Компютърна лица – Възстановяване на файлове от файл, дърворезба с първо място

The Компютърна лица Това е една от дисциплините, които обичам, и да не говори в блога на този клон на компютърна сигурност Как го заслужава; така че днес ние ще видим Как да възстановяване на изтрити файлове с техниката на файл дърворезба използване на На първо място.

foremostt

Вярно е че има много повече приложения, за да изпълнява тази задача, но този оръдие and Скалпел са тези, които обичам, и който се използва, когато веднъж по погрешка изтрих да не; двамата са ми помогна да намали процента на вероятност от алопеция, или инфаркти в ранна възраст.

За следните практика, Ние ще трябва флаш устройство, and някои файлове в различни формати.

формати

Какво правим с този флаш устройство, Тя ще направи това по същия начин във всякакви други носители; Единствената разлика е, че можете да го направите на твърди дискове, Ние трябва да отворим нашите настолен компютър; като порт eSata; или имат USB хост контролер за IDE/PATA/SATA.

conexionesdiscos

Аз предпочитам опцията контролер, Тъй като тя ни позволява да работи с всички видове твърди дискове; дали са нови или стари, на 2,5″ или 3,5″, Това е доста икономичен и този конкретен модел до два диска може да ви бъде в същото време.

диск контролер

Multi-диск контролер.

Файлове

Както вече коментира, Ние ще трябва някои файлове за възстановяване, Аз съм изобилен мина в pendrive.

Съдържанието на нашия гардероб поддръжка.

Необходимите пакети

Ние трябва да извърши тази практика На първо място, така че нека да видим този пакет трябва да бъде инсталиран за този софтуер, За щастие е на разположение в официалните хранилища, така че ние просто ще трябва да използвате инструмента apt.

usuario@maquina:~$ sudo apt-get install foremost

Изтриване на съдържание

Първо нека да изтрие нашите файлове, и за целта ще използваме командата RM с аргумента -r да направи рекурсивни изтриване and -f за да извършите принудително изтриване; Накрая като целта изберете * т.е., Ние ще ви информирам, че изтрива всички файлове вътре ни pendrive или твърд диск.

#Nos movemos al directorio donde se ha montado nuestro soporte de almacenamiento.
usuario@maquina:~$ cd /media/ruta-del-disco

#Borramos todo el contenido.
usuario@maquina:~$ sudo rm -rf *

#Listamos el contenido para comprobar que ya no queda nada.
usuario@maquina:~$ ls
usuario@maquina:~$

Това е преди всичко, и как той работи вътрешно

Всичко съдебномедицински инструмент Това е инструмент за възстановяване на файлове, първоначално разработена от отдела на специални разследвания на Военновъздушните сили на армията на Съединените щати на Америка.

Ние трябва да запазите в предвид, че при изтриване на файл, Единственото нещо, което правим е го скрие гледна точка на потребителя, Маркиране като свободен клъстер заети от; с надеждата, че е необходимо пространство, от тогава го презапишете.

Разбирам вашия начин за възстановяване на файлове е доста проста, Тъй като това, което прави е турнета диска се опитва да на ги разпознава файловете от структурата на заглавки и на долни колонтитули във формат шестнадесетични всеки тип файл, Тъй като тези те са общи.

Конфигуриране на първо място да ни хареса

За да конфигурирате На първо място в потребителски начин, трябва само да редактирате вашия конфигурационен файл /etc/Foremost.conf и uncomment определителен файлови формати, които искате да търсите; правя Това не е необходимо, предлага настройки по подразбиране за всички формати, но ние можем да променим горен и на долен колонтитул шестнадесетични ако искаме, e дори да добавите различни типове файлове.

usuario@maquina:~$ sudo nano /etc/foremost.conf

След това можете да видите a проба от част от съдържанието на конфигурационния файл, в бетон редовете, които се отнасят за форматите, които ние ще се възстанови; Ако искахме да се промени някои параметър само трябва да активирате реда, свързани с разширението на желаната, да се промени най-накрая тези стойности.

#---------------------------------------------------------------------
# GIF and JPG files (very common)
# (NOTE THESE FORMATS HAVE BUILTIN EXTRACTION FUNCTION)
# gif y 155000000 \x47\x49\x46\x38\x37\x61 \x00\x3b
# gif y 155000000 \x47\x49\x46\x38\x39\x61 \x00\x00\x3b
# jpg y 20000000 \xff\xd8\xff\xe0\x00\x10 \xff\xd9
# jpg y 20000000 \xff\xd8\xff\xe1 \xff\xd9
# jpg y 20000000 \xff\xd8 \xff\xd9
#
# PNG (used in web pages)
# (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
# png y 200000 \x50\x4e\x47? \xff\xfc\xfd\xfe
#
#---------------------------------------------------------------------
# ADOBE PDF (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
#---------------------------------------------------------------------
#
# pdf y 5000000 %PDF- %EOF
#
#---------------------------------------------------------------------
# (NOTE THIS FORMAT HAS BUILTIN EXTRACTION FUNCTION)
# zip y 10000000 PK\x03\x04 \x3c\xac
#---------------------------------------------------------------------

Възстановяване на нашите файлове с първо място

Възстановяване на файлове с На първо място наистина е лесно, Ние просто трябва да го изпълним с желаните опции; След това ще обясня, че са избрали.

v дава възможност на многословен режим, преди всичко дисплей, повече информация за процеса е докато го извадите.

т показва типа на файл за извличане.

Т Добави датата на името на директорията, където ще бъдат възстановени данните, така че ние не трябва да промените името на директорията, когато стартирате на първо място.

Аз показва името на дяла, където искате да възстановите файлове.

o показва директорията, където искаме да на първо място записване на възстановените файлове.

ES силно се препоръчва Преглед на ръководството, за да изчистите съмнения за.

usuario@maquina:~$ man foremost

На първо място поддържа много различни формати, и не се повтаря операция на един по един Отиваме да се посочи да извлечете всички налични формати с аргумента всички за опция ; Това е възможно толкова късно повечето, но ние няма да напусна работа, и ние ще отидат за кафе или да изпълнявате други задачи по време на този период от време.

usuario@maquina:~$ sudo foremost -v -T -t all -i /dev/sdb1 -o /home/usuario/Escritorio/recuperado

[sudo] password for usuario:
Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus
Audit File

Foremost started at Sat Dec 27 12:13:03 2014
Invocation: foremost -v -T -t all /dev/sdb1 -o /home/usuario/Escritorio/recuperado
Output directory: /home/usuario/Escritorio/recuperado
Configuration file: /etc/foremost.conf
Processing: /dev/sdb1
|------------------------------------------------------------------|
File: /dev/sdb1
Start: Sat Dec 27 12:13:03 2014
Length: 7 GB (8010072064 bytes)
 
Num Name (bs=512) Size File Offset Comment 

*0: 00266344.png 74 KB 136368128 (297 x 222)
1: 00267240.png 2 MB 136826880 (2176 x 1915)
2: 00275456.png 22 KB 141033603 (181 x 256)
3: 00275520.png 21 KB 141066371 (181 x 256)
4: 00275664.png 87 KB 141139968 (1157 x 654)
5: 00275840.png 297 KB 141230080 (1023 x 635)
6: 00276480.png 255 KB 141557760 (1021 x 588)
7: 00276992.png 21 KB 141819904 (912 x 553)
8: 00277040.png 106 KB 141844480 (1308 x 701)
9: 00277256.png 10 KB 141955072 (797 x 114)
10: 00277280.png 49 KB 141967360 (519 x 485)
11: 00285584.png 21 KB 146219139 (181 x 256)

*********************************************************************
*********************************************************************
2869: 02437564.dll 51 KB 1248032768 10/20/2010 13:24:41
2870: 02437679.dll 79 KB 1248091648 10/20/2010 13:24:50
2871: 02437850.dll 68 KB 1248179200 10/20/2010 13:24:41
2872: 02438005.dll 358 KB 1248258560 02/24/2011 04:00:44
2873: 02438756.dll 51 KB 1248643072 10/20/2010 13:24:41
2874: 02438872.dll 79 KB 1248702464 10/20/2010 13:24:50
2875: 02439043.dll 68 KB 1248790016 10/20/2010 13:24:41
2876: 02439199.dll 358 KB 1248869888 02/24/2011 04:00:44 
|********************************************************************|

Finish: Sat Dec 27 13:09:06 2014

2974 FILES EXTRACTED

gif:= 347 
jpg:= 483
png:= 922
avi:= 119
pdf:= 278
zip:= 2
exe:= 132
dll:= 691
------------------------------------------------------------------ 

Възстановяването е взел малко по-малко от един час, Въпреки че това ще варира в зависимост от размера на дяла, Размерът на формати за извличане, и на екипа, с който извършваме задачата; Имам съкратен списък на файловете, тъй като те са били повече от 2900 файлове, възстановени в различни формати, и с дати, датиращи от 1998 До сега.

Искам да подчертая че pendrive Купих я в 2013, така други данни трябва да бъде празник подарък на SR. Кингстън; но аз не-бъде неблагодарен, Аз отивам да ги изтриете.

srkingston

Г-н. Кингстън.

След като заявлението завършва своята задача, Ние ще отидете в директорията, която е наречена “възстановени“, и вътре ще намерите папката, свързана с всеки формат; сред тях са файлове, които са били възстановени, но преди това ние трябва да промените разрешенията за достъп до тези директории.

usuario@maquina:~$ sudo chown usuario -R /home/usuario/Escritorio/recuperado_DíaSemana_Mes_DíaMes_Hora_Minuto_Segundo_Año

Сега можем вече да достъп до директорията, която съдържа вашите файлове; всеки един от тях са били възстановени успешно, Нека да погледнем вътре в папката, която съдържа файловете като пример PDF възстановени.

Възстановените PDF файлове.

Ако ви харесва можете да следвате ме на Twitter, Facebook, Google +, LinkedIn, или я споделете с бутоните под тази публикация, Ако имате някакви въпроси или предложения, моля не се колебайте да коментират.

Помогнете ни да достигнат до повече читатели Share on LinkedInShare on FacebookTweet about this on TwitterShare on Google+Email this to someone

Вашият коментар