Computer forensics – At inddrive filer af fil udskæring med fremmest

Den computer forensics Det er en af de discipliner, som jeg elsker, og har ikke talt om blog på denne gren af den computersikkerhed hvordan den fortjener; så i dag vil vi se Sådan gendanne slettede filer med en teknik filen udskæring ved hjælp af Først og fremmest.

foremostt

Er sandt, at der er mange flere programmer til at udføre denne opgave, men dette værktøj og Skalpel er dem, som jeg, og som jeg brugte når når ved en fejl jeg har slettet, ikke bør; to har hjulpet mig til at sænke procentdelen af sandsynligheden for alopeci, eller hjerteanfald i en tidlig alder.

For de følgende praksis, Vi har brug for en flash-drev, og nogle filer i forskellige formater.

formater

Hvad vi gør med denne flash-drev, Det ville gøre det på samme måde i andre lagringsmedier; den eneste forskel er, at du kan gøre det på harddiske, Vi skal åbne vores desktop PC; at have en havn eSata; eller har en USB-værtscontroller for IDE/PATA/SATA.

conexionesdiscos

Jeg foretrækker indstillingen controller, Da det gør det muligt for os at arbejde med alle typer af harddiske; om de er nye eller gamle, af 2,5″ eller 3,5″, Det er ganske økonomisk og netop denne model op til to diske kan du på samme tid.

diskcontroller

Controller multi-disk.

Filer

Som tidligere kommenterede, Vi får brug for nogle filer at inddrive, Jeg har kopieret min i en pendrive.

Indholdet af vores opbevaring support.

Krævede pakker

Vi skal gennemføre denne praksis Først og fremmest, så lad os se at pakke skal være installeret for denne software, Heldigvis, det er tilgængelig i de officielle repositories, så vi vil bare nødt til at bruge værktøjet apt.

usuario@maquina:~$ sudo apt-get install foremost

Slette indhold

Første Lad os slette vores filer, og for at gøre dette vil vi bruge kommandoen RM med argumentet -Rasmussen at gøre rekursive sletning og -f at tvinge sletning; Endelig som target vælge * dvs., Vi vil informere dig, der sletter alle filer inde i vores pendrive eller harddisk.

#Nos movemos al directorio donde se ha montado nuestro soporte de almacenamiento.
usuario@maquina:~$ cd /media/ruta-del-disco

#Borramos todo el contenido.
usuario@maquina:~$ sudo rm -rf *

#Listamos el contenido para comprobar que ya no queda nada.
usuario@maquina:~$ ls
usuario@maquina:~$

Det er fremmest, og hvordan det fungerer internt

Fremmest advokatorisk værktøj Det er et værktøj til at inddrive filer oprindeligt udviklet af Institut for særlige undersøgelser af luftstyrker i army of the United States of America.

Vi skal holde i tankerne, når du sletter en fil, det eneste vi gør er skjule det i betragtning af brugeren, mærkning som gratis den klynge besat af den; i håb om, at rummet er påkrævet, derefter overskrive det.

Forstå din måde at inddrive filer er ganske enkel, hvad det gør, er at tage disken forsøger at genkende filer af strukturen i den overskrifter og den sidefødder i formatet hexadecimale hver filtype, Da disse de er generiske.

Konfigurere fremmest til vores smag

Konfigurere Først og fremmest i en brugerdefineret måde, du behøver kun at redigere konfigurationsfilen /etc/foremost.conf og afkommentere de filformater, du vil søge; do Det er ikke nødvendigt, tilbyder indstillinger som standard for alle formater, men vi kan ændre den header og den sidefod hexadecimal hvis vi ønsker, e endda tilføje forskellige filtyper.

usuario@maquina:~$ sudo nano /etc/foremost.conf

Så kan du se en prøve af en del af indholdet konfigurationsfil, i beton de linjer, der refererer til de formater, som vi skal genoprette; Hvis vi ønskede at ændre bør nogle parameter kun afkommentere linjen forbundet med den ønskede udvidelse, Endelig ændre disse værdier.

#---------------------------------------------------------------------
# GIF and JPG files (very common)
# (NOTE THESE FORMATS HAVE BUILTIN EXTRACTION FUNCTION)
# gif y 155000000 \x47\x49\x46\x38\x37\x61 \x00\x3b
# gif y 155000000 \x47\x49\x46\x38\x39\x61 \x00\x00\x3b
# jpg y 20000000 \xff\xd8\xff\xe0\x00\x10 \xff\xd9
# jpg y 20000000 \xff\xd8\xff\xe1 \xff\xd9
# jpg y 20000000 \xff\xd8 \xff\xd9
#
# PNG (used in web pages)
# (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
# png y 200000 \x50\x4e\x47? \xff\xfc\xfd\xfe
#
#---------------------------------------------------------------------
# ADOBE PDF (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
#---------------------------------------------------------------------
#
# pdf y 5000000 %PDF- %EOF
#
#---------------------------------------------------------------------
# (NOTE THIS FORMAT HAS BUILTIN EXTRACTION FUNCTION)
# zip y 10000000 PK\x03\x04 \x3c\xac
#---------------------------------------------------------------------

Gendanne vores filer med fremmest

Genoprette filer hos Først og fremmest er virkelig nemt, Vi skulle bare køre det med de ønskede indstillinger; Jeg vil så forklare, at jeg har valgt.

v gør det muligt for kontroltilstand, fremmest display flere procesoplysninger er mens du tager det.

t Angiver typen fil til at hente.

