Počítačové forenzní – Obnovení souborů souborem řezbářských se především

V počítačové forenzní Je to jeden z oborů, které mám rád, a nemluvili na blog na tento obor počítačová bezpečnost Jak si to zaslouží; Dnes budeme vidět Obnovení odstraněných souborů s technikou souboru řezbářství použití Především.

foremostt

Je pravda, že existuje mnoho dalších aplikací k provedení tohoto úkolu, ale tento nástroj a Skalpel jsou ty, které se mi líbí, a který jsem použil, když jednou omylem, které jsem odstranil, by neměl; Oba pomohly mi snížit procento pravděpodobnosti alopecie, nebo infarkty v raném věku.

Pro tyto praxe, Budeme potřebovat flash disk, a Některé soubory v různých formátech.

formáty

Co dělat s tímto flash disk, Tak by to stejně do jiného paměťového média; jediný rozdíl je, že vás to na pevných discích, Musíme třeba otevřít naši stolní PC; s portem eSata; nebo Hostitelský řadič USB pro ROZHRANÍ IDE/PATA/SATA.

conexionesdiscos

Dávám přednost možnost řadiče, Vzhledem k tomu, že to nám umožňuje pracovat se všemi typy pevných disků; Ať už jsou nové nebo staré, z 2,5″ nebo 3,5″, Je to docela úsporné a tento konkrétní model dva disky mohou být až vás ve stejné době.

řadič disku

Řadič lamelové.

Soubory

Jak již poznamenal, Budeme potřebovat nějaké soubory obnovit, Zkopíroval jsem dolu v pendrive.

Obsah naší podpory skladování.

Požadované balíčky

Musíme provést tuto praxi Především, tak uvidíme, že pro tento software musí být nainstalován tento balíček, Naštěstí je k dispozici v oficiálních repozitářích, Takže budeme prostě muset použít nástroj apt.

usuario@maquina:~$ sudo apt-get install foremost

Odstranění obsahu

První Musíme smazat soubory, a k tomu budeme používat příkaz RM s argumentem -r Chcete-li vytvořit rekurzivní odstranění a -f Chcete-li vynutit odstranění; A konečně jako cíl zvolte * tj, Informujeme vás, že odstraní všechny soubory uvnitř naše pendrive nebo pevný disk.

#Nos movemos al directorio donde se ha montado nuestro soporte de almacenamiento.
usuario@maquina:~$ cd /media/ruta-del-disco

#Borramos todo el contenido.
usuario@maquina:~$ sudo rm -rf *

#Listamos el contenido para comprobar que ya no queda nada.
usuario@maquina:~$ ls
usuario@maquina:~$

Je to především, a jak to funguje interně

Především forenzní nástroje Je to nástroj pro obnovu souborů, původně vyvinutý oddělení zvláštní vyšetřování leteckých sil armády Spojených států amerických.

Musíme udržet v paměti, že pokud odstraníte soubor, jediné, co můžeme udělat je, skrýt vzhledem k uživateli, označení jako volná clusteru obsazené; v naději, že prostor je zapotřebí, do té doby ji přepsat.

Váš způsob obnovy souborů je velmi jednoduché, Co to je, mít disk snaží rozpoznat soubory ve struktuře záhlaví a zápatí ve formátu hexadecimální každý typ souboru, Protože tyto jsou obecné.

Konfigurovat především na náš vkus

Konfigurace Především vlastním způsobem, budete jen muset upravovat konfigurační soubor /etc/foremost.conf a odkomentovat formáty souborů, které chcete hledat; udělat To není nutné, nabízí nastavení ve výchozím nastavení pro všechny formáty, ale můžeme změnit záhlaví a zápatí hexadecimální Jestliže chceme, e přidat i různé typy souborů.

usuario@maquina:~$ sudo nano /etc/foremost.conf

Pak můžete vidět v Ukázka části obsahu konfigurační soubor, v konkrétní řádky, které odkazují na formáty, které se chystáme obnovit; Pokud bychom chtěli změnit nějaký parametr pouze měla odkomentovat řádek spojená s požadovanou extenzi, Konečně změna hodnoty.

#---------------------------------------------------------------------
# GIF and JPG files (very common)
# (NOTE THESE FORMATS HAVE BUILTIN EXTRACTION FUNCTION)
# gif y 155000000 \x47\x49\x46\x38\x37\x61 \x00\x3b
# gif y 155000000 \x47\x49\x46\x38\x39\x61 \x00\x00\x3b
# jpg y 20000000 \xff\xd8\xff\xe0\x00\x10 \xff\xd9
# jpg y 20000000 \xff\xd8\xff\xe1 \xff\xd9
# jpg y 20000000 \xff\xd8 \xff\xd9
#
# PNG (used in web pages)
# (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
# png y 200000 \x50\x4e\x47? \xff\xfc\xfd\xfe
#
#---------------------------------------------------------------------
# ADOBE PDF (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
#---------------------------------------------------------------------
#
# pdf y 5000000 %PDF- %EOF
#
#---------------------------------------------------------------------
# (NOTE THIS FORMAT HAS BUILTIN EXTRACTION FUNCTION)
# zip y 10000000 PK\x03\x04 \x3c\xac
#---------------------------------------------------------------------

Naše soubory s především obnovit

Obnovit soubory s Především je skutečně snadné, Bychom měli prostě běžet s požadovanými možnostmi; Pak bude vysvětlovat, že jsem si vybral.

v Povolí režim s komentářem, především displej, další informace o procesu je přitom.

t označuje typ souboru k načtení.

