Il s'agit de la commande magicrescue qui peut être exécutée dans le fournisseur d'hébergement gratuit OnWorks en utilisant l'un de nos multiples postes de travail en ligne gratuits tels que Ubuntu Online, Fedora Online, l'émulateur en ligne Windows ou l'émulateur en ligne MAC OS
PROGRAMME:
Nom
magicrescue - Scanne un périphérique de bloc et extrait les types de fichiers connus en examinant la magie
octets.
SYNOPSIS
sauvetage magique [ Options ] dispositifs
DESCRIPTION
Ouverture de Magic Rescue dispositifs pour la lecture, les analyse pour les types de fichiers qu'il sait récupérer
et appelle un programme externe pour les extraire. Il regarde les "octets magiques" dans le fichier
contenu, il peut donc être utilisé à la fois comme utilitaire de restauration et pour récupérer un fichier corrompu
lecteur ou partition. Il fonctionne sur n'importe quel système de fichiers, mais sur des systèmes de fichiers très fragmentés, il
ne peut récupérer que le premier morceau de chaque fichier. Ces morceaux sont parfois aussi gros que 50 Mo,
cependant.
Invoquer sauvetage magique, vous devez spécifier au moins un appareil et le -d et -r options.
Consultez la section « UTILISATION » de ce manuel pour commencer.
OPTIONS
-b taille de bloc
Par défaut : 1. Cela dirigera sauvetage magique de ne considérer que les fichiers qui commencent à un
multiple de la taille de bloc argument. L'option s'applique uniquement aux recettes
le suivant, donc en le spécifiant plusieurs fois, il peut être utilisé pour obtenir différents
comportement pour différentes recettes.
En utilisant cette option, vous pouvez généralement obtenir de meilleures performances, mais moins de fichiers seront
trouvé. En particulier, les fichiers avec des déchets de premier plan (par exemple, de nombreux fichiers mp3) et les fichiers
contenus dans d'autres fichiers sont susceptibles d'être ignorés. De plus, certains systèmes de fichiers
n'alignez pas les petits fichiers pour bloquer les limites, afin qu'ils ne soient pas trouvés de cette façon
soit.
Si vous ne connaissez pas la taille de bloc de votre système de fichiers, utilisez simplement la valeur 512, qui est
presque toujours la taille du secteur matériel.
-d annuaire
Obligatoire. Répertoire de sortie des fichiers trouvés. Assurez-vous d'avoir beaucoup d'espace libre
de l'espace dans ce répertoire, en particulier lors de l'extraction de types de fichiers très courants tels que
jpeg ou gzip. Assurez-vous également que le système de fichiers est capable de gérer des milliers de
fichiers dans un seul répertoire, c'est-à-dire n'utilisez pas FAT si vous extrayez plusieurs fichiers.
Vous ne devez pas placer le répertoire de sortie sur le même périphérique de bloc que vous essayez
pour récupérer des fichiers. Cela pourrait ajouter le même fichier au périphérique de bloc avant
la position de lecture actuelle, provoquant sauvetage magique pour retrouver le même fichier
plus tard. Dans le pire des cas théoriques, cela pourrait provoquer une boucle où le même fichier
est extrait des milliers de fois jusqu'à épuisement de l'espace disque. Vous êtes également susceptible
pour écraser les fichiers supprimés que vous recherchiez en premier lieu.
-r recette
Obligatoire. Nom, fichier ou répertoire de la recette. Spécifiez ceci comme un nom simple
(par exemple "jpeg-jfif") ou un chemin (par exemple recettes/jpeg-jfif). S'il ne trouve pas un tel
dans le répertoire courant, il cherchera dans ./recettes et
/usr/share/magicrescue/recettes.
If recette est un répertoire, tous les fichiers de ce répertoire seront traités comme des recettes.
Parcourir le /usr/share/magicrescue/recettes répertoire pour voir quelles sont les recettes
disponible. Une recette est un fichier texte, et vous devriez lire les commentaires à l'intérieur
avant de l'utiliser. Soit utilisez la recette telle quelle ou copiez-la quelque part et modifiez
le
Pour plus d'informations sur la création de vos propres recettes, consultez la section "RECETTES".
