===== Alati i postupak povrata obrisanih datoteka na linux operacijskim sustavima ===== ===== Sažetak ===== Gubitak podataka vrlo je česta pojava današnjice. Ponekad je razlog gubitka napad ili greška na disku, a ponekad smo samo slučajnim brisanjem izgubili podatke. Zbog načina na koji se u pozadini dešava trajno brisanje datoteke, moguće ju je vratiti ako su zadovoljeni određeni uvjeti. Povrat podataka radimo pomoću softwarskih alata koji služe toj svrsi. U ovom radu opisano je nekoliko alata za povrat obrisanih datoteka koji se koriste na linux operacijskom sustavu te su dani jednostavni primjeri njihova korištenja. Ključne riječi: datoteka; particija; disk; datotečni sustav; oporavak ===== Uvod ===== Gubitak podataka nešto je s čime se svi korisnici računala ponekad susreću. Često nam se događa da greškom obrišemo neku datoteku na računalu ili je obrišemo namjerno, ali nam je kasnije ipak potrebna. Osim svojom krivicom, datoteke s diska mogu biti obrisane tijekom sigurnosnog napada ili zbog greške na tvrdom disku. Svakom od nas podaci na našem računalu su vrlo bitni pa je u tom slučaju važno znati kako oporaviti tj. vratiti datoteke koje su obrisane. U ovom radu bit će predstavljeni neki od alata za povrat obrisanih datoteka i upute za povrat datoteka korištenjem tih alata. Neki alati mogu se koristiti na različitim operacijskim sustavima, a mi ćemo se fokusirati na operacijski sustav linux. ===== Brisanje datoteka ===== Linux sustavi nude opciju //Trash/Recycle bin// za neke opcije brisanja, npr. ako ste izbrisali datoteku pomoću tipke //delete// na tipkovnici, ona nije trajno obrisana i možete je jednostavno vratiti pretraživanjem mape Trash i klikom na //Restore the selected items//. Ovime se dalje nećemo baviti u ovom radu. Ako su datoteke trajno obrisane, također postoji način za njihov povrat u nekim slučajevima. Nasreću ili nažalost, kada trajno obrišemo datoteku ona ne nestaje s diska već se njezina lokacija na disku označava kao slobodna te će datoteka „nestati“ tek kada tu lokaciju prepišemo nekim novim sadržajem. Datoteka postoji na disku ali je skrivena od datotečnog sustava i zato je mi ne vidimo. Ovo je vrlo korisno u slučaju kada želimo oporaviti datoteku, ali može biti i štetno zbog sigurnosti datotečnog sustava. Prvi korak koji se preporuča napraviti da biste osigurali povrat obrisanih datoteka je označavanje diska sa read – only jer ćete time osigurati da se lokacija na disku na kojoj se nalazi datoteka ne prepiše novim sadržajem. Za povrat trajno izbrisanih datoteka potrebno je koristiti neki od softwara za oporavak datoteka koji su dostupni za linux. Njihov pregled i upute za korištenje bit će prikazani u nastavku. ===== Pregled i korištenje alata za povrat obrisanih datoteka ===== === Testdisk === Testdisk je software za oporavak podataka. Prvotno je osmišljen kao alat za povrat izgubljenih particija i omogućavanje podizanja sustava s diskova koji se ne podižu kada je to uzrokovano neispravnim softwarom (određene vrste virusa, ljudska pogreška – npr. slučajno brisanje particijske tablice), a sada postoji još niz dodatnih funkcionalnosti. Testdisk je vrlo jednostavan za korištenje što ga čini odličnim alatom za „kućnu upotrebu“, tj. uz malo truda moći će ga koristiti ljudi koji nisu stručnjaci u ovom području. Software je baziran na komandnoj liniji, svi procesi se pokreću naredbama, bez