工具: hexedit、fdisk
下文内容操作均在root环境下完成。
hexedit:
在linux上,经常会使用hexedit来修改程序的16进制代码。而fdisk这里就不介绍了。
现在我们走进磁盘的世界,看看磁盘它对数据做点了什么吧。
首先,在终端下使用root权限,来运行下命令:
Command: fdisk -l
/dev/sdb1是今天的主角,从图片很清晰地看到一些相关数据,比如磁盘的size,、sector、I/O size等等。
磁盘格式为ext4,而非MS上的vfat32和NTFS格式,在文章的结尾贴上FAT32的图片。
***步:
运行fdisk,使用专家模式,来备份Partition table。
ext4的partition table非常简单,一般备份partition table为ext4.img。备份是为了避免数据恢复中被破坏。
第二步:
首先在target sdb1上执行剪切的命令操作,把sdb1上的文件移动到电脑硬盘上,执行完成后,使用hexedit 来打开sdb1。
被剪切的文件名:usb.png
Command : hexedit -s /dev/sdb1
图片中可以看到文件名和它所在的sector, 是不是发现了图片的设备是sdc1?由于磁盘的自动挂载发生了dev的改变,而数据是不会随着磁盘的dev变化而变化的。这里已经找到了文件名的所在,接下来,需要找到文件header。
如何找到文件头呢? 可以利用hexedit进行hex search,如果是要着ASCII,可以按下TAB切换到ASCII区域。
文件的大小决定了文件在磁盘中所占用的sector 数,1 sector==512 bytes。在图中,显示了文件header offset和sector。
提取hex值,写入文件。
恢复后的图片:
上看着很简单吧,它只是单文件的剪切操作与数据恢复。这里提醒下各位:磁盘中保存的数据,不是删除了可以恢复,被剪切掉的数据一样可恢复。
下面我们来看看从磁盘删除数据后,如何来操作呢?
在磁盘上执行delete命令来删除一个名为1.gif的文件,操作如下:
图片可以看到文件header到文件end的sector 的变化,header sector: 264056 , end sector: 264057,文件大小在1K, 图片很小。
创建个新文件,然后再执行delete操作,看看磁盘数据变化。
文件header sector : 264056, end sector: 264061 , ***次执行删除的文件header sector: 264056 ,end sector : 264057, 这样可以看到***次删除的数据被覆盖掉,而保留了第二此删除的数据。
这里操作是对磁盘单一文件进行数据恢复和其磁盘中的数据变化进行论证。接下来我们来看看双文件的操作。
磁盘中存在两个不同类型的文件。
文件名:partition.zip
文件名:cab.ico
***个文件的header secotor:264056,end sector:264058
第二个文件header sector:264064,end sector:264076。发现***个文件的end sector与第二个文件的header sector相差多个sector,那么中间的差值是什么呢?
可以看到中间的差值全部以00填充。到这里我们来总结下这次在linux上的实践操作:
ext4 file system
执行 剪贴
file name : usb.png sector 67120
file header : sector 264064 file end: sector 264076
执行 删除
file name : 1.gif sector 67112 (覆盖)
file header: start : sector 264056 end: sector 264057 (覆盖)
file name: 56.jpg sector 67112
file header:start: sector 264056 end: sector 264061
当单文件时,执行删除时,覆盖上一次被删除的数据。
储存文件
(1) file name : partition.zip sector 67112
file header: start sector 264056 end sector 264058
(2) file name : cab.ico sector 67112
file header: start sector 264064 end sector: 264068
剪切区:sector 264064
删除区: sector 264056
储存区:与删除区共存
储存区: 当单文件时,储存文件覆盖删除区数据。
数据恢复:当多文件时,执行删除时,删除区保留数据hex,如果建立新文件数据时,将覆盖被删除数据hex。
附图:
FAT32磁盘格式图:
以上是linux系统数据恢复的方法是什么的详细内容。更多信息请关注PHP中文网其他相关文章!
热AI工具
Undresser.AI Undress
人工智能驱动的应用程序,用于创建逼真的裸体照片
AI Clothes Remover
用于从照片中去除衣服的在线人工智能工具。
Undress AI Tool
免费脱衣服图片
Clothoff.io
AI脱衣机
Video Face Swap
使用我们完全免费的人工智能换脸工具轻松在任何视频中换脸!
热门文章
热工具
禅工作室 13.0.1
功能强大的PHP集成开发环境
DVWA
Damn Vulnerable Web App (DVWA) 是一个PHP/MySQL的Web应用程序,非常容易受到攻击。它的主要目标是成为安全专业人员在合法环境中测试自己的技能和工具的辅助工具,帮助Web开发人员更好地理解保护Web应用程序的过程,并帮助教师/学生在课堂环境中教授/学习Web应用程序安全。DVWA的目标是通过简单直接的界面练习一些最常见的Web漏洞,难度各不相同。请注意,该软件中
mPDF
mPDF是一个PHP库,可以从UTF-8编码的HTML生成PDF文件。原作者Ian Back编写mPDF以从他的网站上“即时”输出PDF文件,并处理不同的语言。与原始脚本如HTML2FPDF相比,它的速度较慢,并且在使用Unicode字体时生成的文件较大,但支持CSS样式等,并进行了大量增强。支持几乎所有语言,包括RTL(阿拉伯语和希伯来语)和CJK(中日韩)。支持嵌套的块级元素(如P、DIV),
SublimeText3 英文版
推荐:为Win版本,支持代码提示!
SublimeText3汉化版
中文版,非常好用
