Инструменты kali linux

Getting TestDisk

While it is a Linux utility, you don’t actually have to have Linux installed to use it. There are several live CDs you can use to run TestDisk, and a full list can be found here.

If you’re not familiar with Linux or live CDs, don’t let that put you off. Many of the systems in the link above are very user-friendly and require no special knowledge. You download the .iso file, which can range from a few MB to a few GB and use your favorite burning software to burn it to CD/DVD. Make sure you select the Burn Image/Burn ISO or similar sounding option, as it will not be bootable if simply dropped onto the CD as an ordinary file. When complete, reboot your PC with the CD in the drive and your live Linux should start up.

If you’re already running Linux, TestDisk is likely available in your distribution’s online repositories. Ubuntu users, for example, can fetch it with

or use the Ubuntu Software Center.

Запуск TestDisk

Если TestDisk еще не установлен, он может быть загружен с TestDisk Download. Распакуйте все файлы из архива включая подпапки.

Чтобы восстановить потерянный раздел или восстановить файловую систему жесткого диска, USB накопителя, смарт-карты…, вы должны обладать необходимыми правами для доступа к устройству.

• для Dos, запустите TestDisk.exe
• для Windows, запустите TestDisk (пример testdisk-6.9/win/testdisk_win.exe) с учетной записью которая входит в группу Администраторы. Для Vista, нажмите правую кнопку мыши и выберите «Запуск от имени администратора» чтобы запустить TestDisk.
• для Unix/Linux/BSD, вам необходимо иметь права root чтобы запустить TestDisk (пример )
• для MacOSX, если вы не имеет прав root, TestDisk (пример testdisk-6.9/darwin/TestDisk) перезупустит себя используя sudo после подтверждения с вашей стороны.
• для OS/2, TestDisk не работает с физическими устройствами, только с образами дисков, извините.

Чтобы восстановить раздел с образа устройства или восстановить файловую систему образа, запустите

• чтобы разделить образ
• чтобы восстановить файлы с образа Encase EWF
• если образ Encase разбит на несколько файлов.

Чтобы восстановить файловую систему которая не отображается в TestDisk, запустите , например

• или чтобы восстановить файлы загрузочных секторов NTFS или FAT32 с раздела TrueCrypt. Этот же метод работает с файловыми системами зашифрованными с помощью cryptsetup/dm-crypt/LUKS.
• чтобы восстановить файловую систему на Linux Raid устройстве.

Запуск приложения TestDisk

Если вы еще не успели установить приложение TestDisk на диск, самое время это сделать. Загрузите дистрибутив TestDisk, нажав на кнопку Скачать.

Распакуйте архив, включая вложенные директории, на диск.

Для полного восстановления удаленного радела или восстановления файловой системы жесткого диска, флешки, sd карты и проч., вам необходимы привилегии администратора для получения доступа к физическому устройству.

• Если вы используете DOS, запустите файл TestDisk.exe
• Для Windows, запустите TestDisk (например, ) со своего аккаунта в администраторской группе. Если вы используете WIndows 7 и выше, используйте опцию Запуск от имени администратора.
• Для Linux, вам нужен root-доступ для запуска приложения TestDisk ()
• Если вы пользуетесь Mac OS X, не под root, можно запустить программу TestDisk следующим образом: . При этом вы перезапустите TestDisk с командой sudo.

Если вы ходите восстановить раздел из образа системы, запустите

• для извлечения «сырого» образа диска (в файловой системе raw)

  • для восстановления файлов с образа Encase EWF image
  •  – если образ состоит из нескольких файлов.

Ддя восстановления файловой системы, не обнаруженной TestDisk, запустите testdisk device, то есть:

•  или для восстановления файлов загрузочного сектора NTFS или FAT32 с раздела TrueCrypt. Аналогичный метод работает с файловой системой, зашифрованной с помощью 

•  – для восстановления файловой системы, расположенной вверху устройства хранения Linux RAID.

Документация

• Как получить TestDisk Загрузка — Бинарные исполняемые и файлы исходных текстов доступны под DOS, Win32, MacOSX и Linux.
• TestDisk компиляция — Инструкция по сборке TestDisk и PhotoRec.
• TestDisk and Live rescue cd — Перечень дистрибутивов, в которые включен TestDisk.

Работа со специфическими носителями

• Восстановление с поврежденных жестких дисков. (с плохими секторами (блоками))

Работа с файлом-образом жесткого диска.
Работа со сменными носителями (Floppy/CD/DVD)
Использование TestDisk

• Специфика использования под разными операционными системами.

