الطب الشرعي الكمبيوتر – استعادة الملفات من ملف نحت مع فوريموست

على الطب الشرعي الكمبيوتر وهو واحد من التخصصات التي أحبها, ولم تحدث على المدونة في هذا الفرع من أمان الكمبيوتر كيف أنها تستحق; سوف نرى ذلك اليوم كيفية استعادة الملفات المحذوفة مع تقنية نحت الملف باستخدام قبل كل شيء.

فوريموست

صحيح أن هناك العديد من التطبيقات أكثر الاضطلاع بهذه المهمة, لكن هذه الأداة و مشرط هي تلك التي أحب, والتي تستخدم عند مرة واحدة عن طريق الخطأ حذف لا ينبغي أن; وهما قد ساعدني إلى انخفاض النسبة المئوية لاحتمال ثعلبة, أو النوبات القلبية في سن مبكرة.

للممارسة التالية, وسوف نحتاج إلى محرك أقراص فلاش, و بعض الملفات في تنسيقات مختلفة.

تنسيقات

ماذا نفعل مع هذا محرك أقراص فلاش, أنها ستفعل ذلك بنفس الطريقة في أي وسائط تخزين أخرى; والفرق الوحيد أنه يمكنك القيام بذلك على محركات الأقراص الصلبة, يجب علينا أن نفتح لدينا جهاز كمبيوتر سطح المكتب; وجود منفذ eSata; أو يكون جهاز تحكم مضيف USB من أجل بيئة تطوير متكاملة/PATA/ساتا.

كونيكسيونيسديسكوس

أنا أفضل خيار وحدة تحكم, أنها تسمح لنا بالعمل مع جميع أنواع محركات الأقراص الصلبة; وهم سواء الجديدة أو القديمة, من 2,5″ أو 3,5″, أنها اقتصادية جداً وهذا نموذج معين ما يصل إلى اثنين من الأقراص يمكن لك في نفس الوقت.

جهاز التحكم بالأقراص

وحدة تحكم قرص متعدد.

الملفات

وكما سبق وعلقت, وسوف نحتاج لاستعادة بعض الملفات, لقد قمت بنسخ الأعمال المتعلقة بالألغام في بندريف.

محتوى دعمنا التخزين.

الحزم المطلوبة

ونحن بحاجة إلى القيام بهذه الممارسة قبل كل شيء, لذلك دعونا نرى يجب تثبيت هذه الحزمة لهذا البرنامج, لحسن الحظ، فإنه تتوفر في مستودعات الرسمية, لذا سيكون لدينا فقط لاستخدام الأداة الرابطة.

usuario@maquina:~$ sudo apt-get install foremost

حذف المحتوى

أولاً دعونا محو الملفات الخاصة بنا, وسوف نستخدم للقيام بهذا الأمر جمهورية مقدونيا مع الوسيطة -r جعل الحذف العودية و لفرض حذف; وأخيراً كتحديد الهدف * أي, ونحن سوف أبلغكم الذي يقوم بحذف كافة الملفات الموجودة داخل دولنا بندريف أو القرص الثابت.

#Nos movemos al directorio donde se ha montado nuestro soporte de almacenamiento.
usuario@maquina:~$ cd /media/ruta-del-disco

#Borramos todo el contenido.
usuario@maquina:~$ sudo rm -rf *

#Listamos el contenido para comprobar que ya no queda nada.
usuario@maquina:~$ ls
usuario@maquina:~$

وهو فوريموست, وكيف يعمل داخليا

أداة الطب الشرعي قبل كل شيء أداة لاستعادة الملفات التي وضعت في البداية بإدارة التحقيقات الخاصة للقوات الجوية لجيش الولايات المتحدة الأمريكية.

يجب أن نضع في اعتبارنا أن عند قيامك بحذف ملف, الشيء الوحيد الذي يمكننا القيام به إخفاء ذلك نظراً للمستخدم, وسم مجاناً الكتلة التي تحتلها; أملا في أن مساحة مطلوب, وبحلول ذلك الوقت الكتابة فوقه.

فهم الخاص بك طريقة لاسترداد ملفات بسيط جداً, ما تفعله أخذ القرص في محاولة للتعرف على الملفات بالهيكل رؤوس وأن تذييلات الصفحات في تنسيق ست عشري كل نوع من أنواع الملفات, ومنذ هذه فعامة.

تكوين فوريموست تروق لنا

لتكوين قبل كل شيء بطريقة مخصصة, لديك فقط لتحرير ملف التكوين الخاص بك /etc/foremost.conf وحرر تنسيقات الملفات التي تريد البحث; هل وهذا ليس من الضروري, يوفر الإعدادات بشكل افتراضي لكافة التنسيقات, ولكن يمكننا أن نغير رأس وأن تذييل الصفحة النظام الست عشري إذا كنا نرغب, ه حتى إضافة أنواع مختلفة من الملفات.

usuario@maquina:~$ sudo nano /etc/foremost.conf

ثم يمكنك أن ترى أ عينة جزء من المحتوى ملف التكوين, ملموسة في الأسطر التي تشير إلى التنسيقات التي نحن ذاهبون لاسترداد; إذا أردنا تغيير بعض المعلمات فقط ينبغي uncomment السطر المقترن بملحق المطلوب, وأخيراً تغيير تلك القيم.

#---------------------------------------------------------------------
# GIF and JPG files (very common)
# (NOTE THESE FORMATS HAVE BUILTIN EXTRACTION FUNCTION)
# gif y 155000000 \x47\x49\x46\x38\x37\x61 \x00\x3b
# gif y 155000000 \x47\x49\x46\x38\x39\x61 \x00\x00\x3b
# jpg y 20000000 \xff\xd8\xff\xe0\x00\x10 \xff\xd9
# jpg y 20000000 \xff\xd8\xff\xe1 \xff\xd9
# jpg y 20000000 \xff\xd8 \xff\xd9
#
# PNG (used in web pages)
# (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
# png y 200000 \x50\x4e\x47? \xff\xfc\xfd\xfe
#
#---------------------------------------------------------------------
# ADOBE PDF (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
#---------------------------------------------------------------------
#
# pdf y 5000000 %PDF- %EOF
#
#---------------------------------------------------------------------
# (NOTE THIS FORMAT HAS BUILTIN EXTRACTION FUNCTION)
# zip y 10000000 PK\x03\x04 \x3c\xac
#---------------------------------------------------------------------

استرداد الملفات الخاصة بنا مع فوريموست

استرداد الملفات مع قبل كل شيء من السهل حقاً, نحن فقط يجب تشغيله مع الخيارات المطلوبة; ثم سوف اشرح أن قد اختارت.

v تمكين الوضع المطول, قبل كل شيء عرض مزيد من المعلومات العملية يتم آخذة.

t يشير إلى نوع الملف لاسترداد.

T إضافة التاريخ إلى اسم الدليل حيث سيتم استرداد البيانات, لذا نحن لا يجب تغيير اسم الدليل كلما قمت بتشغيل قبل كل شيء.

أنا يشير إلى اسم القسم الذي تريد استعادة الملفات.

o ويشير إلى الدليل حيث تريد قبل كل شيء حفظ الملفات التي تم استردادها.

وفاق ويوصي بشدة استعراض الدليل لمسح أي شك حول.

usuario@maquina:~$ man foremost

قبل كل شيء يدعم العديد من تنسيقات مختلفة, وليس لتكرار عملية واحدة نحن ذاهبون للإشارة إلى استرداد كافة التنسيقات المتوفرة مع الوسيطة جميع لخيار -t; فمن الممكن معظم حتى أواخر, ولكن نحن ذاهبون إلى إنهاء العمل, وسوف نذهب لتناول قهوة أو القيام بمهام أخرى أثناء تلك الفترة الزمنية.

usuario@maquina:~$ sudo foremost -v -T -t all -i /dev/sdb1 -o /home/usuario/Escritorio/recuperado

[sudo] password for usuario:
Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus
Audit File

Foremost started at Sat Dec 27 12:13:03 2014
Invocation: foremost -v -T -t all /dev/sdb1 -o /home/usuario/Escritorio/recuperado
Output directory: /home/usuario/Escritorio/recuperado
Configuration file: /etc/foremost.conf
Processing: /dev/sdb1
|------------------------------------------------------------------|
File: /dev/sdb1
Start: Sat Dec 27 12:13:03 2014
Length: 7 GB (8010072064 bytes)
 
