Этот сайт лучше всего просматривать в современном браузере с включённым JavaScript.

#3.2 Tails. Восстановление данных из Постоянного хранилища.

Atos

Восстановление данных из Постоянного хранилища при наличии ошибок файловой системы.
Перевод статьи Recovering data from the Persistent Storage when it has file system errors документации Tails.

⇒ Если USB-накопитель Tails не запускается, обратитесь к нашим инструкциям по восстановлению данных из постоянного хранилища, когда Tails не запускается.

Tails может попытаться исправить эти ошибки, но это может привести к удалению части ваших данных и занять много времени.
Eсли вы не можете восстановить файловую систему из последней резервной копии, рекомендуется создать образ раздела постоянного хранилища, прежде чем пытаться восстановить файловую систему постоянного хранилища с экрана приветствия.
В большинстве случаев восстановление файловой системы будет работать нормально, и этого будет достаточно, чтобы исправить постоянное хранилище.
В редких случаях, когда восстановление файловой системы не работает, вы можете восстановить некоторую или бóльшую часть данных из образа этого раздела с помощью передовых инструментов криминалистики. Этот процесс восстановления сложен технически, и вам может потребоваться помощь специалиста, имеющего опыт восстановления данных.

⭘ Создание образа раздела постоянного хранилища.
Образ раздела — это копия всего постоянного хранилища в одном файле, который вы можете сохранить на внешнем жестком диске из Tails.
Чтобы сохранить образ раздела за пределами Tails, вам нужен внешний жесткий диск с таким же объемом свободного места, как и размер постоянного хранилища, обычно на 8 ГБ меньше, чем ваш USB-накопитель Tails. Вы также можете использовать другой USB-накопитель того же размера, что и USB-накопитель Tails, но запись на USB-накопитель обычно намного медленнее, чем запись на жесткий диск.

⚠ Образ раздела содержит расшифрованную версию постоянного хранилища. Рекомендуется сохранить образ раздела на зашифрованном жестком диске.

Рассмотрим 2 различных метода создания образа раздела постоянного хранилища.

Создание образа раздела с помощью утилиты Диски Попробуйте этот метод в первую очередь, если аппаратное обеспечение USB-накопителя не выходит из строя.
Создание образа раздела с помощью команды ddrescue в командной строке Попробуйте этот метод в первую очередь, если аппаратное обеспечение USB-накопителя выходит из строя. Использование ddrescue сложнее, но лучше, чем утилита Диски, для восстановления данных, если аппаратное обеспечение USB-накопителя выходит из строя.

● Создание образа раздела с помощью утилиты Диски.
Если аппаратное обеспечение USB-накопителя не выходит из строя, использование утилиты «Диски» является самым простым способом создания образа раздела постоянного хранилища.

Подготовка внешнего жесткого диска.

Загрузитесь с Tails.
На экране приветствия:
Установите пароль администратора.
Выберите начало без разблокировки постоянного хранилища.
Выберите «Приложения» ⇒ «Файлы», чтобы открыть утилиту «Файлы».
Подключите жесткий диск, на котором вы хотите сохранить образ раздела постоянного хранилища. Вам нужно столько свободного места, сколько и размер постоянного хранилища, обычно на 8 ГБ меньше, чем у USB-накопителя Tails.
Новый диск появится на боковой панели утилиты «Файлы».
Щелкните правой кнопкой мыши (на Mac щелкните двумя пальцами) по новому тому, появившемуся на боковой панели утилиты «Файлы», и выберите «Свойства» в контекстном меню.
Обратите внимание на свободное место на диске.

Определение постоянного хранилища в утилите «Диски».

Выберите Приложения ⇒ Утилиты ⇒ Диски, чтобы открыть утилиту Диски.
На левой панели утилиты «Диски» найдите свой USB-накопитель Tails в списке устройств хранения. Проверьте его марку и размер.
На левой панели нажмите на запоминающее устройство, соответствующее вашему USB-накопителю Tails.
На правой панели у этого накопителя должно быть 2 тома, соответствующих 2 разделам на USB-накопителе.
1 том с этикеткой TAILS и содержанием FAT.
Этот объем соответствует системному разделу Tails.
1 том с меткой TailsData и содержимым LUKS.
Этот том соответствует зашифрованной версии постоянного хранилища.
На правой панели нажмите на том, который соответствует постоянному хранилищу.
Убедитесь, что содержимое тома имеет тип шифрования LUKS.

