстановление выполняется с расположением каталога назначения на другом физическом разделе. Перейдите в нужный каталог:

cd /<путь_к_каталогу_куда_восстанавливать_данные>

Примеры восстановления

Восстановление конкретного файла по известному пути:

sudo extundelete /dev/ --restore-file /<путь к файлу>/<имя_файла>

Восстановление содержимого целой директории:

sudo extundelete /dev/ --restore-directory /<путь_к_директории>

Восстановление по временным критериям (например, файлы, удалённые после определённой даты):

sudo extundelete --after <дата> /dev/ --restore-directory /<путь_к_директории>

Дату необходимо указать в формате UNIX-времени, получить которое можно командой:

date -d "March 28 19:34" +%s

Стоит учитывать, что некоторые файлы могут быть восстановлены с изменёнными именами и расширениями, при этом само содержимое остаётся корректным.

Foremost: восстановление по сигнатурам для начинающих

Foremost — инструмент для поиска и восстановления данных на основе анализа сигнатур (заголовков). Он хорошо зарекомендовал себя для восстановления изображений и скриншотов с повреждённых карт памяти и USB-флеш-накопителей. Домашняя страница: http://foremost.sourceforge.net

Установка Foremost

Установка в Debian/Ubuntu/Mint:

sudo apt-get install foremost

Встроенные форматы

Foremost восстанавливает файлы согласно типам, заданным ключом -t. Допустимые типы и их описания приведены ниже. Встроенная поддержка включает:

Тип Описание
jpg Форматы JFIF и Exif, используемые в современных цифровых камерах.
gif
png
bmp Формат Windows BMP.
avi
exe Исполнимые файлы Windows PE, DLL и EXE с временем компиляции.
mpg Большинство MPEG файлов (должны начинаться с 0x000001BA).
mp4
wav
riff AVI и RIFF; быстрее, чем запуск по отдельности.
wmv Также извлекает WMA из-за схожести формата.
mov
pdf
ole Файлы OLE (PowerPoint, Word, Excel, Access, StarWriter).
doc Только документы MS Office; эффективнее использовать ole .
zip Включая .jar, документы OpenOffice и Office 2007 XML (PPTX, DOCX, XLSX).
rar
htm
cpp Определение исходного кода C (возможны ложные срабатывания).
all Запуск всех предопределённых методов (по умолчанию, если -t не указан).

Ключевые опции Foremost

  • -V — показать версию.
  • -t — тип восстанавливаемых файлов (через запятую).
  • -d — включить обнаружение блоков косвенной адресации (файловые системы UNIX).
  • -i — файл ввода (устройство или образ).
  • -o — директория вывода (по умолчанию output).
  • -c — альтернативный конфигурационный файл.
  • -q — быстрый режим: поиск только по границам 512-байтовых секторов.
  • -Q — тихий режим (подавление сообщений).
  • -v — подробный режим (рекомендуется).
  • -a — записывать все заголовки без проверки на повреждения.
  • -w — только аудит, без извлечения файлов.
  • -b — размер блока (по умолчанию 512).
  • -k — размер куска для ускорения обработки при достаточной оперативной памяти.
  • -s — пропуск указанного числа блоков перед началом поиска.

Примеры использования Foremost

Восстановление документов и изображений из образа диска:

root@kali:~# foremost -t doc,jpg,pdf,xls -i image.dd
Processing: image.dd
|*|
root@kali:~# ls output/
audit.txt jpg pdf

Поиск JPEG с пропуском первых 100 блоков:

foremost -s 100 -t jpg -i image.dd

Генерация только файла аудита с выводом на экран:

foremost -av image.dd

Запуск для всех определённых типов:

foremost -t all -i image.dd

Поиск GIF и PDF:

foremost -t gif,pdf -i image.dd

Поиск объектов OLE и JPEG на UNIX-системе с подробным выводом:

foremost -vd -t ole,jpeg -i image.dd

Запуск с параметрами по умолчанию:

foremost image.dd

Практический пример восстановления изображений с устройства /dev/sdb в каталог ~/out_dir:

sudo foremost -t jpg,gif,png,bmp -i /dev/sdb -o ~/out_dir

Восстановление файла, открытого в процессе

Если удалённый файл всё ещё используется какой-либо программой (например, воспроизводится медиаплеером) и известен его путь, можно попытаться восстановить данные через дескриптор процесса. Сначала определяем PID и номер файлового дескриптора:

lsof|grep "/путь/до/файла" progname 5559 user 22r REG 8,5 1282410 1294349 /path/to/file

Получив PID (5559) и дескриптор (22), копируем содержимое:

cp /proc/5559/fd/22 restored.file

Если этот способ не дал результата, следует немедленно размонтировать файловую систему или переключить её в режим только чтения, чтобы предотвратить перезапись данных.


Прочее :