Računalna forenzika – Oporavlja datoteke po datoteku rezbarenje sa Foremost

Na Računalna forenzika To je jedna od disciplina koju volim, i nije govorio na blogu na tu granu u Računalna sigurnost Kako to zaslužuje; Danas ćemo vidjeti Kako oporaviti izbrisane datoteke tehnikom datoteka rezbarenje koristeći Prije svega.

foremostt

Istina je da su mnoge aplikacije za obavljanje tog zadatka, Ali ovaj alat i Skalpelom su one koje volim, i koji koristi kada nakon što ste izbrisali greškom koja ne smije; Dva su mi je pomogao da niži postotak vjerojatnosti alopecije, ili srčanih udara u ranoj dobi.

Za sljedeće prakse, Treba nam memorijski pogon, i neke datoteke u različitim formatima.

formati

Što radimo sa bljesak voziti, To će učiniti na isti način u bilo koji drugi medij za pohranu; Jedina razlika je u tome da to učinite na tvrdo pogoni, Mi moramo da otvorimo radna površina PC; vlasništvo priključka eSata; ili su u USB kontroler za IDE/PATA/ANTIKRIST.

conexionesdiscos

Preferirati kontrolera opcija, Budući da nam omogućava da radi sa svim vrstama tvrdih diskova; Jesu li novi ili stari, od 2,5″ ili 3,5″, To je vrlo ekonomično i ovaj model dva diska može biti do te istovremeno.

disk kontroler

Kontrolor multi-disk.

Datoteka

Kao i ranije komentirao, Trebat ćemo neke datoteke za oporavak, Kopiraš moje in poglavica.

Sadržaj priče podrška.

Zahtijevani paketi

Trebamo provesti ovu praksu Prije svega, Pa da vidimo taj paket mora biti instaliran za ovaj softver, Srećom, to je dostupan u službenim repozitorijima, Tako da ćemo morati koristiti alat sposoban.

usuario@maquina:~$ sudo apt-get install foremost

Brisanje sadržaja

Prvi Let's izbrisati naše datoteke, i za to Upotrijebit ćemo naredbu RM u argumentu -r da bi rekurzivnog brisanja i -f na snagu brisanje; Napokon kao cilja Odaberite * tj., Obavijestit ćemo vas koji Briše sve datoteke unutar naših poglavica ili tvrdom disku.

#Nos movemos al directorio donde se ha montado nuestro soporte de almacenamiento.
usuario@maquina:~$ cd /media/ruta-del-disco

#Borramos todo el contenido.
usuario@maquina:~$ sudo rm -rf *

#Listamos el contenido para comprobar que ya no queda nada.
usuario@maquina:~$ ls
usuario@maquina:~$

To je Foremost, i kako to radi interno

Svega forenzički alat To je alat za oporavak datoteke u početku razvijen od strane odjela za specijalne istrage ratnih zrakoplovstava nad vojskom u Sjedinjene američke države.

Imajmo u vidu da prilikom brisanja datoteka, Jedino što možemo učiniti je sakriti Imajući u vidu korisnik, Označavanje kao slobodan u klastera okupacijom se; u nadi da je prostor potreban, do tada ga prepisati.

Razumjeti način za ozdravljenje Kartoteka je vrlo jednostavan, što je to uzeti disk pokušaja prepoznavanja datoteke struktura na zaglavlja i na podnožja u formatu Heksadecimalni svaku vrstu datoteke, Od ovih Oni su općenito.

Konfiguriranje Foremost po našim željama

Da biste konfigurirali Prije svega Prilagođeni način, Samo morate urediti konfiguracijsku datoteku /etc/foremost.conf i komentirati formate datoteka koje želite pretraživati; učiniti Ovo je potrebno, nudi postavke po zadanom za sve formate, Ali možemo promijeniti na zaglavlje i na podnožje Heksadecimalni ako želimo, e Čak i dodati vrste datoteka.

usuario@maquina:~$ sudo nano /etc/foremost.conf

Tada možete vidjeti na uzorak dio sadržaja Konfiguracijske datoteke, u beton linije koje se odnose na formate koje ćemo za oporavak; Ako želimo promijeniti neki parametar samo treba otkomentiranjem reda povezana s željeni nastavak, Napokon promjene tih vrijednosti.

#---------------------------------------------------------------------
# GIF and JPG files (very common)
# (NOTE THESE FORMATS HAVE BUILTIN EXTRACTION FUNCTION)
# gif y 155000000 \x47\x49\x46\x38\x37\x61 \x00\x3b
# gif y 155000000 \x47\x49\x46\x38\x39\x61 \x00\x00\x3b
# jpg y 20000000 \xff\xd8\xff\xe0\x00\x10 \xff\xd9
# jpg y 20000000 \xff\xd8\xff\xe1 \xff\xd9
# jpg y 20000000 \xff\xd8 \xff\xd9
#
# PNG (used in web pages)
# (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
# png y 200000 \x50\x4e\x47? \xff\xfc\xfd\xfe
#
#---------------------------------------------------------------------
# ADOBE PDF (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
#---------------------------------------------------------------------
#
# pdf y 5000000 %PDF- %EOF
#
#---------------------------------------------------------------------
# (NOTE THIS FORMAT HAS BUILTIN EXTRACTION FUNCTION)
# zip y 10000000 PK\x03\x04 \x3c\xac
#---------------------------------------------------------------------

Obnova naše datoteke sa Foremost

Obnova Kartoteka sa Prije svega lako je, Moramo samo bjezati ga sa željene opcije; Zatim će objasniti što se odlučili.

v omogućava verbose modu, prije svega otkriti više informacija proces je uzimajući vanjska strana.

t Označava vrstu datoteke za preuzimanje.

