bezpieczeństwo
Odzyskiwanie danych
 sposoby i przegląd
narzędzi
Michał Niwicki
a pewno każdy z Was sta- tykamy się z fizycznym uszkodzeniem
nął lub stanie przed proble- jednej z optycznych warstw na skutek
mem odzyskania danych. zarysowania.
NZazwyczaj w momencie, W obu sytuacjach, gdy dochodzi do
w którym uświadamiamy sobie, że stra- utraty części (kilku lub kilkudziesię-
ciliśmy istotne pliki, nie widzimy szansy ciu bajtów) pliku lub systemu plików,
na ich odratowanie i nie podejmuje- system komunikuje nam, że odczyt
my żadnych działań. Spotykamy się z urządzenia jest niemożliwy i zaprze-
z dwiema sytuacjami. Pierwsza wiąże staje dalszych prób dostępu do danych.
się z fizycznym uszkodzeniem nośni- Spróbujmy zilustrować przykładem
ka danych (twardego dysku, dyskiet- zaistniały problem. Posiadamy płytę,
ki, płyty CD/DVD), co uniemożliwia na której znajduje się dwugodzinny film
nam prawidłowe odczytanie zawarto- w pliku o łącznej objętości 690 mega-
ści całego pliku. Druga to taka, w której bajtów. Na skutek fizycznego uszkodze-
umyślnie lub nieumyślnie skasowaliśmy nia (przypadkowe zarysowanie płyty)
z dysku potrzebny nam plik i chcemy go nie jest możliwy odczyt kilku ostatnich
odzyskać. W obu przypadkach istnieją bajtów pliku, w efekcie czego program
sposoby i narzędzia pozwalające na cał- odtwarzający przerywa działanie przed
kowite lub częściowe odzyskanie utra- najciekawszym fragmentem filmu.
conych danych. Wiemy lub domyślamy się, że uszko-
W niniejszym artykule dokonamy dzeniu uległo jedynie kilka sekund cen-
przeglądu kilku popularnych aplika- nego nagrania, natomiast kilkanaście
cji służących do odzyskiwania danych pozostałych minut nadal znajduje się na
 uszkodzonych bądz
usuniętych płycie. Stajemy przed problemem, jak
z naszego komputera. zmusić program do odtworzenia tego,
co znajduje się za uszkodzonym obsza-
Fizyczne uszkodzenie rem. Innymi słowy, chcemy, aby pro-
nośnika gram nie przerywał działania w przypad-
Zanim przejdziemy do omówienia spo- ku, w którym nie może odczytać zapisa-
sobu odzyskania utraconych danych nych danych.
z uszkodzonego nośnika, wytłumaczy-
my najpierw, jak dochodzi do uszkodze- DD_rescue
nia nośnika i jaki ma to wpływ znajdu- Gdy próba przekopiowania uszkodzone-
jące się na nim dane. go pliku standardową metodą nie skutku-
Tradycyjnie, wszystkie magnetycz- je (tak dzieje się, gdy używamy standar-
ne nośniki danych  dyskietki, twarde dowej komendy cp), z pomocą przycho-
dyski, taśmy  mogą ulec częściowe- dzi nam program DD_rescue.
mu rozmagnesowaniu na skutek kon- Jego zasada działania jest prosta
taktu z różnymi urządzeniami wytwa-  próbuje odzyskać uszkodzone bajty
Na płycie CD/DVD
rzającymi duże pole elektromagnetycz- pliku, a w przypadku, gdy nie może ich
Na płycie CD/DVD znajduje się
ne (magnesy, bramki kontrolne na lot- odczytać, nie przerywa swego działania,
oprogramowanie omawiane
w artykule. nisku, telefony komórkowe). W przy- nie ucina uszkodzonego pliku i kontynu-
padku płyt CD/DVD najczęściej spo- uje proces kopiowania.
32
styczeń 2005
bezpieczeństwo
narzędzia data recovery
W efekcie otrzymujemy lekko uszko- ale od użytkownika nie jest wymaga-
Wybrane parametry
dzony, ale już możliwy do odczytania ne podawanie żadnych dodatkowych
DD_rescue:
plik, który nie różni się rozmiarem od opcji  wystarczy, że w linii poleceń
oryginału, ale zawiera błędy w miejscu, wpiszemy: dd_rhelp
" -w  przerywa kopiowanie jeśli
w którym doszło do uszkodzenia nośni- , a skrypt domyślnie
napotka na błędy
ka, z którego kopiowaliśmy. odzyska (jeśli tylko mu się uda) wszel-
" -r  kopiowanie wsteczne
kie utracone dane.
(od końca pliku do początku)
Praca z dd_rescue
" -v  wyświetla pełną informację
Kopiowanie za pomocą dd_rescue jest Skasowane pliki  jak
o procesie kopiowania
proste. Wywołanie programu przybiera sobie z nimi radzić " -q  nie wyświetla żadnych
komunikatów
postać: dd_rescue [opcje] " -e x  przerywa działanie po
dłowy> . celowego działania osób trzecich w
osiągnięciu x błędów
Jeśli w wyniku działania komen- wyniku operacji kasowania (plików lub
" -s s  rozpoczyna kopiowanie pliku
dy dd_rescue plik_a plik_b program partycji) straciliśmy część lub wszystkie
od s bajta
skopiuje pliki bez napotkania na błędy, nasze dane. Mogłoby się wydawać, że
" -m m  kopiuje jedynie m bajtów
powinien wyświetlić się komunikat wszystko stracone, ale i na takie przy-
" -d  wykorzystuje bezpośredni
podobny do poniższego: padki jest rada. W najlepszym razie
dostęp do urządzenia blokowego
może okazać się, że dane są w 100%
(z pominięciem pamięci cache)
dd_rescue: (info): plik_a (0.8k): EOF odzyskiwalne, ale najczęściej spotkamy
Summary for plik_a -> plik_b: się z sytuacją, w której odzyskamy jedy- wały się na nim przed zamazaniem tabli-
S
dd_rescue: (info): ipos: 0.8k, nie mniejszy lub większy procent ska- cy partycji. Problem w tym, że takimi
opos: 0.8k, xferd: 0.8k sowanych zbiorów. Paradoksalnie, to co informacjami większość użytkowników
errs:0, errxfer: 0.0k, succxfer: 0.8k wygląda bardzo groz
nie, może okazać nie dysponuje. Tu z pomocą przycho-
S
+curr.rate: 15kB/s, avg.rate: 15kB/s, się łatwe w naprawie. Najczęstszym dzi Gpart  narzędzie, którego działanie
avg.load: 0.0% omawianym wyżej przypadkiem jest wydaje się być proste: program analizu-
zamazanie tablicy partycji dysku twar- je dane zapisane na dysku (jeszcze nie
Jeśli podczas procesu kopiowania przytra- dego (tracimy wszystko) lub skasowa- skasowane) i na ich podstawie próbuje
fią się błędy odczytu, pojawi się dodatko- nie pliku/plików komendą rm. Narzę- odbudować tablicę partycji dysku.
wa informacja dotycząca ilości uszkodzo- dzia, jakich można użyć w obu przy-
nych bajtów i miejsca ich występowania. padkach, przedstawię poniżej. Praca z narzędziem Gpart
Dodatkowe przydatne opcje progra- Ponieważ po skasowaniu partycji nie
mu to kopiowanie piku od określonej Namierzanie partycji programem mamy dostępu do żadnych danych, które
pozycji (w bajtach), kopiowanie zbioru Gpart się na dysku znajdują, nie możemy rów-
danych od końca do początku, wyświe- Jeśli z pewnych powodów zamazaliśmy nież uruchomić Gparta. W takiej sytu-
tlanie pełnej informacji o procesie tablicę partycji dysku twardego (dzieje acji powinniśmy skorzystać z ratunko-
odczytywania i zapisywania przetwa- się tak przykładowo podczas nieuważ- wej dystrybucji Linuksa  RIP. Po wło-
rzanych danych oraz określenie górnej nego dzielenia dysku na partycje), mimo żeniu do napędu CD/DVD bootowalnej
granicy ilości błędów, po osiągnięciu że dysk wygląda tak, jakby nic na nim się płyty i ponownym uruchomieniu kom-
której praca programu jest przerywana. nie znajdowało, nasze dane wciąż na nim putera, naszym oczom ukaże się ascetycz-
Pewnym ułatwieniem w korzystaniu są. Proces przywracania struktury dysku nie wyglądające okno terminala. Po zalo-
z programu DD_rescue jest skrypt napi- do pierwotnej postaci wymaga od użyt- gowaniu się na konto administratora sys-
sany z BASH-u  DD_rhelp. Jego działa- kownika wiedzy na temat tego, jakiej temu (root) mamy do dyspozycji kilkadzie-
nie opiera się na programie DD_rescue, wielkości i jakiego typu partycje znajdo- siąt programów służących do odzyskiwa-
R E K L A M A
33
www.lpmagazine.org
bezpieczeństwo
w miejsce, z którego zostały usunięte
Listing 1: Wynik działania programu Gpart:
(nie mylmy go zatem z katalogiem Śmiet-
Primary partition(1)
nik w niektórych popularnych menedże-
type: 131(0x83)(Linux ext2 filesystem)
rach okien), lecz tworzy plik o nazwie
size: 101mb #s(208776) s(63-208838)
unrm.recovered/unrm.inode#, w którym
chs: (0/1/1)-(207/2/57)d (0/1/1)-(207/2/57)r
przy odrobinie szczęścia znajdziemy
Primary partition(2) nasze skasowane dane.
type: 130(0x82)(Linux swap or Solaris/x86)
size: 1019mb #s(2088448) s(208845-2297292)
Profilaktyka
chs: (207/3/1)-(1023/15/63)d (207/3/1)-(2279/0/61)r
Większości problemów opisanych w arty-
kule można uniknąć. Dobrym nawy-
nia i ratowania różnych systemów opera- mogło, tragiczna w skutkach próba zmiany kiem jest sporządzenie kopii zapasowej
cyjnych. Nas interesuje Gpart. typu partycji z ext3 na swap zostanie pra- MBR (512 bajtów  mieści się na każdej
Wydajemy polecenie gpart [opcje] widłowo zdiagnozowana przez Gparta dyskietce). Wystarczy w linii poleceń
urządzenie i czekamy na to, aż program i naprawiona. z uprawnieniami administratora systemu
przeanalizuje nasz nośnik danych pod Mimo swojej niepozorności, Gpart wydać komendę:
względem struktury zapisanych na nim jest potężnym narzędziem, które potra-
danych. Przykładowo: fi o wiele więcej niż opisaliśmy powy- # dd if=/dev/hda of=mbr bs=512 count=1
żej. Obsługuje większość znanych typów
# gpart /dev/hda partycji  począwszy od ext2, ext3, xfs, W efekcie otrzymamy plik o nazwie mbr
fat, poprzez stosowane w systemie Win- zawierający kopię naszego sektora rozru-
spowoduje, że narzędzie będzie analizo- dows ntfs i vfat, a skończywszy na party- chowego.
wało dysk /dev/hda. cjach LVM czy hpfs. Powinniśmy także przyzwyczaić się
Po pewnym czasie (może trwać to Gpart jest wyposażony również do systematycznego okresowego sporzą-
nawet kilkanaście minut  w zależności w szereg dodatkowych użytecznych dzania kopii zapasowej najważniejszych
od tego jakiej wielkości posiadamy dysk) opcji, służących przykładowo do spo- plików systemowych (tar -cjvf archi-
naszym oczom powinna ukazać się infor- rządzania kopii zapasowych sektora roz- wum.tar.bz2 /etc) i katalogu użytkowni-
macja podobna do tej z Listingu 1. ruchowego, a także do odzyskiwania ków systemu (tar -cjvf archiwum.tar.bz2
Wynika z niej, że pierwsza party- danych z formatowanych partycji (tylko /home).
