ТестДиск

Разработчик(и)	Кристофер Гренье
Стабильная версия	7.2 / 22 февраля 2024 г.
Репозиторий	мерзавец .cgsecurity .org /cgit /тестдиск / ;
Написано в	С
Тип	Восстановление данных
Лицензия	лицензия GPL
Веб-сайт	www .cgsecurity .org /неделя /ТестДиск

TestDisk — это бесплатная утилита для восстановления данных с открытым исходным кодом , которая помогает пользователям восстанавливать потерянные разделы или восстанавливать поврежденные файловые системы. ^{[ 1 ]} TestDisk может собирать подробную информацию о поврежденном диске, которую затем можно отправить техническому специалисту для дальнейшего анализа. TestDisk поддерживает DOS , Microsoft Windows (т.е. NT 4.0 , 2000 , XP , Server 2003 , Server 2008 , Vista , Windows 7 , Windows 8.1 , Windows 10 ), Linux , FreeBSD , NetBSD , OpenBSD , SunOS и MacOS . TestDisk обрабатывает неразделенные и разделенные носители. ^{[ 2 ]} В частности, он распознает таблицу разделов GUID (GPT), карту разделов Apple , таблицы разделов ПК/Intel BIOS, Sun Solaris слайс и фиксированную схему разделения Xbox . TestDisk использует пользовательский интерфейс командной строки . TestDisk может восстановить удаленные файлы с точностью 97%. ^{[ 3 ]}

Функции

TestDisk может восстанавливать удаленные разделы, перестраивать таблицы разделов или перезаписывать главную загрузочную запись (MBR). ^{[ 4 ]}^{[ 3 ]}

Восстановление раздела

TestDisk извлекает размер LBA и геометрию CHS подключенных устройств хранения данных (т. е. жестких дисков , карт памяти , USB-накопителей и виртуальных дисков образов ) из BIOS или операционной системы . Информация о геометрии необходима для успешного восстановления. TestDisk считывает сектора на устройстве хранения, чтобы определить, требует ли восстановление таблица разделов или файловая система на нем (см. следующий раздел).

TestDisk способен распознавать следующие форматы таблиц разделов: ^{[ 2 ]}

Карта разделов Apple
Таблица разделов GUID
Хумакс
Таблица разделов ПК/Intel (основная загрузочная запись)
Кусочек Сан Солярис
Фиксированная схема разделения Xbox
Неразделенные носители

TestDisk может выполнять более глубокие проверки для поиска разделов, удаленных из таблицы разделов. ^{[ 2 ]} Однако пользователь может просмотреть список возможных разделов, найденных TestDisk, и выбрать те, которые он хочет восстановить.

После обнаружения разделов TestDisk может перестроить таблицу разделов и перезаписать MBR. ^{[ 2 ]}

Восстановление файловой системы

TestDisk может справиться с некоторыми конкретными логическими повреждениями файловой системы. ^{[ 5 ]}

Восстановление файлов

Когда файл удаляется, список кластеров диска, занятых этим файлом, стирается, отмечая те сектора, которые доступны для использования другими файлами, созданными или измененными после этого. TestDisk может восстановить удаленные файлы, особенно если файл не был фрагментирован и кластеры не использовались повторно.

В пакете TestDisk есть два механизма восстановления файлов: ^{[ 2 ]}

Собственно TestDisk использует знание структуры файловой системы для выполнения «восстановления».
PhotoRec — это «резчик файлов». Для этого не требуется каких-либо знаний о файловой системе, вместо этого он ищет шаблоны известных форматов файлов в образе раздела или диска. Лучше всего он работает с нефрагментированными файлами и не может восстановить имя файла.