dodatnog sučelja. Osim na linux operacijskom sustavu, Testdisk alat dostupan je DOS, Windows 10/8/7/Vista/XP, FreeBSD, NetBSD, OpenBSD, SunOs i MacOS. **Jednostavan primjer uporabe TestDisk alata na ubuntu/debian** > Instalacija: > sudo apt update > sudo apt install testdisk Postupak povrata Testdisk radi s većinom najčešće korištenih datotečnih sustava (Slika 1.1.). Ako želite provjeriti vrstu datotečnog sustava možete to učiniti sljedećom naredbom: > sudo fdisk -l > {{:racfor_wiki:seminari:slika_1.1.png?400|}} > Slika 1.1 Provjera vrste datotečnog sustava Pokretanje Testdiska i odabir particije > Za pokretanje alata u terminal upišite naredbu testdisk i prikazat će vam se početna poruka (Slika 1.2). > {{:racfor_wiki:seminari:slika_1.2.png?400|}} > Slika 1.2 Početan prozor TeskDisk alata > Ako prvi put pokrećete program, on će vam na početnom prikazu dati mogućnost da stvorite datoteku dnevnika. Možete odabrati //Create// i nastaviti sa zadanim postavkama. > > Nakon toga otvara se prikaz odabira diska/particije (Slika 1.3). > > {{:racfor_wiki:seminari:slika_1.3.png?400|}} > Slika 1.3 Odabir diska/particije > > Nakon odabira particije, traži vas se da odaberete vrstu particije (Slika 1.4) > > {{:racfor_wiki:seminari:slika_1.4.png?400|}} > Slika 1.4 Odabir vrste particije > > Odgovarajući tip trebao bi biti automatski označen, ali ako nije odaberite ga sami. Skeniranje particije > Nakon što ste odabrali tip particije, prikazat će vam se nekoliko opcija (Slika 1.5). Opcija //Analyse// korisna je za vraćanje izgubljenih particija. Međutim za oporavak obrisanih datoteka odaberite opciju //Advanced//. > {{:racfor_wiki:seminari:slika_1.5.png?400|}} > Slika 1.5 Odabir opcije skeniranja Vraćanje datoteka > Na idućem prikazu odaberite opciju List i prikazat će vam se lista datoteka (Slika 1.6). > >{{:racfor_wiki:seminari:slika_1.6.png?400|}} > Slika 1.6 Lista obrisanih datoteka > > Pronađite datoteku koju želite vratiti i pritisnite c za njezino kopiranje(Slika 1.7). > {{:racfor_wiki:seminari:slika_1.7.png?400|}} > Slika 1.7 Odabir datoteke za povrat > > Nakon toga moći ćete odabrati lokaciju na koju želite da se datoteka kopira, a ako ste uspješno vratili datoteku prikazat će vam se zaslon sličan ovome na slici ispod (Slika 1.8). > {{:racfor_wiki:seminari:slika_1.8.png?400|}} > Slika 1.8 Uspješno vraćena datoteka === Foremost === Foremost je alat za povrat izgubljenih datoteka koji je dizajniran da zanemari vrstu temeljnog datotečnog sustava i izravno čita i kopira dijelove diska u memoriju računala. Uzima dijelove diska, jedan po jedan segment i pretražuje tip zaglavlja datoteke koji odgovara onima koji se nalaze u konfiguracijskoj datoteci Foremosta. Kada se pronađe podudaranje, u memoriju računala zapisuje se to zaglavlje i podaci koji slijede dok se ne dostigne ograničenje veličine datoteke. Foremost se koristi iz naredbenog retka te nije dostupno grafičko sučelje. Može se koristiti za oporavak određenih vrsta datoteka kao što su doc, zip, rar, htm i cpp. Postoji konfiguracijska datoteka koja se može koristiti za definiranje dodatnih vrsta datoteka. Foremost se također može koristiti putem računala za oporavak podataka s iPhone uređaja. **Jednostavan primjer uporabe Foremost alata na ubuntu/debian** > Instalacija: > sudo apt update > sudo apt install foremost Postupak povrata > Nakon što ste instalirali