wake-up-neo.net

Ich muss Daten von einer Datenfestplatte wiederherstellen, auf der ich testdisk verwendet habe, um mbr von einem Rootkit-Virus zu reparieren

Bevor ich anfange zu sagen, wie meine Situation hier ist, bitte ich Sie zu wissen, dass ich für jeden, der mir bei diesem Durcheinander helfen kann, FÜR IMMER DANKBAR sein würde. Ich habe hier Fotos von Jahren und Jahren mühsamer Arbeit. Ich bin ein Halbprofotograf und meine Festplatte enthält ungefähr 1,5 TB Daten von Fotos. Außerdem habe ich mir 100 GB meiner gesamten Musikbibliothek und aller meiner DVDs Zeit genommen, um sie auf meiner Festplatte zu speichern. Aber meine Fotos sind das, worüber ich am meisten besorgt bin, sie sind nicht austauschbar.

Hier ist kurz gesagt, was passiert ist: Ich habe meine Daten immer mit backblaze gesichert, einem Online-Backup für Windows. Ich entschied vor ungefähr 3 Monaten, dass ich mit Plex einen Server für meine Dateien einrichten wollte und entschied, dass Unbuntu der beste Weg ist. Daher habe ich diese Sicherungsmethode mit der Bezeichnung "Greyhole" verwendet und dabei (2) 2-TB-Festplatten und (1) 1 TB-Festplatte in diesem Greyhole-Sicherungsprogramm eingerichtet.

Dann bekam ich ein Rootkit. Dieses Ding war böse und ich denke, nach 2 Monaten, in denen ich alles ausprobiert hatte, musste ich mein BIOS neu starten und STILL hatte dieses Virus. Ich musste alle meine Festplatten neu formatieren und alles auf einer Festplatte sichern, die sie fast vollständig füllte (eine 2 TB Festplatte). Ich bin diesen Virus immer noch nicht losgeworden, es war unglaublich. Irgendwann habe ich es erwischt. Es wurde in meine Netzwerk-Ethernet-Karte eingebettet. Jeder, der dies liest, sollte darauf achten, dass alles, was darin eingebettet ist, Ihren Router, Ihr gesamtes LAN infizieren und auf Ihrem Computer bleiben kann und wird, auch wenn das BIOS selbst neu aufleuchtet!

Wie auch immer, nachdem ich das Ding loszuwerden schien, hatte ich immer noch meine Dateien auf meiner Festplatte. Ich wollte meine Computer nicht erneut infizieren, also habe ich versucht, den MBR mit einem Dienstprogramm namens testdisk neu zu schreiben.

GROSSER FEHLER

Ich hatte keine Ahnung, was ich tat. Und jetzt kann ich meine Informationen nicht lesen!

Hier ist die gute Nachricht? Nachdem testdisk es geschafft hatte (ich analysierte das Laufwerk und verwendete den Befehl WRITE, um den Schaden zu beheben), dauerte es nur 1 Sekunde, bis es fertig war auf dem Laufwerk mit "dd". Es war eine schnelle Kleinigkeit, die ich getan habe. Aus diesem Grund denke ich, dass die Daten immer noch auf dem Laufwerk sein müssen.

Folgendes weiß ich:

  • das Laufwerk ist ein Datenlaufwerk, kein Betriebssystem. Ich habe Ubuntu als Betriebssystem auf einem anderen Laufwerk verwendet.
  • formatiert als ext3 oder ext4
  • größe = 2 TB
  • files = unersetzlich, mein ganzes Leben funktioniert - keine Übertreibung.

Außerdem hat backblaze meine Dateien nicht mehr, weil es über 30 Tage her ist. Ich habe wegen des Rootkits alle meine anderen Backups mit 0en überschrieben. Diese Festplatte war und ist die einzige Quelle meiner Dateien zu dem Zeitpunkt, als dies passierte. Zufällig ist dies das einzige Mal, dass ich seit vielen Jahren ohne Backup bin.

Hier ist ein Kopieren/Einfügen von fdisk -l

Disk /dev/sda: 2000.4 GB, 2000398934016 bytes
255 heads, 63 sectors/track, 243201 cylinders, total 3907029168 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 4096 bytes
I/O size (minimum/optimal): 4096 bytes / 4096 bytes
Disk identifier: 0x0006a14b

   Device Boot      Start         End      Blocks   Id  System
/dev/sda1   *          63  3907024064  1953512001   83  Linux
Partition 1 does not start on physical sector boundary.

Und lshw

*-scsi:0
          physical id: 2
          logical name: scsi2
          capabilities: emulated
        *-cdrom
             description: DVD writer
             physical id: 0.0.0
             bus info: [email protected]:0.0.0
             logical name: /dev/cdrom
             logical name: /dev/sr0
             capabilities: audio cd-r cd-rw dvd dvd-r
             configuration: signature=643a3365 status=ready
        *-disk
             description: ATA Disk
             product: ST2000DM001-1CH1
             vendor: Seagate
             physical id: 0.1.0
             bus info: [email protected]:0.1.0
             logical name: /dev/sda
             version: CC24
             serial: W1E2L5K7
             size: 1863GiB (2TB)
             capabilities: partitioned partitioned:dos
             configuration: ansiversion=5 sectorsize=4096 signature=0006a14b
           *-volume
                description: EXT3 volume
                vendor: Linux
                physical id: 1
                bus info: [email protected]:0.1.0,1
                logical name: /dev/sda1
                version: 1.0
                serial: 05ea2f85-06fd-446c-a885-30614d53630c
                size: 1863GiB
                capacity: 1863GiB
                capabilities: primary bootable journaled extended_attributes large_files recover ext3 ext2 initialized
                configuration: created=2013-03-27 07:57:02 filesystem=ext3 label=foo modified=2013-03-27 08:11:50 mounted=2013-03-27 08:11:50 state=clean

Bitte helfen Sie, was kann ich tun? Ich habe Angst, es wieder mit Testdisk zu vermasseln. Ich möchte nur die Dateien wiederherstellen. Ich kann nicht sehen, wie sie weg sind.