-I filet
Lit les fichiers d'entrée de filet en plus de ceux répertoriés sur la ligne de commande. Si
filet est "-", lu à partir de l'entrée standard. Chaque ligne sera interprétée comme un fichier
nom.
-M mode_sortie
Produisez une sortie lisible par machine sur stdout. mode_sortie peut être:
i Imprimer chaque nom de fichier d'entrée avant le traitement
o Imprimer chaque nom de fichier de sortie après le traitement
io Imprimez les noms des fichiers d'entrée et de sortie. Les noms de fichiers d'entrée seront préfixés par
"i" et un espace. Les noms de fichiers de sortie seront préfixés par "o" et un espace.
Rien d'autre ne sera écrit sur la sortie standard dans ce mode.
-O [+|-|=][0x]compenser
Reprendre à partir du spécifié compenser dans le premier appareil. Si préfixé par 0x il sera
être interprété comme un nombre hexadécimal.
Le numéro peut être précédé d'un signe :
= Rechercher une position absolue (par défaut)
+ Chercher une position relative. Sur les fichiers normaux, cela fait la même chose que ci-dessus.
- Recherche EOF, moins le décalage.
UTILISATION
Supposons que vous ayez détruit le système de fichiers sur /dev/hdb1 et que vous vouliez extraire tout le jpeg
fichiers que vous avez perdus. Ce guide suppose que vous avez installé Magic Rescue dans / Usr / local, Qui
est la valeur par défaut.
Assurez-vous que le DMA et d'autres optimisations sont activés sur votre disque, ou cela prendra des heures. Dans
Linux, utilisez hdparm pour définir ces options :
$ hdparm -d 1 -c 1 -u 1 /dev/hdb
Choisissez votre répertoire de sortie, quelque part avec beaucoup d'espace disque.
$ mkdir ~/sortie
Regardez dans le /usr/local/share/magicrescue/recettes répertoire pour les recettes que vous voulez.
Magic Rescue est livré avec des recettes pour certains types de fichiers courants, et vous pouvez également créer les vôtres
(voir la section suivante). Ouvrez les recettes que vous souhaitez utiliser dans un éditeur de texte et lisez leur
commentaires. La plupart des recettes nécessitent un logiciel tiers pour fonctionner, et vous voudrez peut-être modifier
certains paramètres (comme min_output_file) selon vos besoins.
Puis invoquer sauvetage magique
$ magicrescue -r jpeg-jfif -r jpeg-exif -d ~/sortie / dev / hdb1
Il analysera tout votre disque dur, cela peut donc prendre un certain temps. Vous pouvez l'arrêter et
reprendre plus tard si vous le souhaitez. Pour cela, interrompez-le (avec CTRL+C) et notez la progression
informations indiquant à quelle adresse il est arrivé. Puis redémarrez-le plus tard avec le -O option.
Une fois terminé, vous trouverez probablement des milliers de fichiers .jpg dans ~/sortie, dont des
des choses que vous ne saviez pas se trouvaient dans le cache de votre navigateur. Le tri de tous ces fichiers peut être un
tâche énorme, vous pouvez donc utiliser un logiciel ou des scripts pour le faire.
Tout d'abord, essayez d'éliminer les doublons avec le dupemap(1) outil inclus dans ce package.
$ dupemap supprimer, rapport ~/sortie
Si vous effectuez une opération de restauration, vous souhaiterez vous débarrasser de tous les
fichiers qui apparaissent également sur le système de fichiers en direct. Voir le dupemap(1) manuel pour
instructions pour le faire.
Si cela ne suffit pas, vous pouvez utiliser utiliser sort magique(1) pour avoir une meilleure vue d'ensemble :
$ sort magique ~/sortie
RECETTES
La création recette fichiers
Un fichier de recette est un fichier relativement simple de 3 à 5 lignes de texte. Il décrit comment
reconnaître le début du fichier et que faire lorsqu'un fichier est reconnu. Pour
exemple, toutes les images jfif commencent par les octets "0xff 0xd8". Au 6ème octet sera le
chaîne "JFIF". Regarder recettes/jpeg-jfif dans la distribution source pour suivre ce
Exemple.
