ddrescue
GNU ddrescue je alat za spašavanje podataka s oštećenih medija. Uz pomoć njega se može stvoriti tzv. “slika diska” (engl. disk image) koja se može analizirati alatima poput Autopsy-a kako bi se s nje spasile datoteke.
Koristi poseban algoritam kako bi maksimizirao količinu podataka koja će se obnoviti. U suštini alat prvo kopira veće blokove podataka s neoštećenih područja diska, a zatim pokušava čitati manje količine podataka s oštećenih područja.
Algoritam koji alat ddrescue koristi je sljedeći:
1) Kopiranje (engl. copying) - u kojoj se čitaju veći blokovi podataka. Blokovi koje alat ne uspije pročitati se označuju “neskraćenima” (engl. non-trimmed).
2) Skraćivanje (engl. trimming) - u kojoj se čitaju sektori diska s “neskraćenih” područja (sektor označuje najmanju količinu podataka koja se može pročitati odjednom). Alat čita sektore od ruba neskraćenog bloga naprijed, do prvog sektora kojeg ne može pročitati, a zatim od drugog ruba bloka unazad do prvog sektora kojeg ne može pročitati. Sektori koje alat u ovoj fazi nije uspio pročitati se označavaju lošima, a one do kojih nije ni došao se označavaju “neskupljenima” (engl. non-scraped)
3) Skupljanje (engl. scraping) - u kojoj se pokušavaju pročitati svi sektori koji su označeni “neskupljenima”, ako neke sektore ne može pročitati alat ih označi lošima.
4) Ponovno pokušavanje (engl. retrying)- u kojoj se ponovno pokušavaju čitati svi sektori označeni kao lošima
Moguće je konfigurirati ddrescue tako da odradi samo neku od ovih faza, primjerice većina obnovljivih podataka će se vjerojatno pročitati već u fazi kopiranja, a druge faze će trajati dulje, ali obnoviti manju količinu podataka. Više detalja je moguće pronaći u “manpageu” [1]
U nastavku je opisan primjer spašavanja podataka s oštećenog prijenosnog tvrdog diska alatom ddrescue:
Bitno je da se medij s kojeg čitamo ne mapira (engl. mount) automatski, budući da i sam proces mapiranja može izmijeniti podatke na disku. Sustavi su uglavnom konfigurirani da automatski mapiraju bilo kakav removable medij koji se priključi na računalo. Operacijski sustav Kali Linux ima forenzički način rada gdje se nikakvi diskovi ne mapiraju osim ako to korisnik izričito ne zatraži. Automatsko mapiranje diskova se može isključiti i na drugim Linux distribucijama, primjerice na Ubuntu sustavima se ta opcija može isključiti kroz grafičko sučelje u postavkama (Settings manager→Removable drives and media i odznačiti sve opcije).
Zatim je potrebno na operacijskom sustavu identificirati putanju diska. To je moguće učiniti naredbom “lsblk” koja prikazuje sve dostupne uređaje. Većinom ćemo već po podacima kao što su veličina diska moći odrediti koji disk želimo obnoviti, ali za svaki slučaj možemo tu naredbu izvršiti prije i poslije povezivanja diska s računalom kako bi vidjeli koji se novi disk pojavio.
U ovom primjeru putanja do diska je /dev/sde
Nakon toga sve što trebamo je pokrenuti alat ddrescue.
Osnovno pokretanje alata je:
sudo ddrescue <putanja do diska> <putanja slike diska>
Ispis alata prikazuje trenutnu fazu obnove. Slika diska se zatim može analizirati alatom kao što je Autopsy kako bi se s njega dohvatile datoteke.