Разблокировка постоянного хранилища в утилите «Диски».
Перед созданием образа раздела разблокируйте шифрование, чтобы получить доступ к расшифрованной версии постоянного хранилища. Для этого:

Нажмите 🔓 Разблокировать выбранный зашифрованный раздел.
В диалоговом окне «Введите парольную фразу для разблокировки» введите парольную фразу постоянного хранилища.
Нажмите «Разблокировать».
В диалоговом окне «Требуется аутентификация» введите пароль администратора.

⚠ Если разблокировка на этом этапе не удается, ваше постоянное хранилище настолько повреждено, что расшифровка невозможна, что делает все ваши данные полностью невосстановимыми.

На правой панели нажмите на новый том, который появится под томом LUKS.
Убедитесь, что содержимое нового тома имеет тип Ext4.
Этот том соответствует расшифрованной версии постоянного хранилища.
Убедитесь, что размер расшифрованного постоянного хранилища меньше доступного свободного места на внешнем жестком диске.
Запишите имя устройства в постоянном хранилище.
Имя устройства состоит из /dev/mapper/luks, за которыми следуют буквы и цифры.

Создание образа раздела.

Выберите ⚙ Дополнительные параметры раздела ⇒ Создать образ раздела.
В диалоговом окне «Создание образа диска»:
⋄ В поле Имя укажите persistent-storage.img.
⋄ В меню «Сохранить в папке» выберите внешний диск, на который вы хотите сохранить образ раздела.
Нажмите кнопку «Начать создание».
В диалоговом окне «Требуется аутентификация» введите пароль администратора.
После создания образа раздела:
⋄ Если создание прошло успешно, завершите работу Tails. Теперь вы можете безопасно начать восстановление данных из постоянного хранилища.
⋄ Если создание не удалось, попробуйте второй способ, описанный ниже, чтобы создать образ раздела с помощью ddrescue в командной строке.

● Создание образа раздела с помощью ddrescue в командной строке.
Если создание образа раздела с помощью утилиты «Диски» не удалось, вы можете попробовать второй способ с помощью ddrescue, который может быть более устойчивым к сбоям оборудования.
Утилита ddrescue сначала пытается скопировать те части постоянного хранилища, которые не выходят из строя, и пропускает те части, которые не работают. После этого вы можете снова запустить ddrescue, чтобы попытаться скопировать детали, которые вышли из строя в первый раз.

Выберите «Приложения» ⇒ «Файлы», чтобы открыть утилиту «Файлы».
В утилите «Файлы» перейдите в папку внешнего устройства, в которой вы хотите сохранить образ раздела постоянного хранилища.
Щелкните правой кнопкой мыши в пустом месте правой панели и выберите «Открыть в терминале» в контекстном меню.
При этом открывается терминал, настроенный на работу в этой папке.
В терминале выполните следующую команду. Замените /dev/mapper/luks-xyz его на имя устройства, найденное при идентификации постоянного хранилища в утилите «Диски».

ddrescue /dev/mapper/luks-xyz persistent-storage.img ddrescue.log

Вывод ddrescue выглядит следующим образом:

GNU ddrescue 1.27
Press Ctrl-C to interrupt
     ipos:  749404 kB, non-trimmed:        0 B,  current rate:  34996 kB/s
     ipos:    1446 MB, non-trimmed:        0 B,  current rate:  24772 kB/s
     opos:    1446 MB, non-scraped:        0 B,  average rate:  33629 kB/s
non-tried:    9290 MB,  bad-sector:        0 B,    error rate:       0 B/s
  rescued:    1446 MB,   bad areas:        0,        run time:         43s
pct rescued:   13.46%, read errors:        0,  remaining time:      1m 31s
                              time since last successful read:          0s
Copying non-tried blocks... Pass 1 (forwards)

Раздел о bad зонах относится к ошибкам чтения данных постоянного хранилища, скорее всего, из-за сбоев оборудования.