TestDisk Шаг за шагом
Запуск TestDisk
Примеры восстановлений
Пример работы под Ubuntu
Запуск скриптов
Поддержка
После использования TestDisk
Технические примечания

• Таблица разделов Intel

Microsoft Fdisk
SMART monitoring
Norton GoBack
Текущие ограничения
Как помочь
TestDisk & PhotoRec в новостях
Команда

Для восстановления потерянных картинок или файлов из цифровых камер или жестких дисков, используйте PhotoRec.

Домашняя страница TestDisk: . Christophe GRENIER

Восстановление загрузочного сектора NTFS

The boot sector of the first partition named Partition 1 is still damaged. It’s time to fix it. The status of the NTFS boot sector is bad and the backup boot sector is valid. Boot sectors are not identical.

To copy the backup of the boot sector over the boot sector, select Backup BS , validate with Enter, use y to confirm and next Ok.

More Information about repairing your boot sector under TestDisk Menu Items. The following message is displayed:

The boot sector and its backup are now both ok and identical: the NTFS boot sector has been successfully recovered.

Press Enter to quit.

TestDisk displays You have to restart your Computer to access your data so press Enter a last time and reboot your computer.

Проблема с геометрией диска — Все разделы уничтожены

В этом случае, все разделы диска удалены/уничтожены.
TestDisk показывает отсутствие разделов!
Пользователь лезет в testdisk /debug /log и видит:

Analyse Disk /dev/hdb - CHS 5169 240 63 - 38161 MB
No partition is bootable
search_part()
Disk /dev/hdb - CHS 5169 240 63 - 38161 MB
FAT32 at 0/1/1
heads/cylinder 255 (FAT) != 240 (HD)

Обнаружен раздел FAT32, но выдано предупреждение об ошибке в геометрии текущего диска.
BIOS компьютера выбрал другую геометрию диска на основе содержимого MBR (в данном случае пустого!).
Запустив TestDisk, выберите опцию (геометрия), установите (число головок) в 255 вместо 240 и запустите (анализ) заново.

Файловые системы

TestDisk может находить потеряные разделы

для всех указанных файловых систем:

• BeFS ( BeOS )
• BSD disklabel ( FreeBSD/OpenBSD/NetBSD )
• CramFS, Compressed File System (сжатая файловая система)
• DOS/Windows FAT12, FAT16 and FAT32
• Windows exFAT
• HFS, HFS+ and HFSX, Hierarchical File System (иерархическая файлова система)
• JFS, IBM’s Journaled File System (журналируемая файлова система IBM)
• Linux ext2, ext3 and ext4
• Linux LUKS encrypted partition (шифрованый раздел Linux)
• Linux RAID md 0.9/1.0/1.1/1.2 RAID 1: mirroring (зеркальный рейд)
• RAID 4: striped array with parity device
• RAID 5: striped array with distributed parity information
• RAID 6: striped array with distributed dual redundancy information

Linux Swap (versions 1 and 2)
LVM and LVM2, Linux Logical Volume Manager
Mac partition map
Novell Storage Services NSS
NTFS ( Windows NT/2000/XP/2003/Vista/2008 )
ReiserFS 3.5, 3.6 and 4
Sun Solaris i386 disklabel
Unix File System UFS and UFS2 (Sun/BSD/…)
XFS, SGI’s Journaled File System

Восстановление загрузочного сектора

Windows 9x

Если ваша операционная система не запускается, вы можете переустановить системные файлы, используя в приложении TestDisk команду .

Windows 2000/XP/2003

• Запустите утилиту fixmbr через Консоль восстановления (т.е. fixmbr \Device\HardDisk0)
• Проверьте файл c:boot.ini
• Запустите fixboot для восстановления загрузочного сектора NTFS.

Windows Vista/Windows 7/…

• Запустите bootrec.exe /fixmbr из Консоли восстановления (см. выше)
• Проверьте конфиг c:boot.ini
• Запустите для восстановления загрузочного сектора NTFS.

Не помогает? См. раздел о восстановлении загрузки Windows 7 и выше.

Linux

Не забудьте обновить файл /etc/fstab для отображения порядка разделов в списке.

Обновите конфигурацию мультизагрузки и переустановите загрузку в MBR (Master Boot Record).

