Tenho uma tarefa de recuperação de dados bastante complicada. Quero obter alguns metadados (nomes de arquivos, estrutura de diretórios, etc.) de um sistema de arquivos ext4 corrompido. Eu tentei um monte de ferramentas ( Testdisk, fsck, foremost) sem sucesso. Provavelmente não usei a maioria deles de maneira muito eficaz, pois só tenho um conhecimento elementar de sistemas de arquivos. Ou talvez essas ferramentas não fossem as adequadas para a minha situação. Foi assim que eu estraguei tudo:
Eu tenho uma unidade de disco rígido na qual iniciei acidentalmente um processo de substituição. eu useiuma dessas estações de acoplamento SATA USB, e enquanto o manuseava, pressionei acidentalmente o botão clonar. Isso iniciou um clone de uma unidade para outra. Ele criou uma nova partição no meu disco rígido e começou a gravar dados nela. Percebi isso cerca de um minuto depois, interrompi o processo e desconectei a unidade.
Ambos os discos foram formatados com uma partição ext4 cada. Portanto, a partição de um dos meus discos foi destruída e agora não consigo acessar os dados contidos nele. Eu sei que os dados que foram sobrescritos provavelmente são impossíveis de recuperar, mas a maioria dos dados não seria tocada nesse curto espaço de tempo.
Felizmente, a maioria dos arquivos que eu tinha podem ser encontrados em outros lugares na Internet, então posso baixá-los novamente. Mas preciso obter uma lista de nomes de arquivos e diretórios para fazer isso. Não consegui encontrar uma ferramenta que faça isso com sucesso. Testdiskparecia promissor, mas com ele só consegui acessar os dados que foram criados no processo de clonagem. Alguém poderia me dizer como eu poderia conseguir isso? Eu apreciaria qualquer ajuda, obrigado.
Responder1
Se você baixar a fonte e2fsprogs, poderá construir a findsuperferramenta para verificar o disco e encontrar superblocos no disco. Você deve conseguir encontrar dois UUIDs de superbloco diferentes - aqueles da cópia clone no início do disco e aqueles do sistema de arquivos antigo no final do disco.
Se você executar o e2fsck com um superbloco do sistema de arquivos antigo, ele poderá recuperar mais do sistema de arquivos, se, por exemplo, os blocos de diário antigos puderem ser recuperados de volta no sistema de arquivos.
De qualquer forma, o e2fsck (de preferência executado em uma imagem de backup no disco) vinculará todos os arquivos que encontrar, lost+foundpois o diretório raiz no início do disco certamente será sobrescrito.