Ich danke dir sehr-

8
wardr

Um Daten von einem Image auf einem externen USB-Laufwerk wiederherzustellen, sind folgende Schritte erforderlich:

  1. Verwenden Sie das beschädigte Laufwerk nicht mehr.
  2. Halten Sie ein externes Laufwerk bereit zweimal die Datenmenge aus der Größe Ihres beschädigten Laufwerks. Formatieren mit einem Dateisystem, das eine so große Datei enthalten kann, wie sie vom ursprünglichen Laufwerk erstellt wird (z. B. ext4)
  3. Booten Sie Ubuntu von einer Live-Sitzung ( "Try Ubuntu" ).
  4. Hängen Sie Ihr externes Laufwerk mit Nautilus ein.
  5. Überprüfen Sie den Bereitstellungspunkt Ihres externen Laufwerks.
    , z. B. mit Eigenschaften -> Position im Kontextmenü.
  6. Überprüfen Sie die Position Ihres beschädigten Laufwerks mit einem dieser Befehle in einem Terminal

    Sudo fdisk -l
    Sudo blkid
    
  7. Erstellen Sie ein Image Ihres beschädigten Laufwerks

    Sudo dd if=/dev/sdX of=/mountpoint/DRIVENAME/rescue.dd
    

    Ersetzen Sie sdX durch Ihr beschädigtes Laufwerk (z. B. sda) oder Ihre beschädigte Partition (z. B. sda1). Ersetzen Sie /mountpoint/DRIVENAME/ durch den tatsächlichen Pfad, in dem Ihr USB-Laufwerk bereitgestellt wurde.

    Nur , falls Ihr beschädigtes Laufwerk (sdX) der Größe Ihres externen Laufwerks (sdY) Sie können das Laufwerk klonen (Sudo dd if=/dev/sdX of=/dev/sdY), um die Datenrettung auf einem geklonten externen Laufwerk durchzuführen. Das Arbeiten an einem Bild wie oben gezeigt ist jedoch viel sicherer.

    Es ist an dieser Stelle von entscheidender Bedeutung, den Befehl dd korrekt abzurufen. Wenn Sie of= falsch eingegeben haben, können Sie alle dort vorhandenen Daten beschädigen.

  8. Installieren Sie TestDisk auf Ihrem Live-System, wie in meiner Antwort weiter unten ausgeführt:

  9. Lesen Sie die beeindruckende und präzise Anleitung der Hersteller von TestDisk, um sich zu erholen.

  10. Wenn Ihr Laufwerk sehr groß ist, mounten Sie ein anderes Laufwerk/Partition, um die wiederhergestellten Daten zu speichern. Notieren Sie sich diesen Einhängepunkt für testdisk.
  11. Führen Sie TestdiskInstall testdisk auf dem Image Ihres Laufwerks:

    cd /mountpoint/DRIVENAME/
    Sudo testdisk rescue.dd
    
  12. Speichern Sie die wiederhergestellten Verzeichnisse und Dateien auf Ihrem Sicherungslaufwerk/Ihrer Sicherungspartition (geben Sie testdisk den Einhängepunkt dieses Laufwerks als Speicherort an, falls es sich nicht um das Image handelt).
  13. Stellen Sie sicher, dass Ihre Daten vorhanden sind.
  14. Alle Laufwerke aushängen oder Live-Sitzung beenden.

Falls es uns nicht gelungen ist, unsere Dateien wiederherzustellen, können wir auch PhotoRec ausführen, das zusammen mit der TestDisk-Suite installiert wurde, um einzelne Dateien wiederherzustellen (aber dann gehen die Berechtigungen für Dateinamen und Verzeichnisse verloren).

Ihr beschädigtes Laufwerk ist immer noch unberührt. Wir können dieses Laufwerk sogar von einem professionellen Service wiederherstellen lassen, falls wir die oben genannten Schritte nicht bestanden haben.

10
Takkat

Meiner Meinung nach sollte testdisk unter anderem als Tool zur Wiederherstellung Ihrer Daten dienen. Vor allem aber - bevor Sie etwas anderes tun, müssen Sie Ihre letzte Kopie der Daten schützen. Erstens, mounten Sie es von nun an nur noch lesbar. (Sie können es mit der Option ro wieder einhängen, siehe man mount)

Ich schlage vor, sich eine große (> 2 TB) Festplatte zu besorgen und ein vollständiges Image Ihrer aktuellen Festplatte zu kopieren: dd if=/dev/sda of=disk-image.dd wobei/dev/sda Ihre schreibgeschützte, alle wichtigen Festplatte ist und disk-image.dd eine Datei ist Stellen Sie sicher, dass auf der neuen Festplatte 2 TB frei sind.

testdisk funktioniert auch mit einem Image und sollte in der Lage sein, die Partitionstabelle zu sortieren. Kommen Sie mit Fragen und Kommentaren zurück und wir können es von hier aus übernehmen ...

Ein guter Ort, um mit dem Lesen zu beginnen, ist hier: http://epyxforensics.com/node/36 In diesem Abschnitt wird zunächst eine dd-Kopie erstellt, wie oben vorgeschlagen, und die Arbeit an der Kopie wird fortgesetzt.

Haben Sie einen Prüfungsrechner mit Testdisk, gparted und vielleicht hexedit installiert?

3
DrSAR