Цифровая криминалистика

TestDisk можно использовать в цифровой криминалистике для восстановления разделов, которые были давно удалены. ^{[ 3 ]} Он может монтировать различные типы образов дисков, включая формат файлов Expert Witness, используемый EnCase . ^{[ 2 ]}^{[ 6 ]} Двоичные образы дисков , например, созданные с помощью ddrescue , могут быть прочитаны TestDisk, как если бы они были устройствами хранения. ^{[ 7 ]}

В версиях TestDisk до версии 7 искаженный диск или его образ могут использоваться для внедрения вредоносного кода в работающее приложение TestDisk на Cygwin . ^{[ 7 ]}

Поддержка файловой системы

Поддержка файловой системы TestDisk показана в таблице:

Имя ^{[ 2 ]}	Восстановление раздела	Восстановление файловой системы		Восстановление файлов
Имя ^{[ 2 ]}	Найти файловую систему	Загрузочный сектор/ восстановление суперблока	Восстановление таблицы файлов	Восстановить удаление ^{[ 2 ]}
ФАТ12/16/32	Да	Да ^{[ а ]}^{[ б ]}	Да ^{[ с ]}	Да
exFAT	Да	Да ^{[ б ]}	Используйте fsck	Да
NTFS	Да	Да ^{[ а ]}^{[ б ]}	Да ^{[ д ]}	Да
ext2 , ext3 и ext4	Да	Да ^{[ и ]}	Используйте fsck	Да
HFS, HFS+ , HFSX	Да	Да ^{[ б ]}	Используйте fsck	Нет
БеОС	Да	Нет		Нет
Метка диска BSD (FreeBSD/OpenBSD/NetBSD)	Да			Нет
Крамфс	Да			Нет
IBM JFS2	Да			Нет
Linux RAID ( мдадм ) ^{[ ж ]}	Да			Нет
Linux поменять местами 1 и 2	Да			Нет
ЛВМ и ЛВМ2	Да			Нет
Службы хранения данных Novell (NSS)	Да			Нет
РайзерФС 3.5, 3.6 и 4	Да			Нет
Метка диска Sun Solaris i386	Да			Нет
UFS и UFS2 (Sun/BSD/…)	Да			Нет
XFS от SGI	Да			Нет

Некоторые возможности, такие как редактирование таблицы разделов и «резьба» PhotoRec, вообще не зависят от файловой системы.

^ Jump up to: ^а ^б Найдите параметры файловой системы, чтобы перезаписать действительный блок параметров BIOS (аналог «суперблоков» в файловых системах Unix).
^ Jump up to: ^а ^б ^с ^д Восстановите BPB, используя его резервную копию (NTFS, FAT32, exFAT)
^ Используйте две копии FAT, чтобы переписать связную версию.
^ Восстановите основную таблицу файлов (MFT) из резервной копии.
^ Найдите местоположение резервного суперблока, чтобы помочь fsck.
^ RAID 1: зеркалирование, RAID 4: чередующийся массив с устройством контроля четности, RAID 5: чередующийся массив с распределенной информацией о четности и RAID 6: чередующийся массив с распределенной информацией о двойном резервировании

См. также

Ссылки

^ Моггридж, Дж. (2017). «Безопасность данных пациентов при выводе из эксплуатации ультразвуковых систем» . Ультразвук . 25 (1). Лидс, Англия: 16–24. дои : 10.1177/1742271X16688043 . ПМК 5308389 . ПМИД 28228821 .
^ Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час Гренье, Кристоф (31 мая 2021 г.), Документация TestDisk , CG Security ( PDF )
^ Jump up to: ^а ^б ^с Кумар, Хани; Сахаран, Рави; Панда, Сародж Кумар (март 2020 г.). «Выявление потенциальных криминалистических артефактов в приложении облачного хранилища» . Международная конференция по информатике, инженерии и приложениям 2020 года (ICCSEA) . стр. 1–5. дои : 10.1109/ICCSEA49143.2020.9132869 . ISBN 978-1-7281-5830-3 . S2CID 220367251 .
^ Дебра Литтлджон Шиндер, Майкл Кросс (2002). Место киберпреступления , стр. 328. Сингресс. ISBN 978-1-931836-65-4 .
^ Джек Уайлс, Кевин Кардвелл, Энтони Рейес (2007). Лучшая книга о киберпреступности и цифровой криминалистике , страница 373. Syngress. ISBN 978-1-59749-228-7 .
^ Альтейд, К., и Карви, Х. (2011). Файловая система и анализ диска. В области цифровой криминалистики с использованием инструментов с открытым исходным кодом. Эльзевир. https://booksite.elsevier.com/samplechapters/9781597495868/Chapter_3.pdf
^ Jump up to: ^а ^б Немет, ЗЛ (2015). «Современные бинарные атаки и защита в среде Windows — Борьба с Microsoft EMET за семь раундов» . 2015 13-й Международный симпозиум IEEE по интеллектуальным системам и информатике (SISY) . стр. 275–280. дои : 10.1109/SISY.2015.7325394 . ISBN 978-1-4673-9388-1 . S2CID 18914754 .

