需要从我试图从rootkit病毒修复mbr的数据硬盘中恢复数据。
在我开始说出我在这里的情况之前,请知道我将永远感激任何能帮我解决这个烂摊子的人。我有几年辛苦工作的照片。我是一个半专业摄影师,我的硬盘包含大约1.5 TB的照片数据。再加上我整个音乐库的100 on,以及我所有的dvd,我花了很多时间把它放到我的硬盘上。但我最关心的是我的照片,它们是不可替代的。
简而言之,这里发生了什么:我一直在使用backblaze备份我的数据,这是一个用于windows的在线备份。大约3个月前,我决定让一个服务器使用丛来处理我的文件,并认为Ubuntu是最好的方式。所以我利用这个备份方法,在这个灰洞备份程序上设置(2) 2TB硬盘驱动器和(1) 1TB硬盘驱动器。
就在那时我得到了一个rootkit。这件事很恶心,我想经过两个月的尝试,我不得不把我的脚部通货通畅,但我仍然感染了这种病毒。我不得不重新格式化我的所有硬盘驱动器,把所有的东西都备份到一个硬盘上,几乎全部填满它(一个2TB硬盘)。我仍然没有摆脱这种病毒,那是难以置信的。最后我抓到了。它嵌入在我的网络以太网卡中。任何阅读这篇文章的人都应该注意,任何嵌入在里面的东西都可以并且会感染你的路由器,所有的局域网,甚至通过生物系统本身的通货再膨胀在你的电脑上!
不管怎么说,在我似乎摆脱了这个东西之后,我的硬盘上还有我的文件。我不想再感染我的机器,所以我试着用一个叫做testdisk的工具重写MBR。
大错特错
我不知道我在做什么。现在我看不清我的信息了!
这是好消息吗?在testdisk做了它的事情(包括我分析驱动器,并使用写命令进行破坏,它只需1秒才能完成)。意思是-我没有坐着用"dd“写0's的5个小时的过程。我很快就做了一件小事。因此,我认为数据还必须在硬盘上。
以下是我所知道的:
- 这个驱动器是一个数据驱动器,没有操作系统。我在另一个驱动器上使用ubuntu作为操作系统。
- 格式为ext3或ext4
- 大小=2 TB
- 档案=不可替代,我的一生都在工作--没有恼怒。
而且- backblaze已经没有我的文件了,因为已经超过30天了。我已经写了我所有的土地备份与0's,因为rootkit。当这种情况发生时,这个硬盘是并且是我文件的唯一来源。巧合的是,这是我多年来唯一一次没有后援。
下面是fdisk -l的副本/粘贴
Disk /dev/sda: 2000.4 GB, 2000398934016 bytes
255 heads, 63 sectors/track, 243201 cylinders, total 3907029168 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 4096 bytes
I/O size (minimum/optimal): 4096 bytes / 4096 bytes
Disk identifier: 0x0006a14b
Device Boot Start End Blocks Id System
/dev/sda1 * 63 3907024064 1953512001 83 Linux
Partition 1 does not start on physical sector boundary.和伊索
*-scsi:0
physical id: 2
logical name: scsi2
capabilities: emulated
*-cdrom
description: DVD writer
physical id: 0.0.0
bus info: scsi@2:0.0.0
logical name: /dev/cdrom
logical name: /dev/sr0
capabilities: audio cd-r cd-rw dvd dvd-r
configuration: signature=643a3365 status=ready
*-disk
description: ATA Disk
product: ST2000DM001-1CH1
vendor: Seagate
physical id: 0.1.0
bus info: scsi@2:0.1.0
logical name: /dev/sda
version: CC24
serial: W1E2L5K7
size: 1863GiB (2TB)
capabilities: partitioned partitioned:dos
configuration: ansiversion=5 sectorsize=4096 signature=0006a14b
*-volume
description: EXT3 volume
vendor: Linux
physical id: 1
bus info: scsi@2:0.1.0,1
logical name: /dev/sda1
version: 1.0
serial: 05ea2f85-06fd-446c-a885-30614d53630c
size: 1863GiB
capacity: 1863GiB
capabilities: primary bootable journaled extended_attributes large_files recover ext3 ext2 initialized
configuration: created=2013-03-27 07:57:02 filesystem=ext3 label=foo modified=2013-03-27 08:11:50 mounted=2013-03-27 08:11:50 state=clean请帮忙,我能做些什么?我害怕再用测试盘把它搞砸。我只想找回文件。我不知道他们是怎么走的。
非常感谢-
回答 3
Ask Ubuntu用户
发布于 2013-05-16 08:56:25
我认为,除其他外,testdisk应该作为恢复数据的工具。但是,首先也是最重要的--在做任何其他事情之前,您需要保护数据的最后一份副本。首先,从这里开始,只安装只读。(您可以使用ro选项重新装入它,请参见man mount)
我建议您自己购买一个大型(> 2TB )磁盘,并复制当前磁盘的完整映像:dd if=/dev/sda of=disk-image.dd其中/dev/sda是您的只读安装的所有重要磁盘,而dis-Image.dd是新磁盘上的一个文件,请确保2TB是免费的。
testdisk也可以处理映像,并且应该能够对分区表进行排序。带着问题和评论回来,我们可以从这里.
开始阅读的一个好地方是在这里:http://epyxforensics.com/node/36在它的整个过程中,按照我前面的建议,从创建一个dd副本开始,并继续处理这个副本。
你有没有给自己安装了一台带有测试盘的考试计算机,还可能安装了六合彩?
Ask Ubuntu用户
发布于 2013-05-16 08:21:43
让“扩展”尝试恢复您的文件
Ask Ubuntu用户
发布于 2014-10-20 22:37:10
试试Piriform的勒克瓦 (CCleaner的制造者)。这个工具是免费的。在v1.51.1063中,他们增加了对ext2 & ext3文件系统的支持。
该工具将扫描磁盘并尝试恢复已从磁盘中删除的单个文件。这个工具为我所认识的几个人保存了关键数据,他们的业务依赖于他们的数据(即Quickbook数据),因为他们把所有东西都丢失给了严重损坏的磁盘,或者格式化了磁盘。
我知道Recuva是一个只能在Windows和Mac上使用的工具,但是这个工具现在可以用于典型的Linux文件系统格式,所以我认为这里的信息在Ubuntu &A站点中很有用;特别是作为解决这个问题的一种解决方案(不过,我相信他/她到现在已经找到了解决方案)。
https://askubuntu.com/questions/296109
复制相似问题
腾讯云开发者