T Přidejte data do název adresáře, kde bude obnovit data, tak jsme se nesmí změnit název adresáře, při každém spuštění především.

Určuje název oddílu, kde chcete obnovit soubory.

o Určuje adresář, kde chceme především obnovené soubory uložit.

ES Důrazně doporučujeme Vyhledejte v příručce jasné jakékoliv pochybnosti o.

usuario@maquina:~$ man foremost

Především podporuje mnoho různých formátů, a neopakovat operace jeden po druhém budeme označovat načíst všechny dostupné formáty s argumentem všechny pro možnost -t; Je to možné tak pozdě, většinou, ale musíme přestat pracovat, a jdeme na kávu nebo provádět další úlohy v tomto období.

usuario@maquina:~$ sudo foremost -v -T -t all -i /dev/sdb1 -o /home/usuario/Escritorio/recuperado

[sudo] password for usuario:
Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus
Audit File

Foremost started at Sat Dec 27 12:13:03 2014
Invocation: foremost -v -T -t all /dev/sdb1 -o /home/usuario/Escritorio/recuperado
Output directory: /home/usuario/Escritorio/recuperado
Configuration file: /etc/foremost.conf
Processing: /dev/sdb1
|------------------------------------------------------------------|
File: /dev/sdb1
Start: Sat Dec 27 12:13:03 2014
Length: 7 GB (8010072064 bytes)
 
Num Name (bs=512) Size File Offset Comment 

*0: 00266344.png 74 KB 136368128 (297 x 222)
1: 00267240.png 2 MB 136826880 (2176 x 1915)
2: 00275456.png 22 KB 141033603 (181 x 256)
3: 00275520.png 21 KB 141066371 (181 x 256)
4: 00275664.png 87 KB 141139968 (1157 x 654)
5: 00275840.png 297 KB 141230080 (1023 x 635)
6: 00276480.png 255 KB 141557760 (1021 x 588)
7: 00276992.png 21 KB 141819904 (912 x 553)
8: 00277040.png 106 KB 141844480 (1308 x 701)
9: 00277256.png 10 KB 141955072 (797 x 114)
10: 00277280.png 49 KB 141967360 (519 x 485)
11: 00285584.png 21 KB 146219139 (181 x 256)

*********************************************************************
*********************************************************************
2869: 02437564.dll 51 KB 1248032768 10/20/2010 13:24:41
2870: 02437679.dll 79 KB 1248091648 10/20/2010 13:24:50
2871: 02437850.dll 68 KB 1248179200 10/20/2010 13:24:41
2872: 02438005.dll 358 KB 1248258560 02/24/2011 04:00:44
2873: 02438756.dll 51 KB 1248643072 10/20/2010 13:24:41
2874: 02438872.dll 79 KB 1248702464 10/20/2010 13:24:50
2875: 02439043.dll 68 KB 1248790016 10/20/2010 13:24:41
2876: 02439199.dll 358 KB 1248869888 02/24/2011 04:00:44 
|********************************************************************|

Finish: Sat Dec 27 13:09:06 2014

2974 FILES EXTRACTED

gif:= 347 
jpg:= 483
png:= 922
avi:= 119
pdf:= 278
zip:= 2
exe:= 132
dll:= 691
------------------------------------------------------------------ 

Oživení vzala trochu méně než hodinu, Ačkoliv to bude lišit v závislosti na velikost oddílu, množství formátů k načtení, a tým, se kterým provádíme úkolu; Má zkrácený seznam souborů, vzhledem k tomu, že byli více než 2900 soubory v různých formátech, a s daty z 1998 tak daleko.

Chci zdůraznit, že pendrive Koupil jsem ji v 2013, Takže další data by měla být vánoční dárek z SR. Kingston; Ale já ne-nevděčná, Budu je odstranit.

srkingston

Pan. Kingston.

Jakmile aplikace dokončí svůj úkol, Půjdeme do adresáře, který byl nazýván “obnovit“, a uvnitř najdete složku spojenou s každý formát; mezi nimi jsou soubory, které byly obnoveny, Ale dříve, než je třeba změnit oprávnění pro přístup k těmto adresářům.

usuario@maquina:~$ sudo chown usuario -R /home/usuario/Escritorio/recuperado_DíaSemana_Mes_DíaMes_Hora_Minuto_Segundo_Año

Teď můžeme už přístup k adresáři, který obsahuje soubory; každý jeden z nich už byl úspěšně obnoven., Pojďme se podívat do složky, která obsahuje soubory jako příklad PDF obnovit.

Obnovené soubory PDF.

Pokud jste jako vy se mnou na Twitter, Facebook, Google +, LinkedIn, nebo jej sdílet s tlačítky v této publikaci, Pokud máte jakékoliv dotazy nebo návrhy prosím neváhejte se vyjádřit.

Pomozte nám dostat více čtenářů Share on LinkedInShare on FacebookTweet about this on TwitterShare on Google+Email this to someone