Este é o comando magicrescue que pode ser executado no provedor de hospedagem gratuita OnWorks usando uma de nossas várias estações de trabalho online gratuitas, como Ubuntu Online, Fedora Online, emulador Windows online ou emulador MAC OS online
PROGRAMA:
NOME
magicrescue - verifica um dispositivo de bloqueio e extrai tipos de arquivos conhecidos, olhando para a magia
bytes.
SINOPSE
resgate mágico [ opções ] dispositivos
DESCRIÇÃO
Magic Rescue abre dispositivos para leitura, verifica os tipos de arquivo que sabe como recuperar
e chama um programa externo para extraí-los. Ele olha para "bytes mágicos" no arquivo
conteúdo, por isso pode ser usado tanto como um utilitário de undelete e para recuperar um corrompido
unidade ou partição. Funciona em qualquer sistema de arquivos, mas em sistemas de arquivos muito fragmentados,
só pode recuperar o primeiro pedaço de cada arquivo. Esses pedaços às vezes chegam a 50 MB,
no entanto.
Invocar resgate mágico, você deve especificar pelo menos um dispositivo e o -d e -r opções.
Consulte a seção "USO" neste manual para começar.
OPÇÕES
-b tamanho do bloco
Padrão: 1. Isso direcionará resgate mágico para considerar apenas os arquivos que começam em um
múltiplo do tamanho do bloco argumento. A opção aplica-se apenas às receitas
seguindo-o, portanto, especificando-o várias vezes, ele pode ser usado para obter diferentes
comportamento para diferentes receitas.
Usando esta opção, você geralmente pode obter um melhor desempenho, mas menos arquivos serão
encontrado. Em particular, arquivos com lixo à esquerda (por exemplo, muitos arquivos mp3) e arquivos
contidos em outros arquivos provavelmente serão ignorados. Além disso, alguns sistemas de arquivos
não alinhe arquivos pequenos para bloquear limites, então eles não serão encontrados desta forma
qualquer um.
Se você não sabe o tamanho do bloco do seu sistema de arquivos, basta usar o valor 512, que é
quase sempre o tamanho do setor de hardware.
-d anuário
Obrigatório. Diretório de saída para arquivos encontrados. Certifique-se de ter bastante
espaço neste diretório, especialmente ao extrair tipos de arquivo muito comuns, como
arquivos jpeg ou gzip. Certifique-se também de que o sistema de arquivos é capaz de lidar com milhares de
arquivos em um único diretório, ou seja, não use FAT se estiver extraindo muitos arquivos.
Você não deve colocar o diretório de saída no mesmo dispositivo de bloco que está tentando
para resgatar arquivos. Isso pode adicionar o mesmo arquivo ao dispositivo de bloco antes de
a posição de leitura atual, causando resgate mágico para encontrar o mesmo arquivo novamente
mais tarde. No pior caso teórico, isso poderia causar um loop onde o mesmo arquivo
é extraído milhares de vezes até que o espaço em disco se esgote. Você também é provável
para substituir os arquivos excluídos que você estava procurando em primeiro lugar.
-r receita
Obrigatório. Nome da receita, arquivo ou diretório. Especifique isso como um nome simples
(por exemplo, "jpeg-jfif") ou um caminho (por exemplo receitas / jpeg-jfif) Se não encontrar tal
arquivo no diretório atual, ele irá procurar ./receitas e
/ usr / share / magicrescue / recipes.
If receita é um diretório, todos os arquivos nesse diretório serão tratados como receitas.
Navegue pelo / usr / share / magicrescue / recipes diretório para ver o que são as receitas
acessível. Uma receita é um arquivo de texto, e você deve ler os comentários dentro dele
antes de usá-lo. Use a receita como está ou copie-a em algum lugar e modifique
.
Para obter informações sobre como criar suas próprias receitas, consulte a seção "RECEITAS".
-I lima
Lê arquivos de entrada de lima além dos listados na linha de comando. Se
lima é "-", lido da entrada padrão. Cada linha será interpretada como um arquivo
nome.
-M modo_saída
Produza saída legível por máquina para stdout. modo_saída pode ser:
i Imprima cada nome de arquivo de entrada antes de processar
o Imprima cada nome de arquivo de saída após o processamento
io Imprima os nomes dos arquivos de entrada e saída. Os nomes dos arquivos de entrada serão prefixados por
"i" e um espaço. Os nomes dos arquivos de saída serão prefixados por "o" e um espaço.
Nada mais será gravado na saída padrão neste modo.
-O [+|-|=][0x]compensar
Retomar do especificado compensar no primeiro dispositivo. Se prefixado com 0x ele vai
ser interpretado como um número hexadecimal.
O número pode ser prefixado com um sinal:
= Buscar uma posição absoluta (padrão)
+ Procure uma posição relativa. Em arquivos normais, isso faz o mesmo que o anterior.
- Procure EOF, menos o deslocamento.
USO
Digamos que você destruiu o sistema de arquivos em / dev / hdb1 e deseja extrair todo o jpeg
arquivos que você perdeu. Este guia assume que você instalou o Magic Rescue em / usr / local, o qual
é o padrão.
