Informàtica Forense – Recuperació d'arxius de l'arxiu talla amb Foremost

La Informàtica Forense És una de les disciplines que m'encanta, i no hem parlat al blog en aquesta branca de la seguretat informàtica com es mereix; Així que avui anem a veure Com recobrar arxius suprimits amb la tècnica de talla d'arxiu utilitzant Més important.

foremostt

És cert que hi ha moltes més aplicacions per dur a terme aquesta tasca, però aquesta eina i Bisturí són els que m'agrada, i que quan he utilitzat una vegada per error, que he suprimit que no hauria; els dos m'han de reduir el percentatge de probabilitat de l'alopècia, o atacs de cor a una edat primerenca.

Per a la pràctica següent, Necessitarem una empenta de flaix, i alguns arxius en diferents formats.

formats de

Què fem amb aquesta empenta de flaix, -Vols fer-ho de la mateixa manera en qualsevol altre mitjà d'emmagatzematge; l'única diferència és que que ho faci en empentes dures, Hem d'obrir nostre PC d'escriptori; tenir un port eSata; o tenir un Dispositiu de control central USB per a IDE/PATA/SATA.

conexionesdiscos

Prefereixo l'opció de controlador, Ja que permet treballar amb tot tipus d'empentes dures; Si són nous o vells, de 2,5″ o 3,5″, És bastant econòmic i aquest model particular fins a dos discs pot vostè al mateix temps.

controlador de disc

Multidisc controlador.

Arxius

Com prèviament va comentar, Necessitem alguns arxius a recuperar, He copiat la mina en un pendrive.

Contingut del nostre suport d'emmagatzematge.

Paquets necessaris

Hem de dur a terme aquesta pràctica Més important, Així que anem a veure que aquell paquet ha de ser instal·lat per a aquest programari, Afortunadament, està disponible en els repositoris oficials, Així que només haurem d'utilitzar l'eina apta.

usuario@maquina:~$ sudo apt-get install foremost

Suprimint-ne contingut

Primer anem a esborrar els nostres arxius, i per això farem servir l'ordre RM amb l'argument -r per fer supressió recursiu i -f per forçar la supressió; Finalment com a objectiu seleccionar * és a dir, Us informarem que suprimeix tots els arxius dins nostre pendrive o disc dur.

#Nos movemos al directorio donde se ha montado nuestro soporte de almacenamiento.
usuario@maquina:~$ cd /media/ruta-del-disco

#Borramos todo el contenido.
usuario@maquina:~$ sudo rm -rf *

#Listamos el contenido para comprobar que ya no queda nada.
usuario@maquina:~$ ls
usuario@maquina:~$

És Foremost, i com funciona internament

Eina primer forense És una eina per recuperar arxius inicialment desenvolupats pel Departament d'investigacions especials de les forces aèries de l'exèrcit dels Estats Units d'Amèrica.

Hem de tenir en compte que quan suprimeix un arxiu, l'únic que podem fer és amagar-lo davant l'usuari, marcar com lliure el clúster ocupada per la; amb l'esperança que l'espai es requereix, aleshores sobreescriure'l.

Entendre la seva manera de recuperar arxius és bastant simple, el que fa és prendre el disc intentant reconèixer els arxius per l'estructura de la capçaleres i la peus de pàgina en format hexadecimal cada tipus de fitxer, Des d'aquestes genèriques.

Configurar Foremost al nostre gust

Configurar Més important d'una manera personalitzada, només cal editar el fitxer de configuració /etc/foremost.conf i descomenteu els formats de fitxer que voleu cercar; fer Això no és necessari, ofereix la configuració per defecte per a tots els formats, però podem canviar la capçalera i la peu de pàgina hexadecimal si desitgem, e fins i tot afegir tipus de fitxer diferent.

usuario@maquina:~$ sudo nano /etc/foremost.conf

Llavors vostè pot veure un Mostra de part dels continguts de l'arxiu de configuració, en concret les línies que fan referència als formats que anem a recuperar; Si volguéssim canviar algun paràmetre només hauria Incomenti la línia associat amb la desitjada ampliació, Finalment canviar aquests valors.

#---------------------------------------------------------------------
# GIF and JPG files (very common)
# (NOTE THESE FORMATS HAVE BUILTIN EXTRACTION FUNCTION)
# gif y 155000000 \x47\x49\x46\x38\x37\x61 \x00\x3b
# gif y 155000000 \x47\x49\x46\x38\x39\x61 \x00\x00\x3b
# jpg y 20000000 \xff\xd8\xff\xe0\x00\x10 \xff\xd9
# jpg y 20000000 \xff\xd8\xff\xe1 \xff\xd9
# jpg y 20000000 \xff\xd8 \xff\xd9
#
# PNG (used in web pages)
# (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
# png y 200000 \x50\x4e\x47? \xff\xfc\xfd\xfe
#
#---------------------------------------------------------------------
# ADOBE PDF (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
#---------------------------------------------------------------------
#
# pdf y 5000000 %PDF- %EOF
#
#---------------------------------------------------------------------
# (NOTE THIS FORMAT HAS BUILTIN EXTRACTION FUNCTION)
# zip y 10000000 PK\x03\x04 \x3c\xac
#---------------------------------------------------------------------

Recuperar els nostres fitxers amb Foremost

Recobri Arxius amb Més important és realment fàcil, Només ens cal executar amb les opcions desitjades; Després explicaran que heu seleccionat.

v permet mode verbós, més informació del procés està tenint-lo d'exhibició més important.

t indica el tipus d'arxiu per recuperar.

