Công cụ phục hồi dữ liệu nguồn mở

Sự cố luôn xảy ra với phần quan trọng nhất của máy tính. May mắn thay, các ứng dụng nguồn mở như SystemRescueCD, dd, Partedmagic, BackTrack, Security Tools Distribution, Heli và TestDisk có thể giúp phục hồi dữ liệu quan trọng, khiến các hệ thống đã tê liệt hoạt động trở lại.

Trong khi máy tính và các hệ thống tập tin ngày càng lớn theo từng năm, luôn luôn có chỗ cho các kỹ thuật phục hồi sự cố. Giải pháp nguồn mở giúp bạn phục hồi từ đống lộn xộn đó, bạn không bị bó buộc vào giá thành sản phẩm, bản quyền hay thỏa thuận đăng ký, thêm nữa nếu thích bạn có thể thay đổi mã nguồn tùy theo nhu cầu của bản thân.

Nhiều giải pháp được mô tả trong bài chạy trên đa nền tảng (Lin/Win/Mac), nhưng một số khác chỉ chạy trên *NIX và sẽ được chỉ rõ.

Linux Distros dành riêng cho phục hồi dữ liệu

Phân phối Linux dành riêng cho phục hồi là điểm đơn giản nhất để bắt đầu nếu bạn cần lấy lại các dữ liệu quan trọng. Bạn sẽ có được rất nhiều công cụ đã được sắp xếp ở một mức độ nào đó trong một chương trình duy nhất.

Nhiều phiên bản “nhỏ” như Puppy Linux hoặc DSL hoạt động rất tốt, và hiệu quả nếu chỉ cài đặt một ổ đĩa rồi chép các tập tin ra bằng tay mà không làm gì đặc biệt. Một người có hiểu biết về kỹ thuật máy tính tốt nhất nên chọn một phiên bản có càng nhiều công cụ phục hồi tích hợp càng tốt.

Ví dụ, phiên bản SystemRescueCD của Gentoo chứa một loạt các công cụ trong một tập tin ISO 200 MB. Khởi động nó từ một CD hoặc ổ USB rồi bạn có thể thực hiện chức năng phục hồi từ dòng lệnh hoặc một desktop X tùy chỉnh. Tuy nhiên, SRCD cần đến một số kiến thức về Linux, nếu bạn không thoải mái khi cài đặt ổ đĩa bằng tay từ dòng lệnh, bạn có thể cảm thấy bối rối. Tóm lại, bạn có thể thực hiện hầu hết mọi thứ nếu không ngại học một chút.

Một phiên bản phục hồi khác thân thiện hơn là Partedmagic. Nó có nhiều công cụ tương tự, nhưng nó khởi động trực tiếp vào một desktop X đồng thời cung cấp một giao diện đồ họa có thể truy cập đến hầu hết các chương trình thông thường và mạnh mẽ. Một lần nữa, một chút kiến thức về Linux sẽ rất có ích, kể cả đó chỉ là kỹ thuật cơ bản như lắp đặt hoặc bỏ lắp đặt hệ thống tập tin. Tuy nhiên, người sử dụng ít thành thạo hơn có thể bắt đầu với chương trình này.

Đối với cả hai phiên bản, bạn có thể thoải mái chạy tất cả các ứng dụng Linux, kết nối Internet nếu cần, và làm hầu hết những gì bạn có thể quan tâm đến.

Các chuyên gia không e ngại sử dụng dòng lệnh và muốn có một bộ công cụ đầy đủ có thể chọn một trong các phiên bản live CD, được biên soạn để thực hiện điều tra pháp lý theo nhiều dạng (phục hồi dữ liệu có thể là một trong các chức năng).


Giao diện Helix

Một chương trình Knoppix dành cho công việc pháp lý/phục hồi khác là Helix, chương trình này chạy mặc địch trên chế độ có thể gọi là “khó chịu”: nó sẽ không cài đặt bất cứ hệ thống tập tin nào trừ khi được lệnh cụ thể. Vì từng phiên bản này là một live CD, hãy thử từng cái để xác định cái nào phù hợp với bạn nhất.

Dd và các "biến thể"

Công cụ phục hồi dữ liệu sử dụng dòng lệnh phổ biến từ thế giới Linux (hoặc *NIX) là dd. Nó có thể được sử dụng để tạo ra một tập tin ảnh từ hệ thống tập tin đã được cài đặt hoặc từ thiết bị. Điều này có ích nếu bạn xử lý một hệ thống tập tin hoặc thiết bị đã hư hại một phần, và bạn muốn thực hiện quá trình phục hồi trên một bản sao của dữ liệu hơn là trên chính thiết bị.

