壊れたHDDからデータを取り出そうとしたらカスペルスキーにtestdiskを消された話
HDDは色々なことが原因で読めなくなる。
MBRだSMARTエラーだなんだかんだある。
なんで読めなくなったのかは知らないがデータは生きていれば取り出せる。
必要なものはちゃんと動くPCとフリーソフトの
testdiskをインストールしよう
今回はwindows用のtestdiskを使用しました。
最後に話しますがlinux用のものをUSBなどにダウンロードしておき、live CDなどでtestdiskを起動させたほうがいいかもしれません。
※ここから先はカスペルスキーにtestdiskを消される?を読んでからお進みください。
linux版もあるんでkali linuxにいれてもいいんじゃないでしょうか。
mini xpがインストールされてるディストリビューションがあってそれにはtestdiskが入ってるんですけど、
名前忘れました!なんだっけな。
とりあえずインストール。
TestDisk Download - CGSecurity
使いたいOSをクリックすると新規でタブが開くので放っておくとインストールが開始されます。
ちなみに一緒に付いてくるphotorecってソフトは画像を取り出せるソフトです。
testdiskはHDD内の全てのデータを取り出せるんですが、画像だけ欲しいって方はphotorecを使えばOKです。
使い方はtestdiskとほぼ一緒です。
HDDを外付け化して PCに接続する
もともと外付けのHDDから取り出すんであれば簡単なんですけど、内臓からだと外付け化しないといけないので面倒です。
ノートPCのHDDは2.5インチなので上記のもので外付け化ができます。
testdiskで復旧する場合HDDの型番を確認する必要があるので透明のケースだと捗ります。
職場にはsata→USBに変換するコードがあるのでそれを使っています。
これだと外部電源もあるんで3.5インチのHDDを使う際も安心です。
データを取り出す
testdiskを起動します。
するとログを残すかどうか聞かれるので No Logを選択します。
残しても残さなくても問題ないです。
次にHDDを選択します。
データを取り出したいHDDの型番と同じものを選んでenter。
次は解析のAnalyseです。
AdvancedはHDD内を丸ごとコピーする際に使いますがデータ量が多いと時間がかかるので今回は使いません。
するとパーティション確認画面が出てきます。
この時点で警告が出てるんですけど構わず下にあるQuick Searchを押してください。
クイックサーチが終わるとこんな画面になります。
これはCドライブ、Dドライブ、と回復かなんかのパーティションだったような。
一番右のサイズを見てCドライブを選択します。
画像の場合多分一番目のがそうです。
カーソルを合わせてキーボードでPを押してください。
画像の下に書いてありますがPを押すとファイルの中身を見ることができます。
はい、Cドライブが出てきましたね。
基本的に画像や音楽ならuser→ownerだったり自分の名前だったりローカルアカウントの名前が付いているフォルダ内にあります。
画面下に操作方法が書いてあります。
前の画面に戻るときはq
一つ一つファイルを選択するときは:
全てのファイルを選択するときはa
ファイルを選択したら大文字のCを押すとコピー先を選択する画面に移動します。
ちなみに現在カーソルのあるフォルダをコピーするときはcでできます。
上の方に . と .. があるんですけど..を押すと一つ上の階層に移動できます。
cdみたいなもんですね。
コピー先のフォルダの階層までたどり着けたらあとはcを押すとコピーが開始されます。
データを取り出す方法は以上です。
カスペルスキーにtestdiskを消される?
上記方法でコピーしてる最中にカスペルスキーが動き出しました。
trojan~~~を検出しました、削除します。
より安全のために再起動しますか?
とな???
なぜトロイの木馬が検出された?
念のためtestdiskが入っているusbメモリをスキャンしましたがウイルスは検出されず。
カスペ以外にesetやバスターでもスキャンしましたが何も出ませんでした。
でもtestdiskでデータをコピーしているとtrojan検出と出てきてその度にtestdiskが消されました。
カスペを一時停止して使うしかないですね。
まとめ
というわけで、カスペがtestdiskをトロイの木馬と認識していたのでそれなりのリスクがあります。
今回はカスペをとめて使いましたが本当にトロイの木馬が潜んでいた場合色々悪い奴を連れ込んだりしますからね。
自己責任でお願いします。
安全に使うんであればウイルスが入っても平気なPCで使うのがいいかもしれません。
例えばリカバリが簡単にできるものやlive cdで起動させたlinuxで使うとか。
testdisk自体は簡単な操作で使えるのですが、本当に大切なデータの場合は業者に頼んだ方がいいと思われます。
取り出したデータが流出なんてことにナルト大変ですからね。
気をつけましょう。