Certifique-se de que o DMA e outras otimizações estejam habilitadas em seu disco ou isso levará horas. No
Linux, use hdparm para definir estas opções:
$ hdparm -d 1 -c 1 -u 1 / dev / hdb
Escolha o diretório de saída, em algum lugar com muito espaço em disco.
$mkdir ~ / output
Olhe no / usr / local / share / magicrescue / recipes diretório para as receitas que você deseja.
Magic Rescue vem com receitas para alguns tipos de arquivo comuns, e você também pode fazer o seu próprio
(veja a próxima seção). Abra as receitas que deseja usar em um editor de texto e leia seus
comentários. A maioria das receitas requer software de terceiros para funcionar, e você pode querer modificar
alguns parâmetros (como min_output_file) para atender às suas necessidades.
Então invoque resgate mágico
$ magicrescue -r jpeg-jfif -r jpeg-exif -d ~ / output / dev / hdb1
Ele fará a varredura em todo o disco rígido, por isso pode demorar um pouco. Você pode pará-lo e
retome mais tarde do que você quiser. Para fazer isso, interrompa (com CTRL + C) e observe o progresso
informações que dizem a que endereço foi enviado. Em seguida, reinicie-o mais tarde com o -O opção.
Quando terminar, você provavelmente encontrará milhares de arquivos .jpg em ~ / output, incluindo
coisas que você nunca soube que estavam no cache do navegador. Classificar todos esses arquivos pode ser um
tarefa enorme, então você pode querer usar software ou scripts para fazer isso.
Primeiro, tente eliminar duplicatas com o dupemapa(1) ferramenta incluída neste pacote.
$ dupemap deletar, reportar ~ / output
Se você estiver realizando uma operação de recuperação, você vai querer se livrar de todos os resgatados
arquivos que também aparecem no sistema de arquivos ativo. Veja o dupemapa(1) manual para
instruções sobre como fazer isso.
Se isso não for suficiente, você pode usar magia(1) para obter uma visão geral melhor:
$ magicsort ~ / output
RECEITAS
Criar receita arquivos
Um arquivo de receita é um arquivo relativamente simples de 3-5 linhas de texto. Ele descreve como
reconhecer o início do arquivo e o que fazer quando um arquivo for reconhecido. Para
exemplo, todas as imagens jfif começam com os bytes "0xff 0xd8". No 6º byte estará o
string "JFIF". Olhe para receitas / jpeg-jfif na distribuição de origem para seguir este
exemplo.
A correspondência de dados mágicos é feita com uma "operação de correspondência" semelhante a esta:
compensar operação parâmetro
onde compensar é um número inteiro decimal que indica quantos bytes do início do arquivo
esses dados estão localizados, operação refere-se a uma operação de correspondência integrada em resgate mágico e
parâmetro é específico para essa operação.
· O corda operação corresponde a uma string de qualquer comprimento. No exemplo jfif, são quatro
bytes. Você pode usar caracteres de escape, como "\ n" ou "\ xA7".
· O int32 operação corresponde a 4 bytes ANDed com uma máscara de bits. Para combinar todos os quatro bytes,
use a máscara de bits "FFFFFFFF". Se você não tem ideia do que é uma máscara de bits, basta usar o
corda operação em vez disso. A máscara "FFFF0000" no exemplo jfif corresponde à primeira
dois bytes.
· O carbonizar operação é como "string", exceto que corresponde apenas a um único caractere.
Para aprender esses padrões para um determinado tipo de arquivo, olhe para os arquivos do tipo desejado em um hexadecimal
editor, pesquise os arquivos de recursos para o lima(1) utilidade
(<http://freshmeat.net/projects/file>) e / ou pesquise na Internet por uma referência sobre o
formato.
Se todas as operações corresponderem, encontramos o início do arquivo. Encontrando o fim do
arquivo é um problema muito mais difícil e, portanto, é delegado a um comando de shell externo,
que é nomeado pelo comando diretiva. Este comando recebe o arquivo do dispositivo de bloco
descritor em stdin e deve escrever no arquivo fornecido a ele na variável $ 1. Além de
isso, o comando pode fazer qualquer coisa que quiser para tentar extrair o arquivo.
Para alguns tipos de arquivo (como jpeg), já existe uma ferramenta que pode fazer isso. Porém muitos
os programas se comportam mal quando instruídos a ler no meio de um dispositivo de bloco enorme. Alguns procuram
byte 0 antes da leitura (pode ser corrigido prefixando cat |, mas alguns se recusam a trabalhar em um arquivo
eles não podem procurar). Outros tentam ler todo o arquivo na memória antes de fazer qualquer coisa,
que irá obviamente falhar em um dispositivo de bloco muti-gigabyte. E alguns falham completamente em
analise um arquivo parcialmente corrompido.
Isso significa que você pode ter que escrever sua própria ferramenta ou embrulhar um programa existente em algum
scripts que fazem com que ele se comporte melhor. Por exemplo, isso poderia ser para extrair os primeiros 10 MB
em um arquivo temporário e deixe o programa trabalhar nisso. Ou talvez você possa usar
ferramentas / cofre se o arquivo for muito grande.
