Gwaith fforensig cyfrifiadur – Adfer ffeiliau gan ffeil cerfio gyda fwyaf blaenllaw

Y gwaith fforensig cyfrifiadur Mae'n un o'r disgyblaethau Dwi wrth fy modd, ac nid wedi siarad ar y blog ar y Gangen hon o y diogelwch cyfrifiadurol como se merece; Byddwn yn gweld hynny heddiw Sut i adfer ffeiliau a ddilëwyd gyda y dechneg o cerfio ffeil utilizando Mwyaf blaenllaw.

foremostt

Mae yn wir fod yn llawer mwy o geisiadau i gyflawni'r dasg hon, pero esta herramienta y Gyllell son las que mas me gustan, ac yr arferwn pan unwaith gan camgymeriad rwyf wedi dileu hynny na ddylai; las dos me han ayudado a bajar el porcentaje de probabilidad de sufrir alopecia, neu drawiad ar y galon yn gynnar.

Ar gyfer yr ymarfer canlynol, Bydd angen gyriant fflach, ac rhai ffeiliau mewn gwahanol fformatau.

formatos

Beth a wnawn â hwn gyriant fflach, Byddai'n gwneud hynny yn yr un modd mewn unrhyw cyfryngau storio eraill; yr unig wahaniaeth yw bod chi wneud hynny ar y gyriant caled, Rhaid inni agor ein cyfrifiadur bwrdd gwaith; cael porthladd eSata; o disponer de una Rheolydd lletywr USB ar gyfer DANG/PATA/SATA.

conexionesdiscos

Mae'n well gennyf yr opsiwn rheolydd, ya que nos permite trabajar con todo tipo de discos duros; a ydynt yn newydd neu hen, o 2,5″ neu 3,5″, es bastante económica y a este modelo en concreto hyd at ddau disgiau gellir chi ar yr un pryd.

controladora discos

Aml-ddisg rheolydd.

Ffeiliau

Fel o'r blaen, Bydd arnom angen rhai ffeiliau i adennill, yo he copiado los míos en un pendrive.

Cynnwys ein cymorth storio.

Angen pecynnau

Para llevar a cabo esta práctica necesitamos Mwyaf blaenllaw, Felly gadewch i ni weld rhaid gosod y pecyn hwnnw ar gyfer y meddalwedd hwn, Yn ffodus, ar gael yn yr ystorfeydd swyddogol, Felly bydd yn rhaid inni ddefnyddio'r offeryn addas.

usuario@maquina:~$ sudo apt-get install foremost

Wrthi'n dileu cynnwys

Yn gyntaf gadewch i ni yn dileu ein ffeiliau, ac i wneud hyn byddwn yn defnyddio y Gorchymyn RM gyda y ddadl -ymchwil i wneud dileu ailadroddus a -f i orfodi dileu; Dewiswch yn olaf fel targed * h.y., Byddwn yn hysbysu eich bod yn dileu'r holl ffeiliau y tu mewn i'n pendrive neu disg galed.

#Nos movemos al directorio donde se ha montado nuestro soporte de almacenamiento.
usuario@maquina:~$ cd /media/ruta-del-disco

#Borramos todo el contenido.
usuario@maquina:~$ sudo rm -rf *

#Listamos el contenido para comprobar que ya no queda nada.
usuario@maquina:~$ ls
usuario@maquina:~$

Mae'n fwyaf blaenllaw, a sut y mae'n gweithio yn fewnol

Offeryn oll fforensig es una herramienta de recuperación de archivos desarrollada inicialmente por el departamento de investigaciones especiales de las fuerzas aéreas del ejército de los Estados Unidos de América.

Debemos tener en cuenta que cuando borramos un archivo, yr unig beth a wnawn yw ei guddio yng ngolwg y defnyddiwr, marcio yn rhad ac am ddim fel y clwstwr ocupados por el; yn y gobaith bod angen gofod, erbyn hynny mae'n ysgrifennu dros.

Deall eich ffordd o adfer ffeiliau yn eithaf syml, ya que lo que hace es recorrer el disco tratando de reconocer los archivos por la estructura de los Penynnau ac yn y throedynnau mewn fformat hecsadegol pob math o ffeil, Ers hyn son genéricos.