La correspondance des données magiques est effectuée avec une "opération de correspondance" qui ressemble à ceci :
compenser la vente au détail XNUMXh/XNUMX paramètre
où compenser est un entier décimal indiquant le nombre d'octets depuis le début du fichier
ces données sont localisées, la vente au détail XNUMXh/XNUMX fait référence à une opération de correspondance intégrée dans sauvetage magiqueet
paramètre est spécifique à cette opération.
· Le un magnifique opération correspond à une chaîne de n'importe quelle longueur. Dans l'exemple jfif c'est quatre
octets. Vous pouvez utiliser des caractères d'échappement, comme "\n" ou "\xA7".
· Le int32 opération correspond à 4 octets AND avec un masque de bits. Pour faire correspondre les quatre octets,
utiliser le masque de bits "FFFFFFFF". Si vous n'avez aucune idée de ce qu'est un masque de bits, utilisez simplement le
un magnifique opération à la place. Le masque "FFFF0000" dans l'exemple jfif correspond au premier
deux octets.
· Le carboniser L'opération est comme "chaîne", sauf qu'elle ne correspond qu'à un seul caractère.
Pour apprendre ces modèles pour un type de fichier donné, regardez les fichiers du type souhaité dans un hexadécimal
éditeur, recherchez dans les fichiers de ressources le filet(1) utilitaire
(<http://freshmeat.net/projects/file>) et/ou recherchez sur Internet une référence sur le
le format.
Si toutes les opérations correspondent, nous avons trouvé le début du fichier. Trouver la fin du
fichier est un problème beaucoup plus difficile, et donc il est délégué à une commande shell externe,
qui est nommé par le commander directif. Cette commande reçoit le fichier du périphérique de bloc
descripteur sur stdin et doit écrire dans le fichier qui lui est donné dans la variable $1. En dehors de
cela, la commande peut faire tout ce qu'elle veut pour essayer d'extraire le fichier.
Pour certains types de fichiers (tels que jpeg), il existe déjà un outil capable de le faire. Toutefois plusieurs
les programmes se comportent mal lorsqu'on leur demande de lire à partir du milieu d'un énorme périphérique de bloc. Certains cherchent à
octet 0 avant lecture (peut être corrigé en préfixant cat|, mais certains refusent de travailler sur un fichier
ils ne peuvent pas chercher). D'autres essaient de lire tout le fichier en mémoire avant de faire quoi que ce soit,
qui échouera bien sûr sur un périphérique bloc de plusieurs gigaoctets. Et certains échouent complètement à
analyser un fichier partiellement corrompu.
Cela signifie que vous devrez peut-être écrire votre propre outil ou envelopper un programme existant dans certains
des scripts qui améliorent son comportement. Par exemple, cela pourrait être d'extraire les 10 premiers Mo
dans un fichier temporaire et laissez le programme travailler dessus. Ou peut-être pouvez-vous utiliser
outils/safecat si le fichier peut être très volumineux.
Recette le format référence
Les lignes vides et les lignes commençant par "#" seront ignorées. Une recette contient une série de
des opérations de correspondance pour trouver le contenu et une série de directives pour spécifier ce qu'il faut faire avec
le
Les lignes du format compenser la vente au détail XNUMXh/XNUMX paramètre ajoutera une opération de correspondance à la liste.
Les opérations de correspondance seront tentées dans l'ordre dans lequel elles apparaissent dans la recette, et elles doivent toutes
match pour que la recette réussisse. Les compenser décrit quel décalage ces données seront trouvées
à, en comptant à partir du début du fichier. la vente au détail XNUMXh/XNUMX peut avoir les valeurs suivantes :
un magnifique un magnifique
Le paramètre est une séquence de caractères pouvant contenir des séquences d'échappement telles que
\xFF.
carboniser caractère
Le paramètre est un caractère unique (octet) ou une séquence d'échappement.
int32 Plus-value masque de bits
Le Plus-value et masque de bits sont exprimés sous forme de chaînes hexadécimales de 8 caractères. masque de bits sera
ANDed avec les données, et le résultat sera comparé à Plus-value. L'ordre des octets est
comme vous le voyez dans l'éditeur hexadécimal, c'est-à-dire big-endian.