T Tilføje datoen til navnet på den mappe, hvor data vil blive inddrevet, så vi ikke skal ændre mappenavnet, når du starter først og fremmest.

Jeg Angiver navnet på den partition, hvor du ønsker at gendanne filer.

o Angiver den mappe, hvor vi vil først og fremmest gemme gendannede filer.

ES stærkt anbefales Gennemse vejledningen for at fjerne enhver tvivl om.

usuario@maquina:~$ man foremost

Først og fremmest understøtter mange forskellige formater, og ikke for at gentage handlingen én efter én vi skal angive for at hente alle tilgængelige formater med argumentet alle for indstilling -t; Det er muligt så sent, de fleste, men vi vil afslutte arbejdet, og vi vil gå til en kop kaffe eller at udføre andre opgaver i løbet af denne periode.

usuario@maquina:~$ sudo foremost -v -T -t all -i /dev/sdb1 -o /home/usuario/Escritorio/recuperado

[sudo] password for usuario:
Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus
Audit File

Foremost started at Sat Dec 27 12:13:03 2014
Invocation: foremost -v -T -t all /dev/sdb1 -o /home/usuario/Escritorio/recuperado
Output directory: /home/usuario/Escritorio/recuperado
Configuration file: /etc/foremost.conf
Processing: /dev/sdb1
|------------------------------------------------------------------|
File: /dev/sdb1
Start: Sat Dec 27 12:13:03 2014
Length: 7 GB (8010072064 bytes)
 
Num Name (bs=512) Size File Offset Comment 

*0: 00266344.png 74 KB 136368128 (297 x 222)
1: 00267240.png 2 MB 136826880 (2176 x 1915)
2: 00275456.png 22 KB 141033603 (181 x 256)
3: 00275520.png 21 KB 141066371 (181 x 256)
4: 00275664.png 87 KB 141139968 (1157 x 654)
5: 00275840.png 297 KB 141230080 (1023 x 635)
6: 00276480.png 255 KB 141557760 (1021 x 588)
7: 00276992.png 21 KB 141819904 (912 x 553)
8: 00277040.png 106 KB 141844480 (1308 x 701)
9: 00277256.png 10 KB 141955072 (797 x 114)
10: 00277280.png 49 KB 141967360 (519 x 485)
11: 00285584.png 21 KB 146219139 (181 x 256)

*********************************************************************
*********************************************************************
2869: 02437564.dll 51 KB 1248032768 10/20/2010 13:24:41
2870: 02437679.dll 79 KB 1248091648 10/20/2010 13:24:50
2871: 02437850.dll 68 KB 1248179200 10/20/2010 13:24:41
2872: 02438005.dll 358 KB 1248258560 02/24/2011 04:00:44
2873: 02438756.dll 51 KB 1248643072 10/20/2010 13:24:41
2874: 02438872.dll 79 KB 1248702464 10/20/2010 13:24:50
2875: 02439043.dll 68 KB 1248790016 10/20/2010 13:24:41
2876: 02439199.dll 358 KB 1248869888 02/24/2011 04:00:44 
|********************************************************************|

Finish: Sat Dec 27 13:09:06 2014

2974 FILES EXTRACTED

gif:= 347 
jpg:= 483
png:= 922
avi:= 119
pdf:= 278
zip:= 2
exe:= 132
dll:= 691
------------------------------------------------------------------ 

Opsvinget har taget lidt mindre end en time, Selv om dette vil variere afhængigt af størrelsen af partitionen, mængden af formater til at hente, og holdet, som vi udfører opgaven; Jeg har forkortet listen over filer, da de har været mere end 2900 filer i forskellige formater, og med datoer dating fra 1998 Indtil nu.

Jeg vil gerne understrege, at pendrive Jeg købte det 2013, så de andre data bør være en ferie gave af den SR. Kingston; men jeg ikke-være utaknemmelige, Jeg har tænkt mig at slette dem..

srkingston

Hr.. Kingston.

Når programmet er færdig med sin opgave, Vi vil gå til den mappe, der er blevet kaldt “genvundet“, og inde du vil finde en mappe, der er tilknyttet hvert format; blandt dem er filer, der er blevet tilbagebetalt, men før vi nødt til at ændre tilladelserne til at få adgang til disse mapper.

usuario@maquina:~$ sudo chown usuario -R /home/usuario/Escritorio/recuperado_DíaSemana_Mes_DíaMes_Hora_Minuto_Segundo_Año

Nu kan vi allerede adgang til den mappe, der indeholder dine filer; hver og en af dem er blevet inddrevet held, Lad os kigge ind i den mappe, der indeholder filerne, som et eksempel PDF genvundet.

Gendannede PDF-filer.

Hvis du som du kan følge mig på Twitter, Facebook, Google +, LinkedIn, eller dele det med knapper under denne publikation, Hvis du har spørgsmål eller forslag så tøv ikke at kommentere.

Hjælp os med at nå flere læsere Share on LinkedInShare on FacebookTweet about this on TwitterShare on Google+Email this to someone

"En tanke om"Computer forensics – At inddrive filer af fil udskæring med fremmest

Skriv et svar