• Lilo: конфиг – /etc/lilo.conf, для переустановки
• Grub: конфиг – /boot/grub/grub.conf, для переустановки загрузочника

Кроссплатформенность TestDisk

Актуальная версия TestDisk 7.0 вышла давно – равно как и PhotoRec, другая утилита от Cgsecurity. К слову, на сайте разработчика опубликована beta-версия TestDisk 7.1, но мы ее рассмотрим ее после выхода финальной версии.

Если вы хотите восстановить файлы через графический интерфейс, попробуйте Cgsecurity PhotoRec. По сути, PhotoRec это GUI-версия TestDisk: с интуитивно понятной оболочкой и настройками.

Программу не нужно устанавливать традиционным способом, достаточно распаковать архив, в котором находятся Testdisk и Photorec. Соответственно, программа TestDisk работает в portable-режиме и доступна для запуска (через testdisk_win.exe).

Testdisk успешно запускается на платформе Windows, включая популярные ОС Windows 7 и 10. Вообще, благодаря своему консольному интерфейсу, программа совместима с Dos/Win9x. Есть дистрибутив для ОС Linux и MacOS.

Помимо того, Testdisk присутствует в составе нескольких LiveCD как одна из recovery-утилит. Это – оптимальный способ загрузки после краха ОС и восстановления разделов или переноса файлов с одного раздела на другой.

Как пользоваться программой DiskCheckup?

Основная функция DiskCheckup — считывание атрибутов SMART жестких дисков различных типов. Последняя версия программы работает с SATA, USB, FireWire и PCIe M.2 NVM Express устройствами. Не поддерживаются аппаратные дисковые массивы RAID, а также диски, использующие интерфейс SCSI. Однако приложение работает с перечисленными выше устройствами, задействованными в виртуально созданных RAID-массивах.

Получение SMART-атрибутов, хоть и основная, но не единственная полезная функция программы.

Отображение параметров дисков

Кроме SMART-атрибутов, программа DiskCheckup также отображает различные технические параметры жестких дисков, включая:

• Информация о производителе диска, серийный номер, уникальный ID, версия прошивки и т.д.
• Геометрия дисков: количество цилиндров и дорожек в каждом из них, количество секторов на дорожках, размер логический и физических секторов и др.
• Соответствие диска различным стандартам (поддерживается/не поддерживается): ATA/ATAPI, поддерживаемые поколения и версии SATA.
• Перечень поддерживаемых диском функций: SMART, IORDY, CFast, Multiword DMA, Ultra DMA, режим PIO, Overlay (DCO), TRIM, SCT и многие другие.
• Отображение в режиме реального времени скорости чтения/записи, дискового времени, времени отклика.

Ведение истории SMART и прогноз достижения атрибута порогового значения

При задействовании пользователем соответствующей функции в настройках программа DiskCheckup будет непрерывно отслеживать все атрибуты SMART, записывая в отчет дату/время их изменения. На основании этого отчета утилита также будет автоматически вычислять примерную дату достижения тем или иным атрибутом порогового значения (прогноз «Threshold Exceed Condition» или T.E.C.). Другими словами, программа прогнозирует время выхода жесткого диска из строя или, как минимум, ухудшения его работоспособности.

Запуск функции самодиагностики

Если прошивка жесткого диска имеет встроенную функцию самодиагностики, ее можно будет вызвать из программы DiskCheckup. Данная функция поможет выявить разнообразные ошибки на дисках, если таковые присутствуют.

Получение и изменение объемов скрытых разделов HPA/DCO

Во всех жестких дисках имеются технические области, к которым невозможно получить доступ из операционной системы, BIOS, загрузочных файловых менеджеров и т.д. Сюда относятся разделы HPA (Host Protected Area) и DCO (Device Configuration Overlay). Тем не менее, специализированное программное обеспечение, куда также относится программа DiskCheckup, может «обрезать» это дисковое пространство, сделав его доступным из операционной системы (т.е. «превратить» скрытые области в обычные — рабочие — куда можно будет размещать любые данные).

Другими словами, при помощи утилиты DiskCheckup пользователь сможет (хоть и не намного) увеличить реальный объем своего жесткого диска за счет понижения размера скрытых разделов HPA/DCO.

Система уведомлений

При достижении одного из SMART-атрибутов выше порогового (критического) значения программа DiskCheckup может выводить соответствующее уведомление на экран либо отправлять его на указанный адрес электронной почты. В приложении предусмотрен встроенный почтовый клиент.

Потерянный раздел после дефрагментации

После запуска дефрагментации первого раздела, второй диск FAT32 исчез (или нулевой). При проверке таблицы разделов, TestDisk обнаруживает проблему у первого раздела и ??? отсутстствие логического раздела???

