您好、欢迎来到现金彩票网!
当前位置:2019棋牌游戏网 > 系统文件 >

用Scalpel紧急找回丢失的文件

发布时间:2019-07-22 04:52 来源:未知 编辑:admin

  【译】系统管理员的部分职责是帮助用户管理数据。这么做的一个重要方面是,确保贵公司有良好的备份计划,用户定期备份,或者使定期备份实现自动化。

  然而糟糕的情况时而会发生。文件误删除,文件系统损坏或分区丢失,无论出于何种原因,备份都未含有你需要的内容。

  在试图恢复丢失的数据之前,你得先查明数据丢失的原因。用户可能只是放错了文件,或者用户不知道有备份。但如果用户确实删除了没有备份的文件,你就需要恢复删除的文件。不过如果分区表被打乱了,文件其实根本没有丢失,你可能需要考虑用TestDisk(来恢复分区表或分区本身。

  如果文件或分区恢复不成功,或只恢复了一部分,该如何是好?这时候Scalpel(出场了。 Scalpel基于描述独特文件类型的模式来执行文件雕复(file carving)。它基于二进制字符串和正则表达式查找这些模式,然后相应提取文件。

  Scalpel捆绑有全面的文件类型及独特的识别功能。有时,可以通过头尾部的可预测文本来识别文件:

  Scalpel要求你复制f,编辑副本以添加希望恢复的文件类型,将不需要的文件类型排除在外。比如,如果你知道没有或不关心.fws文件,就在文件中将该行注释掉。这么做可以加快恢复过程并减少误报。

  文件扩展名。 头尾部是不是区分大小写(y或n)。 希望Scalpel找到的最小和最大的文件。 识别文件开始的标准头部。 识别文件结束的标准尾部。

  footer字段是可选的。如果未提供footer,Scalpel提取你设为文件类型最大值的字节数。

  此结果意味着你可能需要增加文件的边界最大值,然后重新扫描,以便文件的末尾也能恢复:

  首先拷贝Scalpel配置文件。如果你的所有用户生成类似的数据,整个公司可能只需要一个配置文件。或者,每个部门都有一个配置文件可能更好。

  hexdump的标准输出在最左列显示地址,在最右边显示解码值。中间列显示的是XCF文件第一行的前8个字节的十六进制字节。

  将该值与你的系统上任何JPG文件的前6个字节的测试十六进制值(因为这是scalpel.conf在其JPG定义中包含的字节数)进行比较:

  这些值匹配,因此你可以确信有效的JPG文件可能都以可预测的顺序开始和结束。

  注意:scalpel.conf文件中的Ogg条目具有误导性,因为它没有\ x换码序列。如果你需要恢复Ogg文件,请解决此问题或替换其定义。

  现在,为你需要恢复的所有文件(比如前面例子中的XCF)获得同样的信心级别。重申一下,这是你定义问题驱动器常见的二进制文件类型的工作流程:

  1. 使用head -bytes n命令,获取文件类型的前几个字节的十六进制值。

  3. 对几个相同类型的不同文件重复此过程,以确认此模式的一致性,根据需要调整头部和尾部模式的长度。

  4. 在自定义Scalpel配置中输入头部值和尾部值,使用\ x表示法将每个字节标识为十六进制字符。

  如果文件是纯文本,提供通用头部和尾部,比如代表shell脚本的#!/bin/sh、代表带有h1级标题的标记文件的#(#后面的空格很重要)、代表XML文件的

  总之,最好进行备份,那样可以避免文件恢复。但万一发生最坏的情况,不妨试试Scalpel、慎重雕复。

http://kickcheaps.com/xitongwenjian/454.html
锟斤拷锟斤拷锟斤拷QQ微锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷微锟斤拷
关于我们|联系我们|版权声明|网站地图|
Copyright © 2002-2019 现金彩票 版权所有