Computer-Forensik – Wiederherstellen von Dateien von Datei carving mit Foremost

Die Computer-Forensik Es ist eine der Disziplinen, die ich liebe, und nicht auf dem Blog auf diesen Zweig des gesprochen haben die Computer-Sicherheit Wie hat es verdient; So heute werden wir sehen Wiederherstellen von gelöschten Dateien mit der Technik der Datei-schnitzen mit Hilfe Vor allem.

foremostt

Stimmt, dass es viele weitere Anwendungen zur Erfüllung dieser Aufgabe gibt, aber dieses Tool und Skalpell sind die, die ich mag, und das ich wann benutzt, einmal versehentlich gel÷scht haben, die nicht sollten; die beiden halfen mir, den Prozentsatz der Wahrscheinlichkeit der Alopezie zu senken, oder Herzinfarkte in einem frühen Alter.

Für die folgende Praxis, Wir benötigen ein flash-Laufwerk, und einige Dateien in verschiedenen Formaten.

Formate

Was tun wir mit dieser flash-Laufwerk, Es würde in der gleichen Weise in einem anderen Speichermedium tun; der einzige Unterschied ist, dass Sie es zu tun auf Festplatten, Wir müssen unsere desktop-PC öffnen.; haben einen Anschluss eSata; oder haben eine USB-Host-controller für IDE/PATA/SATA.

conexionesdiscos

Ich bevorzuge die Option controller, Da es uns erlaubt, mit allen Arten von Festplatten arbeiten; ob sie neu oder alt sind, der 2,5″ oder 3,5″, Es ist recht sparsam und dieses besondere Modell bis zu zwei Festplatten können Sie zur gleichen Zeit sein..

Festplatten-controller

Controller-Multi-disc.

Dateien

Wie bereits kommentiert, Wir benötigen einige Dateien wiederherstellen, Ich habe mir in ein USB-Stick kopiert..

Inhalte unserer Speicher-Unterstützung.

Erforderliche Pakete

Wir müssen diese Praxis durchführen Vor allem, Schauen wir also, dass das Paket für diese Software installiert werden muss, Glücklicherweise ist es in den offiziellen Repositories verfügbar, also müssen wir einfach mit dem tool apt.

usuario@maquina:~$ sudo apt-get install foremost

Löschen von Inhalten

Erste wollen wir unsere Dateien löschen, und zu diesem Zweck verwenden wir den Befehl RM mit dem argument -r Rekursives löschen zu machen und -f um das Löschen zu erzwingen; Schließlich als Ziel auswählen * d. h., Wir informieren Sie, die alle Dateien innerhalb unserer Pendrive oder Festplatte löscht.

#Nos movemos al directorio donde se ha montado nuestro soporte de almacenamiento.
usuario@maquina:~$ cd /media/ruta-del-disco

#Borramos todo el contenido.
usuario@maquina:~$ sudo rm -rf *

#Listamos el contenido para comprobar que ya no queda nada.
usuario@maquina:~$ ls
usuario@maquina:~$

Es ist Foremost, und wie funktioniert es intern

Vor allem gerichtliches Werkzeug Es ist ein Tool zum Wiederherstellen von Dateien, die ursprünglich entwickelt von der Abteilung für spezielle Untersuchungen der Luftstreitkräfte der Armee der Vereinigten Staaten von Amerika.

Wir müssen halten vor Augen, dass beim Löschen einer Datei, Das einzige, was, das wir tun, ist es angesichts der Benutzer ausblenden, als frei markiert die Cluster besetzt durch die; in der Hoffnung, dass Speicherplatz benötigt wird, bis dahin überschrieben Sie es.

Verstehen Sie, dass Ihr Weg der Wiederherstellung der Dateien ist ganz einfach, was es tut, ist die Festplatte versucht, durch die Struktur der Dateien erkennen die Header und die Fußzeilen im format hexadezimale Jeder Dateityp, Da diese Sie sind allgemein gehalten.