Внешние ссылки

Команда тестового диска:
Основной участник: Кристоф Гренье. Местонахождение: Париж, Франция. URL-адрес: cgsecurity.org. Он начал проект в 1998 году и до сих пор является основным разработчиком. Он также отвечает за упаковку TestDisk & PhotoRec для DOS, Windows, Linux (универсальная версия), MacOS X и дистрибутива Fedora.

[BootSectorParameters-8] Jump up to: ^а ^б Найдите параметры файловой системы, чтобы перезаписать действительный блок параметров BIOS (аналог «суперблоков» в файловых системах Unix).

[RestoreBackup-9] Jump up to: ^а ^б ^с ^д Восстановите BPB, используя его резервную копию (NTFS, FAT32, exFAT)

[RestoreTwoCopiesFat-10] Используйте две копии FAT, чтобы переписать связную версию.

[RestoreMft-11] Восстановите основную таблицу файлов (MFT) из резервной копии.

[FindSuperBlock-12] Найдите местоположение резервного суперблока, чтобы помочь fsck.

[13] RAID 1: зеркалирование, RAID 4: чередующийся массив с устройством контроля четности, RAID 5: чередующийся массив с распределенной информацией о четности и RAID 6: чередующийся массив с распределенной информацией о двойном резервировании

[1] Моггридж, Дж. (2017). «Безопасность данных пациентов при выводе из эксплуатации ультразвуковых систем» . Ультразвук . 25 (1). Лидс, Англия: 16–24. дои : 10.1177/1742271X16688043 . ПМК 5308389 . ПМИД 28228821 .

[grenier2021-2] Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час Гренье, Кристоф (31 мая 2021 г.), Документация TestDisk , CG Security ( PDF )

[:0-3] Jump up to: ^а ^б ^с Кумар, Хани; Сахаран, Рави; Панда, Сародж Кумар (март 2020 г.). «Выявление потенциальных криминалистических артефактов в приложении облачного хранилища» . Международная конференция по информатике, инженерии и приложениям 2020 года (ICCSEA) . стр. 1–5. дои : 10.1109/ICCSEA49143.2020.9132869 . ISBN 978-1-7281-5830-3 . S2CID 220367251 .

[4] Дебра Литтлджон Шиндер, Майкл Кросс (2002). Место киберпреступления , стр. 328. Сингресс. ISBN 978-1-931836-65-4 .

[5] Джек Уайлс, Кевин Кардвелл, Энтони Рейес (2007). Лучшая книга о киберпреступности и цифровой криминалистике , страница 373. Syngress. ISBN 978-1-59749-228-7 .

[altheide2011-6] Альтейд, К., и Карви, Х. (2011). Файловая система и анализ диска. В области цифровой криминалистики с использованием инструментов с открытым исходным кодом. Эльзевир. https://booksite.elsevier.com/samplechapters/9781597495868/Chapter_3.pdf

[nemeth2015-7] Jump up to: ^а ^б Немет, ЗЛ (2015). «Современные бинарные атаки и защита в среде Windows — Борьба с Microsoft EMET за семь раундов» . 2015 13-й Международный симпозиум IEEE по интеллектуальным системам и информатике (SISY) . стр. 275–280. дои : 10.1109/SISY.2015.7325394 . ISBN 978-1-4673-9388-1 . S2CID 18914754 .

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ а ]

[ б ]

[ с ]

[ д ]

[ и ]

[ ж ]