Phiên bản “gốc” của dd đi kèm với hầu hết các Linux, nhưng bạn có thể sử dụng một "biến thể" khác gọi là dd_rescue, với cách hoạt động hơi khác một chút. Cùng với chương trình này, bạn có thể sử dụng dd_rhelp, đây là một ứng dụng khiến cho việc sử dụng dd_rescue dễ dàng hơn. (Một chương trình khác gọi là ddrescue [chú ý không có dấu gạch chân] cũng tồn tại, với có các lựa chọn khác biệt)

Chú ý rằng khi bạn cố tạo một tập tin ảnh sử dụng một trong những chương trình này, luôn chắc chắn rằng đích của tập tin ảnh ít nhất có đủ chỗ trống như thiết bị gốc. Đồng thời, dd có thể được sử dụng để phá hủy dữ liệu trên bất cứ hệ thống hoặc thiết bị nào, vì vậy hãy làm quen với cách sử dụng chương trình trước khi thực hiện bất cứ điều gì.

Ngoài Dd

Nếu sử dụng dd là quá khó, bạn có thể chuyển sang chương trình dễ tương tác hơn. Hãy cân nhắc TestDisk, chương trình có thể thực hiện chức năng giống như dd đồng thời được thiết kế cho các hoạt động phục hồi toàn bộ ổ đĩa khác – ví dụ, phục hồi một phần bộ nhớ bị mất vì hư hại hoặc tự xóa.

TestDisk sử dụng một menu và đi kèm với hướng dẫn chi tiết từng bước để chạy chương trình trên nhiều nền và hệ thống tập tin khác nhau, tuy nhiên bạn sẽ cần những hiểu biết nhất định về cấu trúc ổ đĩa (phần bộ nhớ, bảng phân bố, v.v.) truớc khi bắt đầu thực hiện.


TestDisk

Ảnh dd có thể được cài đặt trực tiếp như hệ thống tập tin trong Linux bằng cách sử dụng lệnh mount. Tuy nhiên, nếu ảnh có chứa một hệ thống tập tin mà bạn muốn khởi động trực tiếp, vẫn có cách để boot ảnh đó trong một máy ảo. Điều này có lợi nếu bạn lo lắng về virut trên ổ đĩa ảnh, hoặc muốn thực hiện loại công việc khác yêu cầu môi trường thực nhưng lại không có máy thừa.

Cộng cụ Live View nền tảng Java cho phép bạn biến bất cứ ảnh dd nào thành một máy ảo VMware, đồng thời các thay đổi trên ảnh được lưu trong bộ nhớ đệm vì vậy ảnh gốc không hề bị chạm tới. Lưu ý rằng bạn cần cài đặt sản phẩm VMware (ví dụ VMware Player) để có thể chạy Live View.

File Carving

Như đã đề cập phía trên, chung ta có khả năng phục hồi tập tin từ hệ thống tập tin mà bộ nhớ bị hư hại hoặc bản thân ổ đĩa đã bị format một phần. Việc này có thể được thực hiện bằng một kỹ thuật gọi là “data carving” hoặc “file carving”, một chương trình săn đuổi các loại tập tin cụ thể bằng cách tìm kiếm các kiểu dáng phổ biến đối với một số loại tập tin. Một trong các điều có lợi nhất của kỹ thuật này đó là nó gần như hoàn toàn tự động: bạn chỉ việc chỉ vào phần bộ nhớ - hoặc địa chỉ của phần bộ nhớ - rồi chọn địa chỉ lưu trữ tập tin, rồi mặc cho chương trình tự chạy.

Tác giả của TestDisk đã tạo ra một công cụ file-carving xuất sắc gọi là PhotoRec, chương trình này phục hồi rất nhiều định dạng tập tin thông thường từ hầu hết các loại media.

Thiết lập mặc định cho PhotoRec hoạt động nói chung là ổn, nhưng nếu bạn cần điều chỉnh chi tiết hơn thì vẫn có một số lựa chọn có thể đặt. “Paranoid mode”, thông thường được tắt, sẽ phục hồi mọi thứ bao gồm các tập tin bị lỗi không thể phục hồi. Nếu bạn bật chế độ này, bạn sẽ phục hồi được nhiều dữ liệu hơn, nhưng quá trình phục hồi diễn ra lâu hơn. Tương tự, “Keep corrupted files” sẽ phục hồi tập tin không thể đọc hoàn chỉnh với hy vọng rằng người sử dụng có thể cứu được cái gì đó từ chúng, có thể với một trình soạn thảo hex hoặc một công cụ khác.