Configurar Foremost a nuestro gusto

I ffurfweddu Mwyaf blaenllaw mewn modd personol, solo tenemos que editar su archivo de configuración /etc/foremost.Conf y descomentar los formatos de archivos que queremos buscar; wneud Nid yw hyn yn angenrheidiol, ya que dispone de configuraciones por defecto para todos los formatos, ond gallwn newid y pennyn ac yn y troedyn hecsadegol os ydym am, e incluso añadir tipos de archivo distintos.

usuario@maquina:~$ sudo nano /etc/foremost.conf

Yna gallwch weld a sampl o ran o'r cynnwys del fichero de configuración, mewn concrid y llinellau sy'n cyfeirio at y fformatau yr ydym yn mynd i adfer; Os byddwn ni eisiau newid rhai paramedr dim ond dylai uncomment y llinell sy'n gysylltiedig ag ymestyn a ddymunir, yn olaf newid gwerthoedd hynny.

#---------------------------------------------------------------------
# GIF and JPG files (very common)
# (NOTE THESE FORMATS HAVE BUILTIN EXTRACTION FUNCTION)
# gif y 155000000 \x47\x49\x46\x38\x37\x61 \x00\x3b
# gif y 155000000 \x47\x49\x46\x38\x39\x61 \x00\x00\x3b
# jpg y 20000000 \xff\xd8\xff\xe0\x00\x10 \xff\xd9
# jpg y 20000000 \xff\xd8\xff\xe1 \xff\xd9
# jpg y 20000000 \xff\xd8 \xff\xd9
#
# PNG (used in web pages)
# (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
# png y 200000 \x50\x4e\x47? \xff\xfc\xfd\xfe
#
#---------------------------------------------------------------------
# ADOBE PDF (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
#---------------------------------------------------------------------
#
# pdf y 5000000 %PDF- %EOF
#
#---------------------------------------------------------------------
# (NOTE THIS FORMAT HAS BUILTIN EXTRACTION FUNCTION)
# zip y 10000000 PK\x03\x04 \x3c\xac
#---------------------------------------------------------------------

Recuperar nuestros archivos con Foremost

Adfer ffeiliau gyda Mwyaf blaenllaw Mae yn hawdd iawn, Yn unig ddylai ei redeg gyda'r opsiynau a ddymunir; Byddaf wedyn yn esbonio bod yr wyf wedi dewis.

v galluogi modd amleiriog, para que foremost muestre mas información del proceso mientras lo está llevando a cabo.

t indica el tipo de archivo a recuperar.

T Ychwanegu dyddiad enw'r cyfeiriadur lle y caiff y data eu hadennill, Felly nid rhaid newid yr enw cyfeiriadur pryd bynnag yr ydych yn lansio mwyaf blaenllaw.

yr indica el nombre de la partición de donde queremos recuperar los archivos.

o dangos y cyfeiriadur lle rydym am mwyaf blaenllaw arbed ffeiliau wedi'u hadfer.

DATGANIAD AMGYLCHEDDOL Argymhellir yn ojear el manual para despejar cualquier duda al respecto.

usuario@maquina:~$ man foremost

Mwyaf blaenllaw cefnogi nifer o wahanol fformatau, ac nid i ailadrodd y gweithrediad fesul un Rydym yn mynd i ddangos i adfer holl fformatau sydd ar gael gyda y ddadl all ar gyfer opsiwn -t; Mae'n bosibl rhan fwyaf mor hwyr, ond yr ydym yn mynd i roi'r gorau i weithio, a byddwn yn mynd am baned o goffi neu i berfformio tasgau eraill yn ystod y cyfnod hwnnw.

usuario@maquina:~$ sudo foremost -v -T -t all -i /dev/sdb1 -o /home/usuario/Escritorio/recuperado

[sudo] password for usuario:
Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus
Audit File

Foremost started at Sat Dec 27 12:13:03 2014
Invocation: foremost -v -T -t all /dev/sdb1 -o /home/usuario/Escritorio/recuperado
Output directory: /home/usuario/Escritorio/recuperado
Configuration file: /etc/foremost.conf
Processing: /dev/sdb1
|------------------------------------------------------------------|
File: /dev/sdb1
Start: Sat Dec 27 12:13:03 2014
Length: 7 GB (8010072064 bytes)
 
