5

Я далеко не хакер или охранник. Я просто папа двух маленьких детей, которые любят путешествовать. Я не знаю, можно ли спрашивать здесь, но то, о чем вы, ребята, говорите, у меня над головой, но я подумала, что у вас есть идея.

Несколько месяцев назад мой MacBook Air 2010 года работал очень медленно, поэтому я решил сделать безопасную копию своей системы, используя Time Machine и Time Capsule, и отформатировал SSD-диск Mac, чтобы выполнить новую (пере) установку Mac OS X. Я не использовал свою резервную копию из Time Machine, чтобы начать снова, потому что я хотел, чтобы все было свежим и новым. Но в то время я не знал, что Time Machine продолжит создавать резервную копию моей системы с тем же именем. Так что все мои дети / фотографии путешествий, видео, документы моей предыдущей системы исчезли. Я продолжал использовать свой MacBook Air в течение нескольких месяцев, прежде чем понял, что все исчезло из моей капсулы времени. Теперь у меня есть новый MacBook Pro, поэтому я снял старый SSD-накопитель со старого MacBook и купил чехол Envoy, чтобы использовать его в качестве внешнего накопителя для восстановления моих файлов. Я понятия не имею, был ли активен пожарный хранилище на этом диске, и я не знаю о TRIM. Все, что я знаю, я могу просматривать свои старые системные файлы, используя эту настройку. Когда я использую любое программное обеспечение для восстановления данных, которое я могу найти в Интернете, все, что я нахожу, это файлы, которые были "созданы" после того, как я отформатировал и (пере) запустил свою систему, но ничего до этого не делал.

Есть ли способ, чтобы не-phd или masterrussianhacker могли восстановить эти файлы?

Большое спасибо!

Джонатан

|источник

3 ответа3

9

Ваш лучший шанс на восстановление - через профессиональную службу восстановления дисков. Если данные могут быть извлечены, они должны это сделать. Конечно, эти услуги очень дороги (не удивляйтесь цитате из четырех цифр, потому что задача трудоемкая), но если файлы того стоят, а у вас есть ресурсы, подумайте об этом.

Если вы хотите поиграть с самим собой, первое, что нужно сделать, это приобрести аппаратный USB Write Blocker, возможно, что-то вроде этого, если он работает с вашим SSD, чтобы убедиться, что вы случайно или намеренно не перезаписали какие-либо данные на вашем SSD, когда вы начинаете свои исследования.

Далее, проверьте комплект Sleuth Kit (TSK) и вскрытие. Sleuth Kit - это бесплатный набор инструментов для криминалистического анализа, который включает инструменты для анализа дисков, в том числе возможность восстановления удаленных файлов. Вскрытие представляет собой графический интерфейс для TSK и других инструментов, и включает в себя модули для выполнения таких задач, как просмотр изображений.

Хитрость использования вскрытия заключается в том, чтобы понять язык его шагов. Всегда имейте в виде инструмента предназначен для использования сотрудников правоохранительных органов, следователями, которые ищут доказательство преступной деятельности, такие как детское порно, наркотики, списки контактов, старые письма, недавно просмотренные файлы, хакерские утилиты и т.д., и они говорить на своем родном языке. Конечно, это не относится к вам, но помогает взглянуть на шаги глазами.

Прочитайте документацию, но первое, что вам нужно, это создать кейс. Это просто файл для отслеживания всего, что вы делаете. В этом случае потребуется "источник данных" - все, что вам нужно сделать, это выбрать "локальный диск", а затем - SSD с блокировкой записи.

Затем вы указываете Autopsy "проглотить" источник данных, где он запускает набор инструментов на диске, чтобы выяснить, что на нем. Большая часть работы правоохранительных органов к вам не относится, поэтому, когда вы принимаете источник данных, отключите модули загрузки для вещей, которые явно не будут применяться, таких как "хэши", "виртуальные машины", "парсеры электронной почты" , так далее.

Вскрытие начнет обработку диска. Он работает в фоновом режиме и может занять очень много времени; Чем больше диск, тем дольше это занимает. Вы можете просмотреть файлы, как только они начнут показывать их вам, но как только вы подтвердите, что они работают, вы можете сделать шаг назад и позволить ему закончить.