T Afegir la cita el nom del directori on es recuperarà les dades, manera que no cal canviar el nom del directori quan sigui que llança més important.

Jo indica el nom de la partició on voleu recuperar fitxers.

o indica el directori on volem més important salvar arxius recobrats.

ES molt recomanable Navegar el manual per aclarir qualsevol dubte sobre.

usuario@maquina:~$ man foremost

Més important dóna suport a molts formats diferents, i per no repetir l'operació un a un anem a indicar per recuperar tots els formats disponibles amb l'argument tots els per opció -t; És possible tan finals més, però anem a deixar de treballar, i ens dirigirem per un cafè o realitzar altres tasques durant aquest període de temps.

usuario@maquina:~$ sudo foremost -v -T -t all -i /dev/sdb1 -o /home/usuario/Escritorio/recuperado

[sudo] password for usuario:
Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus
Audit File

Foremost started at Sat Dec 27 12:13:03 2014
Invocation: foremost -v -T -t all /dev/sdb1 -o /home/usuario/Escritorio/recuperado
Output directory: /home/usuario/Escritorio/recuperado
Configuration file: /etc/foremost.conf
Processing: /dev/sdb1
|------------------------------------------------------------------|
File: /dev/sdb1
Start: Sat Dec 27 12:13:03 2014
Length: 7 GB (8010072064 bytes)
 
Num Name (bs=512) Size File Offset Comment 

*0: 00266344.png 74 KB 136368128 (297 x 222)
1: 00267240.png 2 MB 136826880 (2176 x 1915)
2: 00275456.png 22 KB 141033603 (181 x 256)
3: 00275520.png 21 KB 141066371 (181 x 256)
4: 00275664.png 87 KB 141139968 (1157 x 654)
5: 00275840.png 297 KB 141230080 (1023 x 635)
6: 00276480.png 255 KB 141557760 (1021 x 588)
7: 00276992.png 21 KB 141819904 (912 x 553)
8: 00277040.png 106 KB 141844480 (1308 x 701)
9: 00277256.png 10 KB 141955072 (797 x 114)
10: 00277280.png 49 KB 141967360 (519 x 485)
11: 00285584.png 21 KB 146219139 (181 x 256)

*********************************************************************
*********************************************************************
2869: 02437564.dll 51 KB 1248032768 10/20/2010 13:24:41
2870: 02437679.dll 79 KB 1248091648 10/20/2010 13:24:50
2871: 02437850.dll 68 KB 1248179200 10/20/2010 13:24:41
2872: 02438005.dll 358 KB 1248258560 02/24/2011 04:00:44
2873: 02438756.dll 51 KB 1248643072 10/20/2010 13:24:41
2874: 02438872.dll 79 KB 1248702464 10/20/2010 13:24:50
2875: 02439043.dll 68 KB 1248790016 10/20/2010 13:24:41
2876: 02439199.dll 358 KB 1248869888 02/24/2011 04:00:44 
|********************************************************************|

Finish: Sat Dec 27 13:09:06 2014

2974 FILES EXTRACTED

gif:= 347 
jpg:= 483
png:= 922
avi:= 119
pdf:= 278
zip:= 2
exe:= 132
dll:= 691
------------------------------------------------------------------ 

La recuperació ha pres una mica menys que una hora, Encara que això pot variar depenent de la mida de la partició, la quantitat de formats per recuperar, i l'equip amb el qual duem a terme la tasca; Haver escurçat el la llista de fitxers, ja que han estat més de 2900 arxius recuperats en diversos formats, i amb les dates de 1998 fins ara.

Vull remarcar que el pendrive Vaig comprar el 2013, així la resta de dades hauria de ser un regal de Nadal de la SR. Kingston; però jo no-ser ingrat, Vaig a eliminar-los.

srkingston

Sr.. Kingston.

Una vegada que l'aplicació acaba la seva tasca, Ens dirigirem al directori que s'ha anomenat “recuperat“, i interior trobareu una carpeta associat amb cada format; entre ells hi ha fitxers que han estat recuperats, però abans hem de canviar els permissions per accedir a aquests directoris.

usuario@maquina:~$ sudo chown usuario -R /home/usuario/Escritorio/recuperado_DíaSemana_Mes_DíaMes_Hora_Minuto_Segundo_Año

Ara ja es pot accedir al guia que conté els fitxers; cada un d'ells s'han recuperat amb èxit, Fem una ullada dins de la carpeta que conté els arxius d'exemple PDF recuperat.

Arxius PDF recuperats.

Si us agrada podeu segueix-me a Refilar, Facebook, Google +, LinkedIn, o compartir-lo amb els botons sota aquesta publicació, Si vostè té alguna pregunta o suggeriment no dubtis a comentar.

Ajuda'ns a arribar a més lectors Share on LinkedInShare on FacebookTweet about this on TwitterShare on Google+Email this to someone

Deixa un comentari