僕の世界観を変えてみる

文系男子が趣味でプログラミングを勉強していくブログです。他にも日常で起きたどうでもいいことや愚痴を書いていきたいです。座右の銘は和を以て貴しとなすです。仲良くやろうよ。

MENU
トップ > Hack > 壊れたHDDからデータを取り出そうとしたらカスペルスキーにtestdiskを消された話

壊れたHDDからデータを取り出そうとしたらカスペルスキーにtestdiskを消された話

Hack 学び

f:id:htmllifehack:20170422150110j:plain

HDDは色々なことが原因で読めなくなる。

MBRだSMARTエラーだなんだかんだある。

なんで読めなくなったのかは知らないがデータは生きていれば取り出せる。

必要なものはちゃんと動くPCとフリーソフトの



testdiskをインストールしよう

今回はwindows用のtestdiskを使用しました。

最後に話しますがlinux用のものをUSBなどにダウンロードしておき、live CDなどでtestdiskを起動させたほうがいいかもしれません。

※ここから先はカスペルスキーにtestdiskを消される?を読んでからお進みください。

linux版もあるんでkali linuxにいれてもいいんじゃないでしょうか。
mini xpがインストールされてるディストリビューションがあってそれにはtestdiskが入ってるんですけど、
名前忘れました!なんだっけな。

とりあえずインストール。

TestDisk Download - CGSecurity

使いたいOSをクリックすると新規でタブが開くので放っておくとインストールが開始されます。

ちなみに一緒に付いてくるphotorecってソフトは画像を取り出せるソフトです。

testdiskはHDD内の全てのデータを取り出せるんですが、画像だけ欲しいって方はphotorecを使えばOKです。

使い方はtestdiskとほぼ一緒です。

HDDを外付け化して PCに接続する

もともと外付けのHDDから取り出すんであれば簡単なんですけど、内臓からだと外付け化しないといけないので面倒です。

【日本直営店】ORICO 透明シリーズ 2.5インチ HDDケース USB 3.0接続 SATA III(6GB)対応 HDD/SSD 外付け ドライブ ケース ネジ&工具不要 簡単着脱 2139U3
posted with カエレバ
ORICO Technologies Co.,Ltd
Amazonで探す
楽天市場で探す
Yahooショッピングで探す

ノートPCのHDDは2.5インチなので上記のもので外付け化ができます。

testdiskで復旧する場合HDDの型番を確認する必要があるので透明のケースだと捗ります。

職場にはsata→USBに変換するコードがあるのでそれを使っています。

タイムリー GROOVY HDDをUSB SATA接続2.5/3.5/5.25"ドライブ専用 UD-505SA
posted with カエレバ
タイムリー
Amazonで探す
楽天市場で探す
Yahooショッピングで探す

これだと外部電源もあるんで3.5インチのHDDを使う際も安心です。

データを取り出す

testdiskを起動します。

f:id:htmllifehack:20170422153831j:plain

するとログを残すかどうか聞かれるので No Logを選択します。
残しても残さなくても問題ないです。

f:id:htmllifehack:20170422153933j:plain

次にHDDを選択します。

データを取り出したいHDDの型番と同じものを選んでenter。

f:id:htmllifehack:20170422154110j:plain

次は解析のAnalyseです。

AdvancedはHDD内を丸ごとコピーする際に使いますがデータ量が多いと時間がかかるので今回は使いません。

f:id:htmllifehack:20170422154241j:plain

するとパーティション確認画面が出てきます。

この時点で警告が出てるんですけど構わず下にあるQuick Searchを押してください。

f:id:htmllifehack:20170422154420j:plain

クイックサーチが終わるとこんな画面になります。

これはCドライブ、Dドライブ、と回復かなんかのパーティションだったような。

一番右のサイズを見てCドライブを選択します。

画像の場合多分一番目のがそうです。

カーソルを合わせてキーボードでPを押してください。

画像の下に書いてありますがPを押すとファイルの中身を見ることができます。

f:id:htmllifehack:20170422154715j:plain

はい、Cドライブが出てきましたね。

基本的に画像や音楽ならuser→ownerだったり自分の名前だったりローカルアカウントの名前が付いているフォルダ内にあります。

f:id:htmllifehack:20170422205311j:plain

画面下に操作方法が書いてあります。

前の画面に戻るときはq
一つ一つファイルを選択するときは:
全てのファイルを選択するときはa

ファイルを選択したら大文字のCを押すとコピー先を選択する画面に移動します。
ちなみに現在カーソルのあるフォルダをコピーするときはcでできます。

上の方に . と .. があるんですけど..を押すと一つ上の階層に移動できます。

cdみたいなもんですね。

コピー先のフォルダの階層までたどり着けたらあとはcを押すとコピーが開始されます。

f:id:htmllifehack:20170422210022j:plain

データを取り出す方法は以上です。

カスペルスキーにtestdiskを消される?

上記方法でコピーしてる最中にカスペルスキーが動き出しました。

trojan~~~を検出しました、削除します。
より安全のために再起動しますか?

とな???

なぜトロイの木馬が検出された?

念のためtestdiskが入っているusbメモリをスキャンしましたがウイルスは検出されず。

カスペ以外にesetやバスターでもスキャンしましたが何も出ませんでした。

でもtestdiskでデータをコピーしているとtrojan検出と出てきてその度にtestdiskが消されました。

カスペを一時停止して使うしかないですね。

まとめ

というわけで、カスペがtestdiskをトロイの木馬と認識していたのでそれなりのリスクがあります。

今回はカスペをとめて使いましたが本当にトロイの木馬が潜んでいた場合色々悪い奴を連れ込んだりしますからね。

自己責任でお願いします。

安全に使うんであればウイルスが入っても平気なPCで使うのがいいかもしれません。

例えばリカバリが簡単にできるものやlive cdで起動させたlinuxで使うとか。

testdisk自体は簡単な操作で使えるのですが、本当に大切なデータの場合は業者に頼んだ方がいいと思われます。

取り出したデータが流出なんてことにナルト大変ですからね。

気をつけましょう。