Вы, вероятно, будете наиболее заинтересованы в использовании ручного инструмента под названием Модуль галереи изображений. Это быстрый просмотрщик, который позволит вам просматривать все найденные изображения. Когда вы найдете файлы, которые хотите сохранить, вы можете щелкнуть по ним правой кнопкой мыши и экспортировать их как локальные файлы.

Имейте в виду, что инструмент предназначен для поиска файлов, которые были скрыты или удалены. Если у вас есть образы на диске (возможно, в истории вашего браузера), вы не захотите делиться ими с другими членами вашей семьи, выполните восстановление диска наедине!

Удачи!

|источник
1

Хотя я ДОЛЖЕН ответить второму Джону, чтобы передать такую деликатную работу специалистам по восстановлению данных, ТАКЖЕ поговорите с Apple Может быть, они могут глубоко копаться в вашей резервной копии и извлекать для вас исходные резервные копии. Если они могут, это, безусловно, будет и быстрее, и дешевле, чем маршрут восстановления данных, а также восстановленные файлы будут точно воспроизведены (при восстановлении данных вы можете пропустить биты данных тут и там, что может привести к чему-то от уродливого блокирует на некоторых фотографиях совершенно нечитаемые файлы).

Я не знаю, как работает Time Capsule (не сам пользователь Mac), но обычно с помощью резервных копий вы сможете получить более ранние версии файлов - или удаленные файлы. Промежуток времени может означать, что они сбросили некоторые данные, я не знаю.

Вы также можете посмотреть на настройку параметров резервного копирования (насколько это возможно), чтобы он "никогда" не удалял файлы из вашей резервной копии, если они были удалены из вашей локальной системы (в конце концов, в этом и заключается точка резервного копирования, нет?).

|источник
0

Обычно бывает, что Time Machine запускает новую резервную копию, а ваша другая резервная копия просто остается там неиспользованной, потому что Time Machine не считает, что переустановленный компьютер такой же, как "другой" компьютер, для которого у него есть резервная копия.

Вы можете легко увидеть другую резервную копию, удерживая ее, нажимая на значок Time Machine в строке меню. Выберите "Просмотреть другие резервные диски". Он может не предлагать никаких дисков, в этом случае вам сначала нужно получить доступ к диску Time Capsule.

Если у вас нет значка строки меню для Time Machine, вы можете включить его через панель Time Machine в Системных настройках.

Имейте в виду, что операции с Time Capsule могут быть чрезвычайно медленными. Возможно, вы захотите включить строку состояния Finder (через меню «Вид»), чтобы вы могли видеть счетчик в правом нижнем углу.

Чтобы получить доступ к самому накопителю Time Capsule, проверьте боковую панель Finder. Он должен отображаться как имя самой Time Capsule в разделе Shared, что обычно приводит к тому, что называется "Данные". Он не всегда выбирается при двойном щелчке, поэтому просмотрите боковую панель, если через несколько минут не увидите никаких действий.

Как только вы откроете его, вы увидите разреженные пакеты различных резервных копий. Каждый компьютер, который выполняет резервное копирование в Time Capsule, будет иметь свой собственный файл, как и компьютеры, которые запустили новый набор резервных копий после стирания. Я не рекомендую открывать файл резервной копии Time Capsule через Finder, потому что он медленный, а непосредственное копирование файлов может вызвать проблемы для будущих резервных копий.

Независимо от того, находите ли вы другой резервный набор или нет, другая проблема, которая может возникнуть, заключается в том, что ваша текущая домашняя папка, возможно, не была создана с такими же конкретными данными, как это было в первый раз, и поэтому Time Machine может не осознавать, что должна покажи это тебе. Войдите в Time Machine с помощью значка строки меню Time Machine, перейдите к Macintosh HD и затем в папку «Пользователи». Затем взгляните на временную шкалу с правой стороны, при наведении курсора на строку отобразится дата этой резервной копии. Если вы найдете резервную копию из правильной эпохи, вы сможете восстановить элементы.

Я знаю, что это много информации для обработки, но не стесняйтесь задавать любые возникающие вопросы.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .