需要从使用testdisk的数据硬盘中恢复数据，以尝试从rootkit病毒修复mbr

在我开始说我的处境之前，请知道我将永远感激任何可以帮助我解决这一混乱情况的人。我这里有多年艰苦工作的照片。我是半专业摄影师，我的硬盘中包含大约1.5 TB的照片数据。再加上100GB的整个音乐库以及所有的DVD，我花了一些时间向硬盘提示。但是我最关心的是我的照片，它们无法替换。

简而言之，现在发生了什么：我一直使用backblaze备份数据，这是Windows的在线备份。我大约3个月前决定要使用plex来获取文件服务器，并认为Ubuntu是最好的选择。因此，我正在使用一种称为“灰洞”的备份方法，并在此灰孔备份程序上设置了（2）2TB硬盘驱动器和（1）1 TB硬盘驱动器。

那就是当我得到一个rootkit的时候。这个东西很讨厌，我认为经过2个月的尝试，我不得不重新刷新BIOS并仍然感染了这种病毒。我必须重新格式化所有硬盘驱动器，并将所有内容备份到1个硬盘驱动器上，几乎将其完全充满（2 TB硬盘驱动器）。我仍然没有摆脱这种病毒，这是不可思议的。最终我抓住了它。它已嵌入我的网络以太网卡中。任何阅读此书的人都应该注意，嵌入其中的任何东西都可能会感染路由器，整个局域网，甚至通过刷新BIOS本身也可以感染您的计算机！

无论如何，在我似乎摆脱了那件事之后，我的硬盘上仍然保存着文件。我不想重新感染我的机器，所以我尝试使用称为testdisk的实用程序重新编写MBR。

大错

我不知道自己在做什么。现在我无法阅读我的信息！

这是个好消息吗？在testdisk做完这件事之后（这包括我分析驱动器，并使用WRITE命令进行损坏，这只花了1秒钟即可完成。意思是-我并没有花5个小时的时间写0这是我做的一件快速的小事，因此出于这个原因，我认为数据仍然必须存储在驱动器上。

这是我所知道的：

• 该驱动器是数据驱动器，没有操作系统。我将ubuntu用作另一个驱动器上的操作系统。
• 格式化为ext3或ext4
• 大小= 2 TB
• 文件=不可替代的，我的一生都在工作-毫不夸张。

另外-backblaze已经没有我的文件了，因为已经超过30天了。由于rootkit，我用0记录了所有其他备份。在发生这种情况时，该硬盘驱动器曾经是并且也是我文件的唯一来源。巧合的是，这是我多年来一直没有备份的唯一一次。

这是fdisk -l的复制/粘贴

Disk /dev/sda: 2000.4 GB, 2000398934016 bytes
255 heads, 63 sectors/track, 243201 cylinders, total 3907029168 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 4096 bytes
I/O size (minimum/optimal): 4096 bytes / 4096 bytes
Disk identifier: 0x0006a14b

   Device Boot      Start         End      Blocks   Id  System
/dev/sda1   *          63  3907024064  1953512001   83  Linux
Partition 1 does not start on physical sector boundary.

和lshw

*-scsi:0
          physical id: 2
          logical name: scsi2
          capabilities: emulated
        *-cdrom
             description: DVD writer
             physical id: 0.0.0
             bus info: scsi@2:0.0.0
             logical name: /dev/cdrom
             logical name: /dev/sr0
             capabilities: audio cd-r cd-rw dvd dvd-r
             configuration: signature=643a3365 status=ready
        *-disk
             description: ATA Disk
             product: ST2000DM001-1CH1
             vendor: Seagate
             physical id: 0.1.0
             bus info: scsi@2:0.1.0
             logical name: /dev/sda
             version: CC24
             serial: W1E2L5K7
             size: 1863GiB (2TB)
             capabilities: partitioned partitioned:dos
             configuration: ansiversion=5 sectorsize=4096 signature=0006a14b
           *-volume
                description: EXT3 volume
                vendor: Linux
                physical id: 1
                bus info: scsi@2:0.1.0,1
                logical name: /dev/sda1
                version: 1.0
                serial: 05ea2f85-06fd-446c-a885-30614d53630c
                size: 1863GiB
                capacity: 1863GiB
                capabilities: primary bootable journaled extended_attributes large_files recover ext3 ext2 initialized
                configuration: created=2013-03-27 07:57:02 filesystem=ext3 label=foo modified=2013-03-27 08:11:50 mounted=2013-03-27 08:11:50 state=clean

请帮我该怎么办？我不敢再用testdisk搞砸了。我只想恢复文件。我看不到他们走了。

非常感谢-

要从外部USB驱动器上的图像恢复数据，请执行以下步骤：

1. 停止使用损坏的驱动器。
2. 准备好一个外部驱动器，以保存损坏的驱动器大小的两倍的数据量。 使用文件系统进行格式化，该文件系统能够容纳将从原始驱动器创建的大文件（例如ext4）
3. 从实时会话启动Ubuntu（“尝试Ubuntu”）。
4. 使用Nautilus挂载外部驱动器。
5. 验证外部驱动器的安装点。
   例如，右键单击菜单上的属性->位置。

6. 在终端中使用以下任何命令来验证损坏的驱动器的位置

   sudo fdisk -l
   sudo blkid
   

7. 创建损坏的驱动器的映像

   sudo dd if=/dev/sdX of=/mountpoint/DRIVENAME/rescue.dd
   

   更换sdX损坏的驱动器（例如sda）或分区（例如sda1）。替换/mountpoint/DRIVENAME/为安装USB驱动器的实际路径。

   _{仅当损坏的驱动器（sdX）等于外部驱动器（sdY）的大小时，您才可以克隆驱动器（sudo dd if=/dev/sdX of=/dev/sdY）以对克隆的外部驱动器执行数据救援。尽管如此，对上面显示的图像进行处理是一种更为安全的方法。}

   此时至关重要的是dd正确获取命令。如果输入错误，则of=可能会损坏那里已存在的所有数据。

8. 如以下我的回答中所述，在您的实时系统上安装TestDisk：

   • 安装Ubuntu后如何恢复意外丢失的Windows分区？

9. 阅读TestDisk制造商的简明指南以进行恢复。

10. 如果您的驱动器很大，请安装另一个驱动器/分区来保存恢复的数据。请注意该测试磁盘的安装点。

11. 在驱动器的映像上运行testdisk ：

    cd /mountpoint/DRIVENAME/
    sudo testdisk rescue.dd
    

12. 将恢复的目录和文件保存到备份驱动器/分区（将映像驱动器的安装点作为存储位置，以testdisk作为备份位置，以防它与映像所在的位置不同）。
13. 验证您的数据在那里。
14. 卸载所有驱动器或关闭实时会话。

如果我们未能成功恢复文件，我们还可以运行PhotoRec，该软件与TestDisk套件一起安装以恢复单个文件（但是文件名许可权将丢失，并且目录将丢失）。

损坏的驱动器仍然没有受到影响。如果上述步骤失败，我们甚至可以通过专业服务恢复此驱动器。

我认为，除其他事项外，testdisk应该可以用作恢复数据的工具。但是，最重要的是-在执行其他任何操作之前，您需要保护数据的最后副本。首先，从这里开始仅以只读方式挂载它。（您可以使用选项ro重新安装它，请参见man mount）

我建议给自己一个大（> 2TB）磁盘，并复制当前磁盘的完整映像：dd if=/dev/sda of=disk-image.dd/ dev / sda是​​只读安装的所有重要磁盘，而disk-image.dd是新磁盘上的文件，确保有2TB可用空间。

testdisk也将在映像上运行，并且应该能够对分区表进行排序。返回问题和评论，我们可以从这里开始...

在这里开始阅读的好地方是：http : //epyxforensics.com/node/36 在此过程中，首先按照我上面的建议制作dd副本，然后继续进行该副本的工作。

您是否拥有一台装有testdisk，gparted以及hexedit的考试计算机？

给“extundelte”尝试恢复文件

尝试使用Piriform（CCleaner的制造商）的Recuva。该工具是免费的。通过v1.51.1063，他们增加了对ext2和ext3文件系统的支持。

该工具将扫描磁盘，并尝试恢复已从磁盘删除的单个文件。该工具已为一些我所知的个人保存了关键数据，这些人的业务都依赖于他们的数据（即Quickbooks数据），这些人都将所有数据丢失到严重损坏的磁盘上，或者已格式化了磁盘。

我知道Recuva是仅在Windows和Mac上可用的工具，但是现在可以在典型的Linux文件系统格式上使用该工具，因此，我认为在Ubuntu问答站点上可以找到有用的信息。特别是作为问题的解决方案（尽管我确定他/她现在已经找到了解决方案）。