cja jest typu ext2 i ma rozmiary 101 MB, w niektórych okolicznościach) Wskazane jest również używanie sys-
podczas gdy druga partycja jest najpraw- temu plików z księgowaniem (zastąpmy
dopodobniej partycją wymiany (swap) o Praca z programem unrm tradycyjny ext2 nowocześniejszym roz-
rozmiarach sięgających ponad 1 GB. Radziliśmy, jak uporać sobie z uszko- wiązaniem  ext3), aby w przypadku
Jeśli przedstawione informacje uwa- dzonymi fizycznie nośnikami danych, nagłego spadku napięcia nie trzeba było
żamy za prawdziwe, możemy zapisać z zamazanymi systemami plików, a teraz odzyskiwać bajta po bajcie.
na dysku nową tablicę partycji wydając przyszła kolej na odzyskiwanie skasowa-
polecenie: nych plików. Podsumowanie
Pomocną aplikacją w takich sytu- Utrata danych jest sytuacją, która może
# gpart -W /dev/hda /dev/hda acjach jest unrm, przypominający nieco przytrafić się każdemu. Istnieje szereg
swoim działaniem program undelete, pra- narzędzi, za pomocą których możliwe
Parametr /dev/hda podajemy dwa razy, cujący w systemie DOS. jest odzyskanie skasowanych zbiorów.
gdyż pierwszy mówi nam, jaka jest struk- Jest to skrypt powłoki BASH, który na Należy również pamiętać, że i te narzę-
tura badanego dysku, a drugi zapisuje na podstawie analizy i-węzłów potrafi przy- dzia mogą zawieść i wtedy niezbędna
wskazanym dysku tablicę partycji. wrócić skasowane pliki. stanie się kosztowna wizyta w specjali-
Po ponownym uruchomieniu kompu- Jego działanie jest proste  wystarczy stycznym laboratorium.
tera możemy od nowa cieszyć się zawar- w wierszu poleceń wpisać z uprawnienia- Najlepszym rozwiązaniem wydaje się
tością naszego dysku. mi administratora systemu komendę unrm zachowanie szczególnej ostrożności pod-
/dev/hda, aby na ekranie pojawiła się lista czas kasowania plików i pracami związa-
Więcej o Gpart plików możliwych do odzyskania. nymi ze zmianami w tablicy partycji.
Jak zobaczyliśmy, w niektórych sytu- Aplikacją posiada wiele dodatkowych
acjach potrafi naprawić strukturę dysku, parametrów ułatwiających wyszukiwanie
na którym po zamazaniu tablicy party- utraconych zbiorów. Możliwe jest odzy-
W Internecie:
cji utworzono nowe partycje (jeszcze nie- skiwanie danych należących do jakiegoś
Strona domowa DD_rescue:
formatowane). Dzieje się tak dlatego, że użytkownika (opcja -u), a także plików
http://freshmeat.net/projects/
narzędzie to nie próbuje odzyskać zamaza- zawierających określony tekst (opcja -s).
dd_rescue/
nej tablicy partycji, lecz na podstawie roz- Podstawowym problemem, który
Strona projektu programu Gpart:
kładu danych na dysku (analizuje sektor pojawia się w przypadku skuteczne-
http://www.stud.uni-hannover.de/
po sektorze) stara się stworzyć tablicę par- go odzyskania pliku, jest jego zapis.
user/76201/gpart/
tycji na nowo. W efekcie, wydawać by się Program unrm nie przywraca plików
34
styczeń 2005