数据恢复(十)-云上Linux磁盘数据恢复工具测评

数据恢复(十)-云上Linux磁盘数据恢复工具测评

最近遇到的有系统被全盘(ext4)删除的案例,拿到了被删除的系统镜像,该文件系统受损程度是很大的,正好把Linux大部分的数据恢复工具都测评一遍,看看极端场景下的各类数据恢复工具的表现情况。

Linux 数据恢复工具集

  • debugfs
  • testdisk
  • extundelete
  • R-Studio
  • DiskGenius
  • X-ways Forensics

恢复前准备

我们拿到的是Linux的系统盘镜像,根据不同的恢复场景分别进行不同操作。

进入救援模式

如果是采用Linux下的数据恢复工具,就用镜像生成实例后直接进入救援模式。

系统盘拷贝,重新挂载到Windows实例下

如果要用Windows的数据恢复工具,就会相对麻烦一些。

由于云上不支持将系统盘作为数据盘挂载,所以需要先将系统盘拷贝在数据盘上(这个功能还没正式开放,需提工单申请),再重新挂载到Windows的实例上。

debugfs

这里用的并不是系统自带的debugfs,而是我在debugfs 1.42.7源码基础上做了大量修改后专门用于应急取证的版本。

根据文件内容特征恢复文件

例如 ~/.bash_history 文件是带有时间戳的特征,因此可以把时间戳作为关键词进行搜索。

./debugfs /dev/vda1 -R 'dump_unused -k "#169" -v ' | tee history-recover.log  

对于ssh日志包含2023-09-01这类时间的文件,也很容易恢复。

./debugfs /dev/vda1 -R 'dump_unused -k "2023-08-31 " -v' | tee 2023-08-31.log

注意:用debugfs恢复出来的并不是一个完整的文件,而是包含文件内容特征的碎片!仅适用于溯源取证的场景。

testdisk

只能列出根目录,完全无法恢复文件或者数据。

extundelete

和testdisk一样,都能识别到根目录但是都无法恢复文件。

inode 为2表示为Linux下的根目录。

尝试对磁盘文件全部文件恢复。

直接报错,还是无法恢复文件。

R-Studio

R-Studio的表现相对出色,虽然部分目录文件未能识别到,但是对于已识别的文件目录也会显示哪些文件可恢复以及恢复的概率。

然后会显示可恢复的目录文件。

虽然大部分文件依旧显示empty(无法恢复),但是相比上面的两个工具完全无法恢复已经好很多了。

DiskGenius

虽然DiskGenius可以按照从磁盘的中扫描出来的文件类型进行分类并且可以预览,但是对应已经丢失的目录还是无法识别到,感觉用处不大。

X-ways Forensics

x-ways扫描完成后可以识别到完整的根目录,但是无法成功恢复文件,也有可能是我使用的方式不对。

总结

由于文件系统受损严重,大部分的数据恢复工具表现都不佳。从结果来看,最简单好用且恢复文件最多的还是R-Studio,后续可以考虑作为数据恢复的优先选择工具。

赞赏

微信赞赏支付宝赞赏

Zgao

愿有一日,安全圈的师傅们都能用上Zgao写的工具。

发表评论