Как восстановить данные с диска, таблица разделов которого изменена?

Поскольку вы создали новые файлы в новых разделах, ваши старые файлы могут быть полностью потеряны, перезаписаны новыми файлами. Предположим, что этого не произошло и ваши файлы все еще где-то там.

Поскольку инструменты не помогают, попробуйте выполнить поиск файлов вручную. Для этого вам нужно знать строку, которая присутствовала в вашем файле, желательно строку, которая только в файлах, которые вы ищете.

Предположим, вы ищете строку my forgotten source codeна вашем диске/dev/sda:

1. Найдите все строки на вашем физическом диске :это может занять очень много времени, если ваш диск имеет большую емкость:

strings -24 -t d /dev/sda | grep -i "my forgotten source code"

• -24:минимальная длина строк для поиска,отрегулировать соответствующим образом
• -t d:смещение печати в десятичном формате

Будет возвращено смещение, в котором строки были найдены. Если у вас нет результата, возможно, ваши файлы были перезаписаны и восстановить их уже невозможно. С другой стороны, у вас может быть много результатов, если ваша строка появилась в нескольких файлах или в нескольких версиях git вашего файла. Вам лучше сохранить результаты в файле, если это занимает слишком много времени или если совпадений слишком много, чтобы позже вы могли снова проанализировать результаты. Только не храните файл на том же диске, чтобы не стереть потерянные файлы!

2. Просмотрите байты диска рядом с найденным смещением. Предполагая, что вы нашли строку по смещению 1024:

xxd -s 1024 /dev/sda | less

• -s 1024начните чтение байтов диска со смещения 1024, отрегулируйте соответствующим образом, если вам нужно прочитать до начала вашей строки.

Источники:https://www.lmgsecurity.com/sleuth-kit/