Počítačové forenzní – Obnovení souborů souborem řezbářských se především

V počítačové forenzní Je to jeden z oborů, které mám rád, a nemluvili na blog na tento obor počítačová bezpečnost Jak si to zaslouží; Dnes budeme vidět Obnovení odstraněných souborů s technikou souboru řezbářství použití Především.

foremostt

Je pravda, že existuje mnoho dalších aplikací k provedení tohoto úkolu, ale tento nástroj a Skalpel jsou ty, které se mi líbí, a který jsem použil, když jednou omylem, které jsem odstranil, by neměl; Oba pomohly mi snížit procento pravděpodobnosti alopecie, nebo infarkty v raném věku.

Pro tyto praxe, Budeme potřebovat flash disk, a Některé soubory v různých formátech.

formáty

Co dělat s tímto flash disk, Tak by to stejně do jiného paměťového média; jediný rozdíl je, že vás to na pevných discích, Musíme třeba otevřít naši stolní PC; s portem eSata; nebo Hostitelský řadič USB pro ROZHRANÍ IDE/PATA/SATA.

conexionesdiscos

Dávám přednost možnost řadiče, Vzhledem k tomu, že to nám umožňuje pracovat se všemi typy pevných disků; Ať už jsou nové nebo staré, z 2,5″ nebo 3,5″, Je to docela úsporné a tento konkrétní model dva disky mohou být až vás ve stejné době.

řadič disku

Řadič lamelové.

Soubory

Jak již poznamenal, Budeme potřebovat nějaké soubory obnovit, Zkopíroval jsem dolu v pendrive.

Obsah naší podpory skladování.

Požadované balíčky

Musíme provést tuto praxi Především, tak uvidíme, že pro tento software musí být nainstalován tento balíček, Naštěstí je k dispozici v oficiálních repozitářích, Takže budeme prostě muset použít nástroj apt.

usuario@maquina:~$ sudo apt-get install foremost

Odstranění obsahu

První Musíme smazat soubory, a k tomu budeme používat příkaz RM s argumentem -r Chcete-li vytvořit rekurzivní odstranění a -f Chcete-li vynutit odstranění; A konečně jako cíl zvolte * tj, Informujeme vás, že odstraní všechny soubory uvnitř naše pendrive nebo pevný disk.

#Nos movemos al directorio donde se ha montado nuestro soporte de almacenamiento.
usuario@maquina:~$ cd /media/ruta-del-disco

#Borramos todo el contenido.
usuario@maquina:~$ sudo rm -rf *

#Listamos el contenido para comprobar que ya no queda nada.
usuario@maquina:~$ ls
usuario@maquina:~$

Je to především, a jak to funguje interně

Především forenzní nástroje Je to nástroj pro obnovu souborů, původně vyvinutý oddělení zvláštní vyšetřování leteckých sil armády Spojených států amerických.

Musíme udržet v paměti, že pokud odstraníte soubor, jediné, co můžeme udělat je, skrýt vzhledem k uživateli, označení jako volná clusteru obsazené; v naději, že prostor je zapotřebí, do té doby ji přepsat.

Váš způsob obnovy souborů je velmi jednoduché, Co to je, mít disk snaží rozpoznat soubory ve struktuře záhlaví a zápatí ve formátu hexadecimální každý typ souboru, Protože tyto jsou obecné.

Konfigurovat především na náš vkus

Konfigurace Především vlastním způsobem, budete jen muset upravovat konfigurační soubor /etc/foremost.conf a odkomentovat formáty souborů, které chcete hledat; udělat To není nutné, nabízí nastavení ve výchozím nastavení pro všechny formáty, ale můžeme změnit záhlaví a zápatí hexadecimální Jestliže chceme, e přidat i různé typy souborů.

usuario@maquina:~$ sudo nano /etc/foremost.conf

Pak můžete vidět v Ukázka části obsahu konfigurační soubor, v konkrétní řádky, které odkazují na formáty, které se chystáme obnovit; Pokud bychom chtěli změnit nějaký parametr pouze měla odkomentovat řádek spojená s požadovanou extenzi, Konečně změna hodnoty.

#---------------------------------------------------------------------
# GIF and JPG files (very common)
# (NOTE THESE FORMATS HAVE BUILTIN EXTRACTION FUNCTION)
# gif y 155000000 \x47\x49\x46\x38\x37\x61 \x00\x3b
# gif y 155000000 \x47\x49\x46\x38\x39\x61 \x00\x00\x3b
# jpg y 20000000 \xff\xd8\xff\xe0\x00\x10 \xff\xd9
# jpg y 20000000 \xff\xd8\xff\xe1 \xff\xd9
# jpg y 20000000 \xff\xd8 \xff\xd9
#
# PNG (used in web pages)
# (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
# png y 200000 \x50\x4e\x47? \xff\xfc\xfd\xfe
#
#---------------------------------------------------------------------
# ADOBE PDF (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
#---------------------------------------------------------------------
#
# pdf y 5000000 %PDF- %EOF
#
#---------------------------------------------------------------------
# (NOTE THIS FORMAT HAS BUILTIN EXTRACTION FUNCTION)
# zip y 10000000 PK\x03\x04 \x3c\xac
#---------------------------------------------------------------------

Naše soubory s především obnovit

Obnovit soubory s Především je skutečně snadné, Bychom měli prostě běžet s požadovanými možnostmi; Pak bude vysvětlovat, že jsem si vybral.

v Povolí režim s komentářem, především displej, další informace o procesu je přitom.

t označuje typ souboru k načtení.