После завершения ddrescue:
⋄ Если были обнаружены неисправные участки, попробуйте оставить USB-накопитель в покое на несколько минут и снова выполнить ту же команду ddrescue, чтобы скопировать больше данных.
Мы рекомендуем заменить USB-накопитель и скопировать образ раздела на новый USB-накопитель после того, как вы выполните ddrescue несколько раз.
⋄ Если не было обнаружено ни одной поврежденной области или если после нескольких выполнений команды ddrescue были обнаружены одни и те же поврежденные области, это означает, что все данные, которые можно было спасти, были скопированы в образ раздела.
Выключите Tails.

Теперь вы можете безопасно начать восстановление данных из постоянного хранилища.

⭘ Восстановление данных из постоянного хранилища.
После создания образа секции вы можете безопасно попытаться восстановить данные из постоянного хранилища, не рискуя стереть больше данных. Рассмотрим 3 методики восстановления, которые работают в разных случаях. Рекомендуется попробовать 3 техники одну за другой.

Восстановление файловой системы с экрана приветствия.
Если аппаратное обеспечение USB-накопителя не выходит из строя, восстановление файловой системы с экрана приветствия, вероятно, является самым простым методом.
Копирование образа раздела на новый USB-накопитель.
Если аппаратное обеспечение USB-накопителя выходит из строя, вы все еще можете восстановить файловую систему постоянного хранилища после копирования образа раздела на новый USB-накопитель.
Анализ образа раздела с помощью Autopsy.
Autopsy — это продвинутый инструмент цифровой криминалистики, который позволяет восстанавливать файлы даже из сломанных файловых систем.

● Восстановление файловой системы с экрана приветствия.
Если аппаратное обеспечение USB-накопителя не выходит из строя, восстановление файловой системы с экрана приветствия, вероятно, является самым простым методом.

Запустите на USB-накопителе Tails с ошибками файловой системы.
На экране приветствия попробуйте разблокировать постоянное хранилище.
Когда появится сообщение об ошибке файловой системы, нажмите на кнопку «Восстановить файловую систему».
Начнется восстановление файловой системы.
Восстановление может занять длительное время, от нескольких секунд до нескольких часов.
Если восстановление занимает больше суток, выключите Tails и попробуйте проанализировать образ раздела с помощью Autopsy.
После окончания восстановления:
⋄ Если восстановление прошло успешно, запустите Tails и проверьте содержимое постоянного хранилища.

⚠ Рекомендуется хранить образ раздела в течение некоторого времени.
Если позже вы обнаружите, что некоторые файлы отсутствуют или повреждены, вы можете восстановить их, проанализировав образ раздела с помощью Autopsy.

⋄ Если восстановление не удалось, попробуйте скопировать образ раздела на новый USB-накопитель, как описано ниже.

● Копирование образа раздела на новый USB-накопитель.
Если аппаратное обеспечение USB-накопителя выходит из строя, вы все еще можете восстановить файловую систему постоянного хранилища после копирования образа раздела на новый USB-накопитель.

Создание нового USB-накопителя Tails с постоянным хранилищем.

Установите Tails на новый USB-накопитель.
Новый USB-накопитель должен быть как минимум такого же размера, как ваш текущий USB-накопитель Tails.
Стартуйте на новом Tails.
При запуске Tails установите пароль администратора.
Создайте постоянное хранилище на новом Tails.
Закройте настройки Постоянного хранилища после создания, когда отобразится список функций.
Описанный ниже процесс перезаписывает содержимое и конфигурацию нового постоянного хранилища. Таким образом, не имеет значения, какие функции вы включите после создания Постоянного хранилища.

Копирование образа раздела на новый USB-накопитель.