Disk 81 - CHS 1245 255 63 - 9766 MB
check_FAT: Incorrect size of partition
 1 * FAT32 LBA                0   1  1   746 254 63   12000492
 1 * FAT32 LBA                0   1  1   746 254 63   12000492
 2 E extended               747   0  1  1244 254 63    8000370

TestDisk нашел первый раздел, но размер раздела на один сектор больше, чем фактическая запись раздела.
Дефрагментатор перезаписал начало расширенного раздела, очистив логическую запись раздела.

* FAT32                    0   1  1   747 254 63   12016557 
D Linux                 1023   1  1  1244 254 63    3566367

Выбираем восстановление первого раздела FAT32.
На всякий случай делаем резервную копию своих данных, ибо раздел сократится на один сектор.

Пришло время восстановить второй раздел.
Вручную добавляем второй раздел.

 1 * FAT32                    0   1  1   746 254 63   12000492 
 2 E extended LBA           747   0  1  1244 254 63    8000370
 5 L FAT32                  747   1  1  1244 254 63    8000307

В , выберите второй FAT32 и .
После перезагрузки и небольшой проверки файловой системы, даные снова будут доступны

TestDisk — инструкция, или как же использовать эту утилиту?

Итак, как уже было сказано, TestDisk — это мощная свободно распространяемая программа для реставрации данных, которая в первую очередь предназначена для восстановления потерянных разделов, а также для того, чтобы сделать незагружающиеся диски снова загрузочными. Она не требует установки и может быть запущена с флешки или DVD.

Лучшим способом использовать программу TestDisk является ее загрузка с DVD на флешку. Таким образом вы можете проверить все разделы на жестком диске в случае, если главная загрузочная запись повреждена. После этого вы можете инициировать необходимые команды, чтобы исправить разметку. Необходимо иметь в виду, что TestDisk полностью основана на интерфейсе командной строки. Приложение не имеет пользователя. Даже новейшие версии утилиты не дополнены этой возможностью, даже в TestDisk 7.1 инструкция предполагает только работу в командной строке.

Где скачать программу

Через 1-3 секунды загрузится страница с описанием продукта. Вам нужно опуститься до раздела «Operating systems», а затем кликнуть по гиперссылке «Download».

Сразу после этого откроется еще одна страница, на которой можно скачать последнюю стабильную, а также бета версию продукта. Скачиваем программное обеспечение, кликнув по графической ссылке «TestDisk 7.0 Free Download».

После того как утилита будет загружена, требуется распаковать скачанный архив в любое удобное место. При желании программу можно переместить на съемный носитель, так как она полностью портативная. Это значит, что софт не нуждается в установке и его не нужно распаковывать в системную папку такую как Windows или System32.

Теперь остается запустить testdisk_win.exe и можно приступать к работе. Следует учесть, что программа не распространяется на русском языке, поэтому все делайте по инструкции. Пользователям не знакомым с английским рекомендуется воспользоваться переводчиком.

Раздел все еще отстутсвует: Deeper Search

Deeper Search так же ищет резервную копию загрузочного сектора FAT32, резервную копию суперблока загрузочного сектора NTFS , резервную копию суперблока ext2/ext3
чтобы найти больше разделов,

После Deeper Search, результаты будут отображены как на рисунке ниже:
Первый раздел «Partition 1» был найден с помощью резервной копии загрузочного сектора.
В нижней строке окна можно увидеть сообщение «NTFS found using backup sector!» и размер раздела.
Второй раздел «Partition 2» отображен дважды с различными размерами.
Оба раздела помечены со статусом D для удаления, потому что они частично совпадают.

Highlight the first partition Partition 2 and press p to list its data.

• Press q for Quit to go back to the previous display.
• Let this partition with a damaged file system marked as .
• Highlight the second partition below
• Press p to list its files.

It works, you have found the correct partition!

Use the left/right arrow to navigate into your folders and watch your files for more verification

Note: FAT directory listing is limited to 10 clusters, some files may not appears but it doesn’t affect recovery.

Press q for Quit to go back to the previous display.

The available status are Primary, * bootable, Logical and Deleted.

Using the left/right arrow keys, change the status of the selected partition to

Hint: read How to recognize primary and logical partitions?
Note: If a partition is listed *(bootable) but if you don’t boot from this partition, you can change it to Primary partition.

Нажмите Ввод (Enter) для продолжения.