Foremost alat, moguće opcije možete vidjeti pokretanjem naredbe: > foremost -h >{{:racfor_wiki:seminari:slika_1.9.png?400|}} > Slika 1.9 Moguće opcije Foremost alata > >Obrisanu datoteku dog.jpg možemo vratiti korištenjem sljedeće naredbe: > foremost -v -t jpg -i /dev/sda -o ~/Recovery > {{:racfor_wiki:seminari:slika_1.10.png?400|}} > Slika 1.10 Povrata datoteke korištenjem Foremost alata > >Ova će naredba pretražiti sve izgubljene jpg datoteke u **/dev/sda** i vratiti ih u **~/Recovery**. Opcija **-i** definira izvornu particiju, a opcija **-o** ciljnu lokaciju. Opcija **-t** omogućava nam odabir koje vrste datoteka tražimo. Možete pretražiti po više nastavaka ako ih odvojite zarezom. === Grep naredba === Grep naredba koju inače koristimo za pretraživanje teksta kroz terminal također se može koristiti za pronalazak izgubljenih tekstualnih datoteka. Primjer korištenja > grep -a -A 100 -B 20 'ovo je obrisana datoteka' /dev/sda > recover.txt > Opcija **-a** specificira da je izvor tekstualna datoteka. Navođenjem vrijednosti za opcije **-A** i **-B** specificiramo da se pronađe 20 linija prije i 100 linija nakon specificiranog teksta. Na ovaj način možemo dohvatiti cijelu tekstualnu datoteku. **/dev/sda** je dio diska za koji želimo da se pretražuje, a **>recover.txt** označava da će pronađeni tekst biti spremljen u datoteku recover.txt. === Extundelete === Extundelete je alat za povrat datoteka koji služi za vraćanje obrisanih datoteka s datotečnih sustava ext3/ext4. Ovo su upravo datotečni sustavi koje koriste popularne linux distribucije poput Ubuntu. Korištenje je vrlo jednostavno i baš poput foremosta i testdiska alat je baziran na naredbenom retku. Instalacija se izvršava korištenjem naredbe: > sudo apt install extundelete Nakon instalacije ako znamo koju datoteku tražimo možemo je jednostavno vratiti korištenjem sljedeće naredbe: > sudo extundelete –-restore-file dog.jpg /dev/sda Osim **--restore-file** argumenta možemo vratiti sve datoteke pomoću opcije **--restore-all**. Vraćene datoteke moći ćete pronaći u mapi RECOVERED_FILES/sub-directory. ===== Zaključak ===== Način na koji se u pozadini provodi brisanje datoteka s računala omogućava nam njihovo vraćanje pod određenim uvjetima. Ovo može biti vrlo korisno za povrat naših podataka nama, ali i vrlo nesigurno s obzirom na to da postoje situacije u kojima ne bismo htjeli da netko pronađe i oporavi naše datoteke, bilo da su u pitanju povjerljive informacije kojima raspolažemo ili samo naše privatne stvari. Postoje brojni alati koji nam mogu pomoći za povrat naših obrisanih datoteka na operacijskom sustavu linux od kojih je dio njih dovoljno jednostavan da ih mogu koristiti i ljudi koji nisu stručnjaci u području računarstva. Ipak, u nekim slučajevima oporavak datoteka nije moguć ili nije moguć na jednostavan način stoga se preporuča da uvijek radite sigurnosne kopije bitnih podataka. Tada ih ako ih izgubite možete vratiti u nekoliko klikova. ===== Literatura ===== [1] [[Lukić P., Pale P.: Forenzika datotečnih sustava]] [2] [Rubaiat H.: How to recover deleted files on linux, https://www.makeuseof.com/tag/recover-deleted-files-from-your-linux-system/] [3] [[https://www.cgsecurity.org/wiki/TestDisk#google_vignette]] [4] [Docile E., How to recover deleted files with foremost on Linux, https://linuxconfig.org/how-to-recover-deleted-files-with-foremost-on-linux]