Выберите Приложения ⇒ Утилиты ⇒ Диски, чтобы открыть утилиту Диски.
На левой панели утилиты «Диски» найдите свой новый USB-накопитель Tails в списке устройств хранения.
Проверьте его марку и размер.
На левой панели нажмите на запоминающее устройство, соответствующее вашему новому USB-накопителю Tails.
В правой панели это запоминающее устройство должно иметь 3 тома.
⋄ 1 том с этикеткой TAILS и содержимым FAT.
Этот объем соответствует системному разделу Tails.
⋄ 1 том с меткой TailsData и содержимым LUKS.
Этот том соответствует зашифрованной версии постоянного хранилища.
⋄ 1 том с меткой TailsData и содержимым Ext4.
Этот том соответствует расшифрованной версии постоянного хранилища.
На правой панели нажмите на том Ext4, который соответствует расшифрованной версии постоянного хранилища.
В атрибутах, перечисленных ниже тома, убедитесь, что содержимое тома смонтировано в /home/amnesia/Persistent.
Нажмите на кнопку ⬛ «Размонтировать выбранный раздел», чтобы размонтировать постоянное хранилище.
Подключите жесткий диск, на котором вы сохранили образ раздела постоянного хранилища.
Выберите ⚙ Дополнительные параметры разделов ⇒ Восстановить образ раздела.
В диалоговом окне «Восстановить образ диска» найдите образ раздела на подключенном жестком диске.
Нажмите на кнопку «Начать восстановление».
После завершения восстановления перезагрузите новый USB-накопитель Tails.

Исправление ошибок файловой системы на новом USB-накопителе.

На экране приветствия попробуйте разблокировать постоянное хранилище.
Если появляется сообщение об ошибке файловой системы, нажмите на кнопку «Восстановить файловую систему».
Начнется восстановление файловой системы.
Восстановление может занять длительное время, от нескольких секунд до нескольких часов.
Если восстановление занимает больше суток, выключите Tails и попробуйте проанализировать образ раздела с помощью Autopsy.
После окончания восстановления:
⋄ Если восстановление прошло успешно, запустите Tails и проверьте содержимое постоянного хранилища.

⚠ Рекомендуем хранить образ раздела в течение некоторого времени. Если позже вы обнаружите, что некоторые файлы отсутствуют или повреждены, вы можете восстановить их, проанализировав образ раздела с помощью Autopsy.

⋄ Если восстановление не удалось, попробуйте проанализировать образ раздела с помощью Autopsy, как описано ниже.

● Анализ образа раздела с помощью Autopsy.
Autopsy — это продвинутый инструмент цифровой криминалистики, который позволяет восстанавливать файлы даже из сломанных файловых систем.
Autopsy имеет открытый исходный код и доступен бесплатно на Windows, macOS и Linux.
Чтобы не оставлять следов содержимого постоянного хранилища в операционной системе, в которой используется Autopsy, рекомендуется использовать Autopsy in Tails. Но Autopsy проще установить в Windows, чем в Tails.
Мы не предоставляем пошаговых инструкций по установке и использованию Autopsy. Если вы не чувствуете себя уверенно при самостоятельной установке и использовании Autopsy, мы рекомендуем вам обратиться за помощью к кому-то, кто имеет больший опыт работы с Linux и восстановлением данных.
Вы также можете ознакомиться с пользовательской документацией по Autopsy.

Установка Autopsy в Tails.
Общие шаги таковы:

Со страницы загрузки загрузите 2 двоичных файла, необходимых для запуска Autopsy:
⋄ Файл DEB из The Sleuth Kit. sleuthkit-java_4.12.1-1_amd64.deb
⋄ ZIP-файл Autopsy. autopsy-4.21.0.zip
Из инструкций по установке Autopsy для Linux скачайте 2 скрипта, необходимых для установки:
⋄ install_prereqs_ubuntu.sh
⋄ install_application.sh

Выполните следующие команды в терминале. Возможно, вам придется приспособиться к более новым версиям Autopsy.

$ bash install_prereqs_ubuntu.sh
$ sudo apt install libsqlite3-dev libc3p0-java unzip
$ sudo dpkg -i sleuthkit-java_4.12.1-1_amd64.deb
$ bash install_application.sh -z autopsy-4.21.0.zip -i ~/Persistent/autopsy -j /usr/lib/jvm/java-17-openjdk-amd64
$ /home/amnesia/Persistent/autopsy/autopsy-4.21.0/bin/autopsy

При первом запуске функция Autopsy зависает на пусковых модулях. Нажмите Enter, чтобы продолжить.

Использование Autopsy для анализа образа раздела.
Общие шаги таковы:

Запустите Autopsy.
Откройте новый проект.
Добавьте образ секции постоянного хранилища в качестве источника данных.
Autopsy анализирует источник данных. После завершения анализа восстановленные файлы по-разному перечисляются на левой боковой панели, например, как в виде дерева файловой системы, так и по типу файлов.
Извлеките файлы, которые вы хотите восстановить, в папку с проектом.