T Dodavanje datuma naziv direktorija gdje će obnoviti podatke, Tako moramo neće promijeniti naziv imenika pri svakom pokretanju prije svega.

sam Označava naziv particije gdje želite oporaviti datoteke.

o Označava direktorij gdje želimo prije svega spremanje Oporavljene datoteke.

ES Vrlo preporučljivo Pregled priručnika za brisanje bilo sumnje o.

usuario@maquina:~$ man foremost

Prije svega podržava mnoge različite formate, i za ponavljanje operacije jednog po jednog ćemo ukazati dohvatiti sve dostupne formate s argumentom sve za opciju -t; To je moguće tako kasno najviše, Ali mi ćemo prestati raditi, i idemo na kavu ili za obavljanje drugih zadataka u vremenskom periodu.

usuario@maquina:~$ sudo foremost -v -T -t all -i /dev/sdb1 -o /home/usuario/Escritorio/recuperado

[sudo] password for usuario:
Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus
Audit File

Foremost started at Sat Dec 27 12:13:03 2014
Invocation: foremost -v -T -t all /dev/sdb1 -o /home/usuario/Escritorio/recuperado
Output directory: /home/usuario/Escritorio/recuperado
Configuration file: /etc/foremost.conf
Processing: /dev/sdb1
|------------------------------------------------------------------|
File: /dev/sdb1
Start: Sat Dec 27 12:13:03 2014
Length: 7 GB (8010072064 bytes)
 
Num Name (bs=512) Size File Offset Comment 

*0: 00266344.png 74 KB 136368128 (297 x 222)
1: 00267240.png 2 MB 136826880 (2176 x 1915)
2: 00275456.png 22 KB 141033603 (181 x 256)
3: 00275520.png 21 KB 141066371 (181 x 256)
4: 00275664.png 87 KB 141139968 (1157 x 654)
5: 00275840.png 297 KB 141230080 (1023 x 635)
6: 00276480.png 255 KB 141557760 (1021 x 588)
7: 00276992.png 21 KB 141819904 (912 x 553)
8: 00277040.png 106 KB 141844480 (1308 x 701)
9: 00277256.png 10 KB 141955072 (797 x 114)
10: 00277280.png 49 KB 141967360 (519 x 485)
11: 00285584.png 21 KB 146219139 (181 x 256)

*********************************************************************
*********************************************************************
2869: 02437564.dll 51 KB 1248032768 10/20/2010 13:24:41
2870: 02437679.dll 79 KB 1248091648 10/20/2010 13:24:50
2871: 02437850.dll 68 KB 1248179200 10/20/2010 13:24:41
2872: 02438005.dll 358 KB 1248258560 02/24/2011 04:00:44
2873: 02438756.dll 51 KB 1248643072 10/20/2010 13:24:41
2874: 02438872.dll 79 KB 1248702464 10/20/2010 13:24:50
2875: 02439043.dll 68 KB 1248790016 10/20/2010 13:24:41
2876: 02439199.dll 358 KB 1248869888 02/24/2011 04:00:44 
|********************************************************************|

Finish: Sat Dec 27 13:09:06 2014

2974 FILES EXTRACTED

gif:= 347 
jpg:= 483
png:= 922
avi:= 119
pdf:= 278
zip:= 2
exe:= 132
dll:= 691
------------------------------------------------------------------ 

Oporavak je uzeti malo manje od sat vremena, Iako ovo će varirati Ovisno o veličini particije, iznos od formata za dohvat, i ekipa s kojom smo izvršili zadatak; Skratio sam popis datoteka, Budući da su više od 2900 datoteke u različitim formatima, i s datumima iz 1998 Do sada.

Želim naglasiti da je poglavica Kupio sam ga u 2013, Pa ostale podatke treba odmor dar u SR. Kingston; Ali ja ne-biti nezahvalan, Ja ću ih izbrisati.

srkingston

G.. Kingston.

Nakon što program završi svoj zadatak, Odemo u direktorij koji se zove “Obnova“, unutra ćete pronaći mapu pridruženu svaki oblik; među njima su datoteke koje su pronađeni, Ali prije nego što je potrebno promijeniti dozvole za pristup ove imenike.

usuario@maquina:~$ sudo chown usuario -R /home/usuario/Escritorio/recuperado_DíaSemana_Mes_DíaMes_Hora_Minuto_Segundo_Año

Sada možemo već ući u direktorij koji sadrži datoteke; svakome od njih imati uspješno oporavio, Pogledajmo unutra mapu koja sadrži datoteke kao primjer PDF Obnova.

Obnova PDF Kartoteka.

Ako želite možete Slijedite me na Twitter, Facebook, Google +, LinkedIn, ili ga podijeliti s gumbima ispod ove publikacije, Ako imate bilo kakvih pitanja ili prijedloge Molimo ne ustručavajte se komentirati.

Pomažu nam do više čitatelja Share on LinkedIn
LinkedIn
Share on Facebook
Facebook
Tweet about this on Twitter
Twitter
Share on Google+
Google +
Email this to someone
e-pošte

"Jedna misao o"Računalna forenzika – Oporavlja datoteke po datoteku rezbarenje sa Foremost

Komentariši