La première opération de correspondance dans une recette est spéciale, elle sera utilisée pour parcourir les
déposer. Seulement le carboniser et un magnifique les opérations peuvent y être utilisées. Pour ajouter plus d'opération
types, regardez les instructions dans magicrescue.c.
Une ligne qui ne commence pas par un entier est une directive. Cela peut être:
l'extension de poste
Obligatoire. poste nomme l'extension de fichier pour ce type, par exemple "jpg".
commander commander
Obligatoire. Lorsque toutes les opérations de correspondance réussissent, cette commander sera exécuté à
extrayez le fichier du périphérique de bloc. commander est transmis au shell avec le
bloquer le descripteur de fichier du périphérique (recherché dans l'octet de droite) sur stdin. La coquille
La variable $1 contiendra le fichier dans lequel sa sortie doit être écrite, et elle doit
respecte cela. Autrement sauvetage magique ne peut pas dire s'il a réussi.
rebaptiser commander
Optionnel. Après une extraction réussie, cette commande sera exécutée. Son but est
pour rassembler suffisamment d'informations sur le fichier pour le renommer en quelque chose de plus
significative. Le script ne doit pas exécuter la commande de renommage lui-même, mais il doit
écrire sur la sortie standard la chaîne "RENOMMER", suivie d'un espace, suivi du
nouveau nom de fichier. Rien d'autre ne doit être écrit sur la sortie standard. Si le fichier
ne doit pas être renommé, rien ne doit être écrit sur la sortie standard. Standard
input et $1 fonctionnera comme avec le commander Directive.
min_output_file longueur du câble
Par défaut : 100. Les fichiers de sortie inférieurs à cette taille seront supprimés.
autoriser_chevauchement octets
Par défaut, les recettes ne correspondront pas aux plages d'octets qui se chevauchent. autoriser_chevauchement
désactive cela, et il doit toujours être utilisé pour les recettes où le fichier extrait
peut être plus volumineux qu'il ne l'était sur le disque. Si octets est négatif, la vérification de chevauchement sera
complètement désactivé. Sinon, la vérification de chevauchement sera en vigueur pour tout
mais le dernier octets de la sortie. Par exemple, si la sortie peut aller jusqu'à 512
octets plus gros que l'entrée, autoriser_chevauchement doit être réglé sur 512.
Pour tester si votre recette fonctionne réellement, exécutez-la simplement sur votre disque dur ou utilisez
le outils/recette de contrôle script pour sélectionner les fichiers qui devraient correspondre mais ne le font pas.
Si vous avez créé une recette qui fonctionne, veuillez me l'envoyer par courrier à [email protected] donc je peux
l'inclure dans la distribution.
QUAND À ne pas UTILISATION MAGIC PORTER SECOURS
Magic Rescue n'est pas censé être une application universelle pour la récupération de fichiers. ça donnera
de bons résultats lorsque vous extrayez des types de fichiers connus à partir d'un système de fichiers inutilisable, mais
pour de nombreux autres cas, de meilleurs outils sont disponibles.
· S'il y a des partitions intactes présentes quelque part, utilisez gpart pour les trouver.
· Si les structures de données internes du système de fichiers ne sont plus ou moins endommagées, utilisez Le manuel de formation Sleuth
Kit. Au moment de la rédaction de cet article, il ne prend en charge que NTFS, FAT, ext[23] et FFS.
· Si Magic Rescue n'a pas de recette pour le type de fichier que vous essayez de récupérer,
Essai avant toute chose au lieu. Il reconnaît plus de types de fichiers, mais dans la plupart des cas, il extrait
simplement en copiant un nombre fixe d'octets après avoir trouvé le début de la
déposer. Cela rend le post-traitement des fichiers de sortie plus difficile.
Dans de nombreux cas, vous souhaiterez utiliser Magic Rescue en plus des outils mentionnés ci-dessus.
Ils ne s'excluent pas mutuellement, par exemple en combinant sauvetage magique avec DLS du kit de détective
pourrait donner de bons résultats. Dans de nombreux cas, vous voudrez utiliser sauvetage magique pour extraire son
types de fichiers connus et un autre utilitaire pour extraire le reste.
Lorsque vous combinez les résultats de plusieurs outils, dupemap(1) peut être utilisé pour éliminer
doublons.
Utilisez magicrescue en ligne en utilisant les services onworks.net