T Přidejte data do název adresáře, kde bude obnovit data, tak jsme se nesmí změnit název adresáře, při každém spuštění především.

Určuje název oddílu, kde chcete obnovit soubory.

o Určuje adresář, kde chceme především obnovené soubory uložit.

ES Důrazně doporučujeme Vyhledejte v příručce jasné jakékoliv pochybnosti o.

usuario@maquina:~$ man foremost

Především podporuje mnoho různých formátů, a neopakovat operace jeden po druhém budeme označovat načíst všechny dostupné formáty s argumentem všechny pro možnost -t; Je to možné tak pozdě, většinou, ale musíme přestat pracovat, a jdeme na kávu nebo provádět další úlohy v tomto období.

usuario@maquina:~$ sudo foremost -v -T -t all -i /dev/sdb1 -o /home/usuario/Escritorio/recuperado

[sudo] password for usuario:
Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus
Audit File

Foremost started at Sat Dec 27 12:13:03 2014
Invocation: foremost -v -T -t all /dev/sdb1 -o /home/usuario/Escritorio/recuperado
Output directory: /home/usuario/Escritorio/recuperado
Configuration file: /etc/foremost.conf
Processing: /dev/sdb1
|------------------------------------------------------------------|
File: /dev/sdb1
Start: Sat Dec 27 12:13:03 2014
Length: 7 GB (8010072064 bytes)
 
Num Name (bs=512) Size File Offset Comment 

*0: 00266344.png 74 KB 136368128 (297 x 222)
1: 00267240.png 2 MB 136826880 (2176 x 1915)
2: 00275456.png 22 KB 141033603 (181 x 256)
3: 00275520.png 21 KB 141066371 (181 x 256)
4: 00275664.png 87 KB 141139968 (1157 x 654)
5: 00275840.png 297 KB 141230080 (1023 x 635)
6: 00276480.png 255 KB 141557760 (1021 x 588)
7: 00276992.png 21 KB 141819904 (912 x 553)
8: 00277040.png 106 KB 141844480 (1308 x 701)
9: 00277256.png 10 KB 141955072 (797 x 114)
10: 00277280.png 49 KB 141967360 (519 x 485)
11: 00285584.png 21 KB 146219139 (181 x 256)

*********************************************************************
*********************************************************************
2869: 02437564.dll 51 KB 1248032768 10/20/2010 13:24:41
2870: 02437679.dll 79 KB 1248091648 10/20/2010 13:24:50
2871: 02437850.dll 68 KB 1248179200 10/20/2010 13:24:41
2872: 02438005.dll 358 KB 1248258560 02/24/2011 04:00:44
2873: 02438756.dll 51 KB 1248643072 10/20/2010 13:24:41
2874: 02438872.dll 79 KB 1248702464 10/20/2010 13:24:50
2875: 02439043.dll 68 KB 1248790016 10/20/2010 13:24:41
2876: 02439199.dll 358 KB 1248869888 02/24/2011 04:00:44 
|********************************************************************|

Finish: Sat Dec 27 13:09:06 2014

2974 FILES EXTRACTED

gif:= 347 
jpg:= 483
png:= 922
avi:= 119
pdf:= 278
zip:= 2
exe:= 132
dll:= 691
------------------------------------------------------------------ 

Oživení vzala trochu méně než hodinu, Ačkoliv to bude lišit v závislosti na velikost oddílu, množství formátů k načtení, a tým, se kterým provádíme úkolu; Má zkrácený seznam souborů, vzhledem k tomu, že byli více než 2900 soubory v různých formátech, a s daty z 1998 tak daleko.

Chci zdůraznit, že pendrive Koupil jsem ji v 2013, Takže další data by měla být vánoční dárek z SR. Kingston; Ale já ne-nevděčná, Budu je odstranit.

srkingston

Pan. Kingston.

Jakmile aplikace dokončí svůj úkol, Půjdeme do adresáře, který byl nazýván “obnovit“, a uvnitř najdete složku spojenou s každý formát; mezi nimi jsou soubory, které byly obnoveny, Ale dříve, než je třeba změnit oprávnění pro přístup k těmto adresářům.

usuario@maquina:~$ sudo chown usuario -R /home/usuario/Escritorio/recuperado_DíaSemana_Mes_DíaMes_Hora_Minuto_Segundo_Año

Teď můžeme už přístup k adresáři, který obsahuje soubory; každý jeden z nich už byl úspěšně obnoven., Pojďme se podívat do složky, která obsahuje soubory jako příklad PDF obnovit.

Obnovené soubory PDF.

Pokud jste jako vy se mnou na Twitter, Facebook, Google +, LinkedIn, nebo jej sdílet s tlačítky v této publikaci, Pokud máte jakékoliv dotazy nebo návrhy prosím neváhejte se vyjádřit.

Pomozte nám dostat více čtenářů Share on LinkedIn
LinkedIn
Share on Facebook
Facebook
Tweet about this on Twitter
Twitter
Share on Google+
Google +
Email this to someone
e-mail

"Jedna myšlenka na"Počítačové forenzní – Obnovení souborů souborem řezbářských se především

Napsat komentář