Receita formato referência
Linhas vazias e linhas que começam com "#" serão ignoradas. Uma receita contém uma série de
operações de correspondência para encontrar o conteúdo e uma série de diretivas para especificar o que fazer com
.
Linhas do formato compensar operação parâmetro irá adicionar uma operação de correspondência à lista.
As operações de correspondência serão tentadas na ordem em que aparecem na receita, e todas devem
corresponder para a receita ter sucesso. o compensar descreve qual deslocamento esses dados serão encontrados
em, contando a partir do início do arquivo. operação pode ter os seguintes valores:
corda corda
O parâmetro é uma sequência de caracteres que pode conter sequências de escape, como
\ xFF.
carbonizar personagem
O parâmetro é um único caractere (byte) ou uma sequência de escape.
int32 valor bitmask
Ambos valor e bitmask são expressos como strings hexadecimais de 8 caracteres. bitmask será
ANDed com os dados, e o resultado será comparado com valor. A ordem dos bytes é
como você vê no editor hexadecimal, ou seja, big-endian.
A primeira operação de correspondência em uma receita é especial, ela será usada para fazer a varredura através do
Arquivo. Apenas o carbonizar e corda operações podem ser usadas lá. Para adicionar mais operação
tipos, veja as instruções em magicrescue.c.
Uma linha que não começa com um inteiro é uma diretiva. Isso pode ser:
extensão ext
Obrigatório. ext nomeia a extensão de arquivo para este tipo, como "jpg".
comando comando
Obrigatório. Quando todas as operações de correspondência são bem-sucedidas, isso comando será executado para
extraia o arquivo do dispositivo de bloco. comando é passado para o shell com o
bloquear o descritor de arquivo do dispositivo (procurado pelo byte direito) em stdin. A concha
a variável $ 1 conterá o arquivo em que sua saída deve ser gravada, e deve
respeitar isso. De outra forma resgate mágico não posso dizer se foi bem-sucedido.
rebatizar comando
Opcional. Após uma extração bem-sucedida, este comando será executado. Seu propósito é
para reunir informações suficientes sobre o arquivo para renomeá-lo para algo mais
significativo. O script não deve executar o comando renomear em si, mas deve
escreva para a saída padrão a string "RENAME", seguida por um espaço, seguido pelo
novo nome de arquivo. Nada mais deve ser gravado na saída padrão. Se o arquivo
não deve ser renomeado, nada deve ser gravado na saída padrão. Padrão
entrada e $ 1 funcionará como com o comando Directiva.
min_output_file tamanho
Padrão: 100. Arquivos de saída menores que este tamanho serão excluídos.
permitir_sobreposição bytes
Por padrão, as receitas não coincidem em intervalos de bytes sobrepostos. permitir_sobreposição
desativa isso, e deve sempre ser usado para receitas onde o arquivo extraído
pode ser maior do que estava no disco. Se bytes for negativo, a verificação de sobreposição será
completamente desativado. Caso contrário, a verificação de sobreposição estará em vigor para tudo
mas o último bytes da saída. Por exemplo, se a saída pode ser de até 512
bytes maiores do que a entrada, permitir_sobreposição deve ser definido para 512.
Para testar se sua receita realmente funciona, basta executá-la em seu disco rígido ou usar
da ferramentas / receita script para selecionar arquivos que devem corresponder, mas não correspondem.
Se você criou uma receita que funciona, por favor, envie-a para mim em [email protected] então eu posso
inclua-o na distribuição.
QUANDO TO NÃO USO MAGIC RESGATAR
Magic Rescue não pretende ser um aplicativo universal para recuperação de arquivos. Vai dar
bons resultados ao extrair tipos de arquivos conhecidos de um sistema de arquivos inutilizável, mas
para muitos outros casos, existem ferramentas melhores disponíveis.
· Se houver partições intactas presentes em algum lugar, use parte para encontrá-los.
· Se as estruturas de dados internas do sistema de arquivos estiverem mais ou menos intactas, use O Sabujo
estojo. No momento em que este artigo foi escrito, ele suportava apenas NTFS, FAT, ext [23] e FFS.
· Se Magic Rescue não tiver uma receita para o tipo de arquivo que você está tentando recuperar,
tentar principal em vez de. Ele reconhece mais tipos de arquivo, mas na maioria dos casos extrai
simplesmente copiando um número fixo de bytes após ter encontrado o início do
Arquivo. Isso torna o pós-processamento dos arquivos de saída mais difícil.
Em muitos casos, você desejará usar o Magic Rescue além das ferramentas mencionadas acima.
Eles não são mutuamente exclusivos, por exemplo, combinando resgate mágico com Dls do The Sleuth Kit
poderia dar bons resultados. Em muitos casos, você vai querer usar resgate mágico para extrair seu
tipos de arquivo conhecidos e outro utilitário para extrair o resto.
Ao combinar os resultados de mais de uma ferramenta, dupemapa(1) pode ser usado para eliminar
duplicatas.
Use magicrescue online usando serviços onworks.net