Num Name (bs=512) Size File Offset Comment 

*0: 00266344.png 74 KB 136368128 (297 x 222)
1: 00267240.png 2 MB 136826880 (2176 x 1915)
2: 00275456.png 22 KB 141033603 (181 x 256)
3: 00275520.png 21 KB 141066371 (181 x 256)
4: 00275664.png 87 KB 141139968 (1157 x 654)
5: 00275840.png 297 KB 141230080 (1023 x 635)
6: 00276480.png 255 KB 141557760 (1021 x 588)
7: 00276992.png 21 KB 141819904 (912 x 553)
8: 00277040.png 106 KB 141844480 (1308 x 701)
9: 00277256.png 10 KB 141955072 (797 x 114)
10: 00277280.png 49 KB 141967360 (519 x 485)
11: 00285584.png 21 KB 146219139 (181 x 256)

*********************************************************************
*********************************************************************
2869: 02437564.dll 51 KB 1248032768 10/20/2010 13:24:41
2870: 02437679.dll 79 KB 1248091648 10/20/2010 13:24:50
2871: 02437850.dll 68 KB 1248179200 10/20/2010 13:24:41
2872: 02438005.dll 358 KB 1248258560 02/24/2011 04:00:44
2873: 02438756.dll 51 KB 1248643072 10/20/2010 13:24:41
2874: 02438872.dll 79 KB 1248702464 10/20/2010 13:24:50
2875: 02439043.dll 68 KB 1248790016 10/20/2010 13:24:41
2876: 02439199.dll 358 KB 1248869888 02/24/2011 04:00:44 
|********************************************************************|

Finish: Sat Dec 27 13:09:06 2014

2974 FILES EXTRACTED

gif:= 347 
jpg:= 483
png:= 922
avi:= 119
pdf:= 278
zip:= 2
exe:= 132
dll:= 691
------------------------------------------------------------------ 

La recuperación ha tardado poco menos de una hora, Er y bydd hyn yn amrywio yn dibynnu ar faint y rhaniad, faint o fformatau i adfer, y tîm sy'n cynnal y dasg a; Cwtogais y rhestr ffeiliau, gan eu bod wedi mwy na 2900 archivos recuperados en diferentes formatos, a gyda dyddiadau sy'n dyddio o'r 1998 hasta ahora.

Quiero recalcar que el pendrive Ei brynu 2013, Felly dylai data eraill fod yn rhodd gwyliau o y Sr. Kingston; ond di-yn anniolchgar, Yr wyf yn bwriadu eu dileu.

srkingston

Mr. Kingston.

Unwaith y bydd y cais yn gorffen ei dasg, Byddwn yn mynd i'r cyfeiriadur a alwyd “adennill“, a'r tu mewn, fe welwch ffolder sy'n gysylltiedig â bob fformat; yn eu plith mae ffeiliau wedi cael ei adennill, pero antes debemos cambiar los permisos para poder acceder a estos directorios.

usuario@maquina:~$ sudo chown usuario -R /home/usuario/Escritorio/recuperado_DíaSemana_Mes_DíaMes_Hora_Minuto_Segundo_Año

Bellach gallwn eisoes gael mynediad i'r cyfeiriadur sy'n cynnwys eich ffeiliau; pob un ohonynt wedi cael ei adennill llwyddiannus, Gadewch i ni edrych tu mewn y ffolder sy'n cynnwys y ffeiliau fel enghraifft PDF adennill.

Adferwyd ffeiliau PDF.

Os hoffech chi ddilyn mi Twitter, Facebook, Google +, LinkedIn, neu rannu gyda botymau dan y cyhoeddiad hwn, Os oes gennych unrhyw gwestiynau neu awgrymiadau croeso i sylwadau.

Yn ein helpu i gyrraedd mwy o ddarllenwyr Share on LinkedInShare on FacebookTweet about this on TwitterShare on Google+Email this to someone

Gadael Ymateb