Foremost nach unserem Geschmack konfigurieren

Konfigurieren Vor allem auf benutzerdefinierte Weise, Sie müssen nur Ihre Konfigurationsdatei bearbeiten /etc/foremost.conf und kommentieren Sie die Dateiformate, die Sie suchen möchten; tun Dies ist nicht erforderlich, bietet Einstellungen standardmäßig für alle Formate, aber wir können die Header und die Fußzeile Hexadezimal, wenn wir wollen, e sogar unterschiedliche Dateitypen hinzufügen.

usuario@maquina:~$ sudo nano /etc/foremost.conf

Danach kannst du sehen ein Beispiel eines Teils des Inhalts die Konfigurationsdatei, in Beton die Linien, die in die Formate zu verweisen, die wir wiederherstellen wollen; Wenn wir ändern wollten sollten einige Parameter nur die Zeile die gewünschte Erweiterung zugeordnet kommentieren Sie, Schließlich ändern Sie diese Werte.

#---------------------------------------------------------------------
# GIF and JPG files (very common)
# (NOTE THESE FORMATS HAVE BUILTIN EXTRACTION FUNCTION)
# gif y 155000000 \x47\x49\x46\x38\x37\x61 \x00\x3b
# gif y 155000000 \x47\x49\x46\x38\x39\x61 \x00\x00\x3b
# jpg y 20000000 \xff\xd8\xff\xe0\x00\x10 \xff\xd9
# jpg y 20000000 \xff\xd8\xff\xe1 \xff\xd9
# jpg y 20000000 \xff\xd8 \xff\xd9
#
# PNG (used in web pages)
# (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
# png y 200000 \x50\x4e\x47? \xff\xfc\xfd\xfe
#
#---------------------------------------------------------------------
# ADOBE PDF (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
#---------------------------------------------------------------------
#
# pdf y 5000000 %PDF- %EOF
#
#---------------------------------------------------------------------
# (NOTE THIS FORMAT HAS BUILTIN EXTRACTION FUNCTION)
# zip y 10000000 PK\x03\x04 \x3c\xac
#---------------------------------------------------------------------

Unsere Dateien mit Foremost wiederherstellen

Wiederherstellen von Dateien mit Vor allem ist wirklich einfach, Wir sollten es einfach mit den gewünschten Optionen ausführen:; Ich erkläre dann, dass ich gewählt habe.

v aktiviert den ausführlichen Modus, vor allem Display mehr Prozessinformationen ist während der Einnahme aus.

t gibt den Typ der zu ladenden Datei.

T Fügen Sie das Datum auf den Namen des Verzeichnisses, in dem die Daten wiederhergestellt werden, damit wir nicht den Namen des Verzeichnisses ändern müssen, wenn Sie starten vor allem.

Ich gibt den Namen der Partition wo Sie Dateien wiederherstellen möchten.

o Gibt das Verzeichnis, wo wir wollen vor allem Speichern der wiederhergestellte Dateien.

ES sehr zu empfehlen Durchsuchen Sie das Handbuch um jeden Zweifel über löschen.

usuario@maquina:~$ man foremost

Vor allem unterstützt viele verschiedene Formate, und nicht zu den Vorgang einzeln wiederholen wir an, um alle verfügbaren Formate mit dem Argument abzurufen alle für option -t; Es ist möglich so spät, aber wir beenden arbeiten wollen, und wir gehen für einen Kaffee oder andere Aufgaben während dieser Zeit.

usuario@maquina:~$ sudo foremost -v -T -t all -i /dev/sdb1 -o /home/usuario/Escritorio/recuperado

[sudo] password for usuario:
Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus
Audit File

Foremost started at Sat Dec 27 12:13:03 2014
Invocation: foremost -v -T -t all /dev/sdb1 -o /home/usuario/Escritorio/recuperado
Output directory: /home/usuario/Escritorio/recuperado
Configuration file: /etc/foremost.conf
Processing: /dev/sdb1
|------------------------------------------------------------------|
File: /dev/sdb1
Start: Sat Dec 27 12:13:03 2014
Length: 7 GB (8010072064 bytes)
 
Num Name (bs=512) Size File Offset Comment 

*0: 00266344.png 74 KB 136368128 (297 x 222)
1: 00267240.png 2 MB 136826880 (2176 x 1915)
2: 00275456.png 22 KB 141033603 (181 x 256)
3: 00275520.png 21 KB 141066371 (181 x 256)
4: 00275664.png 87 KB 141139968 (1157 x 654)
5: 00275840.png 297 KB 141230080 (1023 x 635)
6: 00276480.png 255 KB 141557760 (1021 x 588)
7: 00276992.png 21 KB 141819904 (912 x 553)
8: 00277040.png 106 KB 141844480 (1308 x 701)
9: 00277256.png 10 KB 141955072 (797 x 114)
10: 00277280.png 49 KB 141967360 (519 x 485)
11: 00285584.png 21 KB 146219139 (181 x 256)

*********************************************************************
*********************************************************************
2869: 02437564.dll 51 KB 1248032768 10/20/2010 13:24:41
2870: 02437679.dll 79 KB 1248091648 10/20/2010 13:24:50
2871: 02437850.dll 68 KB 1248179200 10/20/2010 13:24:41
2872: 02438005.dll 358 KB 1248258560 02/24/2011 04:00:44
2873: 02438756.dll 51 KB 1248643072 10/20/2010 13:24:41
2874: 02438872.dll 79 KB 1248702464 10/20/2010 13:24:50
2875: 02439043.dll 68 KB 1248790016 10/20/2010 13:24:41
2876: 02439199.dll 358 KB 1248869888 02/24/2011 04:00:44 
|********************************************************************|

Finish: Sat Dec 27 13:09:06 2014

2974 FILES EXTRACTED

gif:= 347 
jpg:= 483
png:= 922
avi:= 119
pdf:= 278
zip:= 2
exe:= 132
dll:= 691
------------------------------------------------------------------ 

Die Erholung hat etwas weniger als eine Stunde genommen., Obwohl dies je nach Größe der Partition variiert, die Menge an Formaten abrufen, und das Team, mit dem wir die Aufgabe durchführen; Ich habe die Liste der Dateien verkürzt., Da sie gewesen mehr als 2900 Dateien in verschiedenen Formaten, und mit Daten aus dem 1998 so weit.

Ich möchte betonen, dass der USB-Stick Ich kaufte es im 2013, also die anderen Daten sollte ein Geschenk von der SR. Kingston; aber ich nicht-undankbar sein, Ich werde sie löschen.

srkingston

Herr. Kingston.

Sobald die Anwendung seine Aufgabe beendet ist, Wir gehen in das Verzeichnis, die aufgerufen wurde “wiederhergestellt“, und im Inneren finden Sie einen Ordner, jedes Format zugeordnet; unter ihnen sind Dateien, die wiederhergestellt wurden, aber bevor wir die Zugriffsberechtigungen für diese Verzeichnisse ändern müssen.

usuario@maquina:~$ sudo chown usuario -R /home/usuario/Escritorio/recuperado_DíaSemana_Mes_DíaMes_Hora_Minuto_Segundo_Año

Jetzt können wir bereits auf das Verzeichnis zugreifen, die Ihre Dateien enthält; jeder einzelne davon wurden erfolgreich wiederhergestellt, Schauen Sie in den Ordner mit den Dateien als Beispiel PDF wiederhergestellt.

Wiederhergestellte Dateien in PDF.

Wenn Sie mir folgen können, auf Twitter, Facebook, Google +, LinkedIn, oder Teilen Sie sie mit den Schaltflächen unter dieser Publikation, Wenn Sie Fragen oder Anregungen Sie bitte nicht zögern kommentieren.

Helfen Sie uns, um mehr Leser zu erreichen Share on LinkedInShare on FacebookTweet about this on TwitterShare on Google+Email this to someone

Hinterlasse eine Antwort