KALF Computertechniek

file recovery

"Bestanden zijn er om kwijt te raken" blijkt een adagium van computergebruikers.

Overkomt het je in Linux, OS-X of Windows dat bestanden " verdwenen" lijken of dat je harddisk zg. is gecrasht?

Don' t Panic!! Linux comes to rescue!

Mac en Windows gebruikers kunnen daartoe een Linux-iso bestand downloaden en op een USB stok o.i.d. "branden" en vervolgens met Testdisk en/of Photorec en/of exclusief voor Linux gebruikers: ExtUndelete, hunner bestanden terughalen.

Lees en huiver hoe het mij vergaan is in zo'n geval:

Mijn jongste misser heeft plaatsgevonden bij de configuratie van een FTP-server!
Teneinde het  FTP verkeer tot een bepaalde map te begrenzen gaf ik het commando

usermod --home /schijf/publieke_map/ tmpftpuser

en na enig testen en een werkende ftp-server kreeg ik het limineuze idee dat de "tmpftpuser" niet meer nodig was en heb ik deze verwijderd via de beschikbare grafische interface, welke handeling gelijk stond aan het cli commando

userdel -r tmpftpuser

Let op de "-r" parameter, welke veroorzaakt dat alle bestanden van degebruiker gewist gaan worden.
Lekker is dat, net nu ik er niet bij stil gestaan had dat ik eerder mijn NFS drive met mijn publieke map als "home" heb toegewezen aan onderhavige "tmpftpuser".

FCUK: mijn in de afgelopen 10 jaar verzamelde documentatie, scripts, files, iso's en ga zo maar door in ÉÉN KLAP WEG, FOETSIE, PLEITE!!!!

Echter...geen paniek en doe wat ik NIET gedaan heb: NERGENS AANKOMEN behalve in een terminal het commando:

debugfs -w /dev/sdXX

uitvoeren, dan is er niets aan de hand.
Maar ja, de paniek sloeg toe en ik heb de schijf direct losgekoppeld (unmounted) en zelfs fysiek verwijderd!!
Stom, stom, want hierdoor bleek ik mezelf in de vingers gesneden te hebben en werd ik gedwongen om een undelete sessie op te starten.

hulpmiddelen

Voor herstel van beschadigde bestanden en partities zijn de nodige applicaties voorhanden:

  • Testdisk
    Geschikt om een verwijderde partitie te herstellen.
  • Photorec
    Foto recovery, maar ook files. Het grote nadeel is dat alle bestanden een serienummer krijgen en de naam verdwijnt
  • Extundelete
    That's the ONE

extundelete

Simpel, snel (afhankelijk van het aantal bestanden natuurlijk) en doeltreffend.extundelete
Maar..... NEVER, EVER, NOOIT en TE NIMMER de onderhavige schijf nog bewerken door schrijf- of delete acties uit te voeren en/of los te koppelen!
(of zoals ik gedaan heb na het het "userdel" commando afgekapt te hebben.
Wat mij al met al toch wel enige bestandjes gekost heeft)wink

Start een terminal sessie

Onderzoek welke schijven gemount zijn
mount

Bekijk welk device (/dev) bij de schijf hoort

blkid (# of sudo blkid)

Unmount de schijf met de verwijderde bestanden

sudo umount /dev/sdXX

Hett kan gebeuren dat het systeem meldt dat de schijf "busy" is, in welk geval er een "service" draait, welke afhankelijk is van lees- en/of schrijfacties naar de onderhavige schijf. (b.v. Apachr2, ftp, torrent, etc.)
Zoek naar de betreffende service:

fuser /dev/sdXX

Stop service(s) dan met:

sudo service applicatie_naam stop
en vervolgens kan de schijf nu wel losgekoppeld worden
sudo umount /dev/sdXX

Bekijk welke schijf nu niet meer in de lijst voorkomt. (/dev/sdXX)

mount
Edit /etc/fstab en REM de mount regel van deze schijf door de regel te starten met een #
sudo nano /etc/fstab
Installeer extundelete
sudo apt-get install extundelete
Ga naar de map /mnt
cd /mnt
Maak een nieuwe map aan, bv recovery
sudo mkdir recovery
Koppel een tweede harddisk aan en zoek je betreffende schijf
mount
Koppel de schijf aan
sudo mount /dev/sdXX /mnt/recovery
Ga naar de juiste map
cd /mnt/recovery
Maak deze schijf lees en schrijfbaar voor iedereen
sudo chmod -R 777 /mnt/recovery
Type nu het volgende commando om het wonder te doen geschieden
extundelete
en ga koffie drinken, slapen of een roeiboot bouwen, zie maar, whatever.
This takes time!!

Resultaat na ca 100GB en 2,5 uur:

undelete recovery vóór en na
undelete voorundelete NA  
Drucken