Lưu ý rằng hầu hết các tập tin được phục hồi với PhotoRec sẽ không có tên gốc, nhưng dữ liệu bên trong vẫn tồn tại (ví dụ các tag MP3 hoặc dữ liệu EXIF). Đồng thời lưu ý rằng nếu bạn tìm kiếm một loại tập tin cụ thể nào đó trong một hệ thống tập tin nhỏ, bạn có thể sử dụng lựa chọn bên trong chương trình nhằm thu gọn quá trình tìm kiếm và tiết kiệm thời gian.

TestDisk và PhotoRec nằm trong đĩa giải cứu Partedmagic theo mặc định, vì vậy đó là cách dễ nhất để có được chúng và tiến hành công việc phục hồi – tuy nhiên bạn cũng có thể tải và sử dụng chúng như các chương trình riêng biệt. Cả hai đồng thời có thể được kết hợp vào đĩa giải cứu BartPE. Mẹo đưa ra là mang kèm chúng với cài đặt PortableApps của mình. Cũng có thể cài đặt chúng vào một ổ đĩa lưu động, khởi động một DVD cài đặt Vista (nếu bạn có), vào dòng lệnh System Recovery rồi chạy các chương trình này từ đó.

Ứng dụng Data-Carving cao cấp

Test Disk và PhotoRec chỉ là bề nổi của tảng băng, các chương trình cao cấp hơn thường dành cho công việc pháp lý quan trọng chứ không được sử dụng tùy ý.

Cha đẻ của tất cả các chương trình data-carving là Foremost, được phát triển đầu tiên cho Văn phòng điều tra đặc biệt của Lực lượng không quân Hoa Kỳ. Chương trình này hiện nay đã được phổ biến đến phạm vi quần chúng, vì vậy nó có thể được sử dụng ở bất cứ nơi đâu hay thậm chí được tái sử dụng trong các chương trình khác. Lưu ý rằng hệ nhị phân không thể sử dụng cho Foremost; thông thường bạn phải biên soạn chương trình từ nguồn để khiến nó làm việc được. Một số bản phân phối Linux (ví dụ Ubuntu Feisty) có phiên bản Foremost được biên soạn trước trong nơi lưu trữ phần mềm, việc này khiến việc tải và sử dụng nó dễ dàng hơn.

Trình tương tự là Scalpel, bản viết lại của phiên bản Foremost 0.69 – nó nhanh hơn, sử dụng bộ nhớ hiệu quả hơn, đồng thời có một số chức năng tiện lợi cho việc phục hồi tập tin. Nó cũng không dùng được trong phiên bản nhị phân, và phải được biên soạn từ nguồn.

Công cụ fsstat của Sleuth Kit đưa thông tin chi tiết về hệ thống tập tin ảnh kết xuất từ một ổ đĩa bị hỏng

Một tập hợp công cụ rất mạnh có thể chạy trên nhiều nền (*NIX, BSD, và Windows sử dụng thư viện CYGWIN) là The Sleuth Kit. Giống như Foremost và Scalpel, nó có thể tìm kiếm các tập tin bị xóa dựa trên cấu trúc băm (hash) và chữ ký, ngoài ra nó còn cung cấp hàng loạt các chức năng khác. TSK trên danh nghĩa là một bộ công cụ sử dụng dòng lệnh, bạn có thể sử dụng như vậy nếu cảm thấy thoải mái, hoặc có thể tải một giao diện đồ họa gọi là Autospy cung cấp ngoại vi cho các công cụ trong bộ sản phẩm này.

Nhóm công cụ phục hồi và data-carving không phải là nguồn mở nhưng cũng không phải là thương mại đáng được nhắc đến là các tiện ích PartitionSupport.com. Các tiện ích này chạy trên Windows 32 bit và cung cấp các chức năng phục hồi dữ liệu từ tất cả các loại hệ thống tập tin bị hư hại.

Trong các ứng dụng sẵn có – chỉ là khái quát về những gì chúng có thể thực hiện – FindJPG và FindDoc lùng sục từng cylinder một trong ổ đĩa rồi khôi phục lại tất cả tập tin đuôi JPG và DOC vào thư mục hiện hành, đặc điểm này giống với PhotoRec. Một lần nữa, mã nguồn không sẵn có cho các công cụ này, nhưng chúng rất dễ sử dụng và hoàn toàn miễn phí cho cá nhân, vì vậy chúng phù hợp trong vai trò công cụ phục hồi dữ liệu cho cá nhân hoặc gia đình.

Thứ Hai, 30/06/2008 14:21
31 👨 1.547