Gwaith fforensig cyfrifiadur – Adfer ffeiliau gan ffeil cerfio gyda fwyaf blaenllaw

Y gwaith fforensig cyfrifiadur Mae'n un o'r disgyblaethau Dwi wrth fy modd, ac nid wedi siarad ar y blog ar y Gangen hon o y diogelwch cyfrifiadurol sut y mae'n ei haeddu; Byddwn yn gweld hynny heddiw Sut i adfer ffeiliau a ddilëwyd gyda y dechneg o cerfio ffeil gan ddefnyddio Mwyaf blaenllaw.

foremostt

Mae yn wir fod yn llawer mwy o geisiadau i gyflawni'r dasg hon, ond arf hwn a Gyllell yw'r rhai a rwy'n hoffi, ac yr arferwn pan unwaith gan camgymeriad rwyf wedi dileu hynny na ddylai; Mae y ddau wedi helpu fi i ostwng canran y tebygolrwydd o alopesia, neu drawiad ar y galon yn gynnar.

Ar gyfer yr ymarfer canlynol, Bydd angen gyriant fflach, ac rhai ffeiliau mewn gwahanol fformatau.

fformatau

Beth a wnawn â hwn gyriant fflach, Byddai'n gwneud hynny yn yr un modd mewn unrhyw cyfryngau storio eraill; yr unig wahaniaeth yw bod chi wneud hynny ar y gyriant caled, Rhaid inni agor ein cyfrifiadur bwrdd gwaith; cael porthladd eSata; neu wedi Rheolydd lletywr USB ar gyfer DANG/PATA/SATA.

conexionesdiscos

Mae'n well gennyf yr opsiwn rheolydd, Ers mae'n caniatáu inni weithio gyda phob math o yriannau caled; a ydynt yn newydd neu hen, o 2,5″ neu 3,5″, Mae'n eithaf darbodus a model penodol hwn hyd at ddau disgiau gellir chi ar yr un pryd.

ddisg rheolydd

Aml-ddisg rheolydd.

Ffeiliau

Fel o'r blaen, Bydd arnom angen rhai ffeiliau i adennill, Rydych yn cael ei chopïo i mi yn pendrive.

Cynnwys ein cymorth storio.

Angen pecynnau

Mae angen inni gynnal yr arfer hwn Mwyaf blaenllaw, Felly gadewch i ni weld rhaid gosod y pecyn hwnnw ar gyfer y meddalwedd hwn, Yn ffodus, ar gael yn yr ystorfeydd swyddogol, Felly bydd yn rhaid inni ddefnyddio'r offeryn addas.

usuario@maquina:~$ sudo apt-get install foremost

Wrthi'n dileu cynnwys

Yn gyntaf gadewch i ni yn dileu ein ffeiliau, ac i wneud hyn byddwn yn defnyddio y Gorchymyn RM gyda y ddadl -ymchwil i wneud dileu ailadroddus a -f i orfodi dileu; Dewiswch yn olaf fel targed * h.y., Byddwn yn hysbysu eich bod yn dileu'r holl ffeiliau y tu mewn i'n pendrive neu disg galed.

#Nos movemos al directorio donde se ha montado nuestro soporte de almacenamiento.
usuario@maquina:~$ cd /media/ruta-del-disco

#Borramos todo el contenido.
usuario@maquina:~$ sudo rm -rf *

#Listamos el contenido para comprobar que ya no queda nada.
usuario@maquina:~$ ls
usuario@maquina:~$

Mae'n fwyaf blaenllaw, a sut y mae'n gweithio yn fewnol

Offeryn oll fforensig Mae'n offeryn ar gyfer adfer ffeiliau a ddatblygwyd i ddechrau gan adran ymchwiliadau arbennig y lluoedd awyr o Fyddin yr Unol Daleithiau America.

Rhaid inni gadw hynny mewn cof pan fyddwch chi'n dileu ffeil, yr unig beth a wnawn yw ei guddio yng ngolwg y defnyddiwr, marcio yn rhad ac am ddim fel y clwstwr ddefnyddir gan y; yn y gobaith bod angen gofod, erbyn hynny mae'n ysgrifennu dros.

Deall eich ffordd o adfer ffeiliau yn eithaf syml, Beth mae'n ei wneud yw cymryd y ddisg yn ceisio cydnabod ffeiliau gan strwythur y Penynnau ac yn y throedynnau mewn fformat hecsadegol pob math o ffeil, Ers hyn maent yn rhai cyffredinol.

Ffurfweddu fwyaf blaenllaw at ein dant

I ffurfweddu Mwyaf blaenllaw mewn modd personol, Nid oes ond rhaid i olygu'r ffeil ffurfweddu eich /etc/foremost.Conf a uncomment y fformatau ffeil rydych chi am chwilio; wneud Nid yw hyn yn angenrheidiol, cynnig lleoliadau ddiofyn ar gyfer pob fformat, ond gallwn newid y pennyn ac yn y troedyn hecsadegol os ydym am, e hyd yn oed ychwanegu gwahanol fathau o ffeiliau.

usuario@maquina:~$ sudo nano /etc/foremost.conf

Yna gallwch weld a sampl o ran o'r cynnwys ffeil ffurfweddu, mewn concrid y llinellau sy'n cyfeirio at y fformatau yr ydym yn mynd i adfer; Os byddwn ni eisiau newid rhai paramedr dim ond dylai uncomment y llinell sy'n gysylltiedig ag ymestyn a ddymunir, yn olaf newid gwerthoedd hynny.

#---------------------------------------------------------------------
# GIF and JPG files (very common)
# (NOTE THESE FORMATS HAVE BUILTIN EXTRACTION FUNCTION)
# gif y 155000000 \x47\x49\x46\x38\x37\x61 \x00\x3b
# gif y 155000000 \x47\x49\x46\x38\x39\x61 \x00\x00\x3b
# jpg y 20000000 \xff\xd8\xff\xe0\x00\x10 \xff\xd9
# jpg y 20000000 \xff\xd8\xff\xe1 \xff\xd9
# jpg y 20000000 \xff\xd8 \xff\xd9
#
# PNG (used in web pages)
# (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
# png y 200000 \x50\x4e\x47? \xff\xfc\xfd\xfe
#
#---------------------------------------------------------------------
# ADOBE PDF (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
#---------------------------------------------------------------------
#
# pdf y 5000000 %PDF- %EOF
#
#---------------------------------------------------------------------
# (NOTE THIS FORMAT HAS BUILTIN EXTRACTION FUNCTION)
# zip y 10000000 PK\x03\x04 \x3c\xac
#---------------------------------------------------------------------

Adennill ein ffeiliau gyda fwyaf blaenllaw

Adfer ffeiliau gyda Mwyaf blaenllaw Mae yn hawdd iawn, Yn unig ddylai ei redeg gyda'r opsiynau a ddymunir; Byddaf wedyn yn esbonio bod yr wyf wedi dewis.

v galluogi modd amleiriog, arddangos mwyaf blaenllaw yn broses fwy o wybodaeth tra'n cymryd.

t yn dangos y math o ffeil i'w adfer.

T Ychwanegu dyddiad enw'r cyfeiriadur lle y caiff y data eu hadennill, Felly nid rhaid newid yr enw cyfeiriadur pryd bynnag yr ydych yn lansio mwyaf blaenllaw.

yr dangos enw pared lle yr hoffech adfer ffeiliau.

o dangos y cyfeiriadur lle rydym am mwyaf blaenllaw arbed ffeiliau wedi'u hadfer.

DATGANIAD AMGYLCHEDDOL Argymhellir yn Porwch drwy'r Llawlyfr i glirio unrhyw amheuaeth ynghylch.

usuario@maquina:~$ man foremost

Mwyaf blaenllaw cefnogi nifer o wahanol fformatau, ac nid i ailadrodd y gweithrediad fesul un Rydym yn mynd i ddangos i adfer holl fformatau sydd ar gael gyda y ddadl holl ar gyfer opsiwn -t; Mae'n bosibl rhan fwyaf mor hwyr, ond yr ydym yn mynd i roi'r gorau i weithio, a byddwn yn mynd am baned o goffi neu i berfformio tasgau eraill yn ystod y cyfnod hwnnw.

usuario@maquina:~$ sudo foremost -v -T -t all -i /dev/sdb1 -o /home/usuario/Escritorio/recuperado

[sudo] password for usuario:
Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus
Audit File

Foremost started at Sat Dec 27 12:13:03 2014
Invocation: foremost -v -T -t all /dev/sdb1 -o /home/usuario/Escritorio/recuperado
Output directory: /home/usuario/Escritorio/recuperado
Configuration file: /etc/foremost.conf
Processing: /dev/sdb1
|------------------------------------------------------------------|
File: /dev/sdb1
Start: Sat Dec 27 12:13:03 2014
Length: 7 GB (8010072064 bytes)
 
Num Name (bs=512) Size File Offset Comment 

*0: 00266344.png 74 KB 136368128 (297 x 222)
1: 00267240.png 2 MB 136826880 (2176 x 1915)
2: 00275456.png 22 KB 141033603 (181 x 256)
3: 00275520.png 21 KB 141066371 (181 x 256)
4: 00275664.png 87 KB 141139968 (1157 x 654)
5: 00275840.png 297 KB 141230080 (1023 x 635)
6: 00276480.png 255 KB 141557760 (1021 x 588)
7: 00276992.png 21 KB 141819904 (912 x 553)
8: 00277040.png 106 KB 141844480 (1308 x 701)
9: 00277256.png 10 KB 141955072 (797 x 114)
10: 00277280.png 49 KB 141967360 (519 x 485)
11: 00285584.png 21 KB 146219139 (181 x 256)

*********************************************************************
*********************************************************************
2869: 02437564.dll 51 KB 1248032768 10/20/2010 13:24:41
2870: 02437679.dll 79 KB 1248091648 10/20/2010 13:24:50
2871: 02437850.dll 68 KB 1248179200 10/20/2010 13:24:41
2872: 02438005.dll 358 KB 1248258560 02/24/2011 04:00:44
2873: 02438756.dll 51 KB 1248643072 10/20/2010 13:24:41
2874: 02438872.dll 79 KB 1248702464 10/20/2010 13:24:50
2875: 02439043.dll 68 KB 1248790016 10/20/2010 13:24:41
2876: 02439199.dll 358 KB 1248869888 02/24/2011 04:00:44 
|********************************************************************|

Finish: Sat Dec 27 13:09:06 2014

2974 FILES EXTRACTED

gif:= 347 
jpg:= 483
png:= 922
avi:= 119
pdf:= 278
zip:= 2
exe:= 132
dll:= 691
------------------------------------------------------------------ 

Wedi yr adferiad ychydig llai nag awr, Er y bydd hyn yn amrywio yn dibynnu ar faint y rhaniad, faint o fformatau i adfer, y tîm sy'n cynnal y dasg a; Cwtogais y rhestr ffeiliau, gan eu bod wedi mwy na 2900 ffeiliau mewn gwahanol fformatau, a gyda dyddiadau sy'n dyddio o'r 1998 Hyd yn hyn.

Yr wyf am bwysleisio fod y pendrive Ei brynu 2013, Felly dylai data eraill fod yn rhodd gwyliau o y SR. Kingston; ond di-yn anniolchgar, Yr wyf yn bwriadu eu dileu.

srkingston

Mr. Kingston.

Unwaith y bydd y cais yn gorffen ei dasg, Byddwn yn mynd i'r cyfeiriadur a alwyd “adennill“, a'r tu mewn, fe welwch ffolder sy'n gysylltiedig â bob fformat; yn eu plith mae ffeiliau wedi cael ei adennill, ond cyn y mae angen inni newid yr hawliau i gael mynediad at cyfeirlyfrau hyn.

usuario@maquina:~$ sudo chown usuario -R /home/usuario/Escritorio/recuperado_DíaSemana_Mes_DíaMes_Hora_Minuto_Segundo_Año

Bellach gallwn eisoes gael mynediad i'r cyfeiriadur sy'n cynnwys eich ffeiliau; pob un ohonynt wedi cael ei adennill llwyddiannus, Gadewch i ni edrych tu mewn y ffolder sy'n cynnwys y ffeiliau fel enghraifft PDF adennill.

Adferwyd ffeiliau PDF.

Os hoffech chi ddilyn mi Twitter, Facebook, Google +, LinkedIn, neu rannu gyda botymau dan y cyhoeddiad hwn, Os oes gennych unrhyw gwestiynau neu awgrymiadau croeso i sylwadau.

Yn ein helpu i gyrraedd mwy o ddarllenwyr Share on LinkedInShare on FacebookTweet about this on TwitterShare on Google+Email this to someone

One thought on “Gwaith fforensig cyfrifiadur – Adfer ffeiliau gan ffeil cerfio gyda fwyaf blaenllaw

Gadael Ymateb