Num Name (bs=512) Size File Offset Comment 

*0: 00266344.png 74 KB 136368128 (297 x 222)
1: 00267240.png 2 MB 136826880 (2176 x 1915)
2: 00275456.png 22 KB 141033603 (181 x 256)
3: 00275520.png 21 KB 141066371 (181 x 256)
4: 00275664.png 87 KB 141139968 (1157 x 654)
5: 00275840.png 297 KB 141230080 (1023 x 635)
6: 00276480.png 255 KB 141557760 (1021 x 588)
7: 00276992.png 21 KB 141819904 (912 x 553)
8: 00277040.png 106 KB 141844480 (1308 x 701)
9: 00277256.png 10 KB 141955072 (797 x 114)
10: 00277280.png 49 KB 141967360 (519 x 485)
11: 00285584.png 21 KB 146219139 (181 x 256)

*********************************************************************
*********************************************************************
2869: 02437564.dll 51 KB 1248032768 10/20/2010 13:24:41
2870: 02437679.dll 79 KB 1248091648 10/20/2010 13:24:50
2871: 02437850.dll 68 KB 1248179200 10/20/2010 13:24:41
2872: 02438005.dll 358 KB 1248258560 02/24/2011 04:00:44
2873: 02438756.dll 51 KB 1248643072 10/20/2010 13:24:41
2874: 02438872.dll 79 KB 1248702464 10/20/2010 13:24:50
2875: 02439043.dll 68 KB 1248790016 10/20/2010 13:24:41
2876: 02439199.dll 358 KB 1248869888 02/24/2011 04:00:44 
|********************************************************************|

Finish: Sat Dec 27 13:09:06 2014

2974 FILES EXTRACTED

gif:= 347 
jpg:= 483
png:= 922
avi:= 119
pdf:= 278
zip:= 2
exe:= 132
dll:= 691
------------------------------------------------------------------ 

وقد اتخذت الانتعاش قليلاً أقل من ساعة, على الرغم من أن هذا سوف تختلف تبعاً لحجم القسم, مقدار تنسيقات لاسترداد, والفريق الذي يمكننا القيام بالمهمة; أنا اختصار قائمة الملفات, وبما أنها كانت أكثر 2900 الملفات في تنسيقات مختلفة, ومع التواريخ التي يرجع تاريخها إلى 1998 وحتى الآن.

أريد أن أؤكد أن بندريف أنها اشترت 2013, حيث ينبغي أن تكون البيانات الأخرى هدية عيد ريال سعودي. كينغستون; ولكن أنا غير-يكون العرفان بالجميل, أنا ذاهب لحذفها.

سركينجستون

السيد. كينغستون.

بمجرد التطبيق انتهاء مهمتها, وسوف نذهب إلى الدليل الذي تم استدعاء “استرداد“, وسوف تجد داخل أحد المجلدات المقترنة مع كل شكل; ومن بين هذه هي الملفات التي تم استردادها, ولكن قبل أن نحتاج إلى تغيير أذونات للوصول إلى هذه الدلائل.

usuario@maquina:~$ sudo chown usuario -R /home/usuario/Escritorio/recuperado_DíaSemana_Mes_DíaMes_Hora_Minuto_Segundo_Año

الآن يمكننا فعلا الوصول إلى الدليل الذي يحتوي على الملفات الخاصة بك; وقد تم انتشال كل واحد منهم بنجاح, دعونا ننظر داخل المجلد الذي يحتوي على الملفات كمثال قوات الدفاع الشعبي استرداد.

استرداد ملفات PDF.

إذا كنت مثلك اتبع لي على تويتر, فيسبوك, جوجل +, LinkedIn, أو تقاسمها مع الأزرار الموجودة تحت هذا المنشور, إذا كان لديك أي أسئلة أو اقتراحات لا تترددوا في التعليق.

تساعدنا للوصول إلى أكبر عدد من القراء Share on LinkedInShare on FacebookTweet about this on TwitterShare on Google+Email this to someone

اترك ردًا