Rikosteknisen – Palauttamaan tiedostot tiedosto veistämällä eturivin

Että rikosteknisen Se on yksi tieteenalojen, että rakastan, ja sanoin tämä haara blogin tietoturva como se merece; tänään näemme Kuinka palauttaa poistetut tiedostot tekniikan tiedoston veistos utilizando Ennen kaikkea.

foremostt

On totta, että monia muita sovelluksia tästä, pero esta herramienta y Leikkausveitsellä son las que mas me gustan, ja jota käytetään silloin kun vahingossa poistin se ei; las dos me han ayudado a bajar el porcentaje de probabilidad de sufrir alopecia, tai sydänkohtauksia jo varhain.

Seuraavat käytännön, Tarvitsemme flash-asema, ja joitakin tiedostoja eri muodoissa.

formatos

Mitä tämä flash-asema, Se tekisi sen samalla tavalla muut tallennusvälineet; ainoa ero on, että voit tehdä sen kiintolevyt, Meidän on avattava desktop PC; ottaa portin eSata; o disponer de una USB-isäntäohjaimen varten IDE/PATA/SATA.

conexionesdiscos

Mieluummin ohjauskonevaihtoehto, ya que nos permite trabajar con todo tipo de discos duros; ovatko ne uusia tai vanhoja, ja 2,5″ tai 3,5″, es bastante económica y a este modelo en concreto jopa kaksi levyä voi olla sinulle samaan aikaan.

controladora discos

Ohjain monilevyinen.

Tiedostot

Kuten aiemmin kommentoi, Tarvitsemme joitakin tiedostoja takaisin, yo he copiado los míos en un pendrive.

Sisältöä muisti apu.

Tarvittavat paketit

Para llevar a cabo esta práctica necesitamos Ennen kaikkea, Joten katsotaanpas, että paketti on asennettu tämän ohjelmiston, Onneksi se on käytettävissä virallista loppusijoitustiloihin, joten meillä vain työkalulla apt.

usuario@maquina:~$ sudo apt-get install foremost

Sisällön poistaminen

Ensimmäinen Let's Poista tiedostot, ja voit tehdä tämän käytämme komentoa RM argumentin -r tehdä rekursiivinen poisto ja voima poistetaan; Lopuksi kohteena valita * eli, Ilmoitamme sinulle, joka poistaa kaikki tiedostot sisällä pendrive tai kiintolevy.

#Nos movemos al directorio donde se ha montado nuestro soporte de almacenamiento.
usuario@maquina:~$ cd /media/ruta-del-disco

#Borramos todo el contenido.
usuario@maquina:~$ sudo rm -rf *

#Listamos el contenido para comprobar que ya no queda nada.
usuario@maquina:~$ ls
usuario@maquina:~$

Se on eturivin, ja miten se toimii sisäisesti

Ennen kaikkea Oikeuslääketiede Tool es una herramienta de recuperación de archivos desarrollada inicialmente por el departamento de investigaciones especiales de las fuerzas aéreas del ejército de los Estados Unidos de América.

Debemos tener en cuenta que cuando borramos un archivo, ainoa mitä voimme tehdä on piilottaa sen vuoksi käyttäjä, merkintä vapaaksi klusterin ocupados por el; tilaa tarvitaan toivossa, sitten korvata sen.

Ymmärtää tapa periä tiedostot on melko yksinkertainen, ya que lo que hace es recorrer el disco tratando de reconocer los archivos por la estructura de los otsikot ja alatunnisteet muodossa heksadesimaali kunkin tiedostotyypin, Koska nämä son genéricos.

Configurar Foremost a nuestro gusto

Määrittäminen Ennen kaikkea mukautetun tavalla, solo tenemos que editar su archivo de configuración /etc/Foremost.conf y descomentar los formatos de archivos que queremos buscar; tehdä Tämä ei ole tarpeen, ya que dispone de configuraciones por defecto para todos los formatos, mutta emme voi muuttaa otsikko ja alatunniste Jos haluamme heksadesimaali, e incluso añadir tipos de archivo distintos.

usuario@maquina:~$ sudo nano /etc/foremost.conf

Voit nähdä on Esimerkkejä osa sisällöstä del fichero de configuración, konkreettisia muotoja, jotka aiomme palauttaa viittaavia rivejä; Jos haluamme muuttaa jonkin parametrin olisi vain uncomment asettaa riviin haluamaasi tunnisteeseen liitetty, lopulta muuttaa näitä arvoja.

#---------------------------------------------------------------------
# GIF and JPG files (very common)
# (NOTE THESE FORMATS HAVE BUILTIN EXTRACTION FUNCTION)
# gif y 155000000 \x47\x49\x46\x38\x37\x61 \x00\x3b
# gif y 155000000 \x47\x49\x46\x38\x39\x61 \x00\x00\x3b
# jpg y 20000000 \xff\xd8\xff\xe0\x00\x10 \xff\xd9
# jpg y 20000000 \xff\xd8\xff\xe1 \xff\xd9
# jpg y 20000000 \xff\xd8 \xff\xd9
#
# PNG (used in web pages)
# (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
# png y 200000 \x50\x4e\x47? \xff\xfc\xfd\xfe
#
#---------------------------------------------------------------------
# ADOBE PDF (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
#---------------------------------------------------------------------
#
# pdf y 5000000 %PDF- %EOF
#
#---------------------------------------------------------------------
# (NOTE THIS FORMAT HAS BUILTIN EXTRACTION FUNCTION)
# zip y 10000000 PK\x03\x04 \x3c\xac
#---------------------------------------------------------------------

Recuperar nuestros archivos con Foremost

Elpyä arkistoida avulla Ennen kaikkea on todella helppoa, Meidän pitäisi vain ajaa se halutuilla asetuksilla; Selitän sitten, että olen valinnut.

v mahdollistaa monisanainen tila, para que foremost muestre mas información del proceso mientras lo está llevando a cabo.

t indica el tipo de archivo a recuperar.

T Lisäyspäivä jossa tietoja palauttaa kansion nimeä, joten emme saa muuttaa hakemistonimi aina, kun käynnistät ennen kaikkea.

Olen indica el nombre de la partición de donde queremos recuperar los archivos.

o määrittää kansion, jossa ennen kaikkea tallentaa talteen tiedostoja.

ES suositellaan ojear el manual para despejar cualquier duda al respecto.

usuario@maquina:~$ man foremost

Ennen kaikkea tukee useita eri formaatteja, ja olla toistetaan yksi kerrallaan aiomme ilmoittaa hakea kaikki käytettävissä olevat muodot-argumentin all vaihtoehto -t; Se on mahdollista niin myöhään suurimman, mutta erota työskentely, ja mennään kahville tai suorittaa muita tehtäviä kyseisenä aikana.

usuario@maquina:~$ sudo foremost -v -T -t all -i /dev/sdb1 -o /home/usuario/Escritorio/recuperado

[sudo] password for usuario:
Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus
Audit File

Foremost started at Sat Dec 27 12:13:03 2014
Invocation: foremost -v -T -t all /dev/sdb1 -o /home/usuario/Escritorio/recuperado
Output directory: /home/usuario/Escritorio/recuperado
Configuration file: /etc/foremost.conf
Processing: /dev/sdb1
|------------------------------------------------------------------|
File: /dev/sdb1
Start: Sat Dec 27 12:13:03 2014
Length: 7 GB (8010072064 bytes)
 
Num Name (bs=512) Size File Offset Comment 

*0: 00266344.png 74 KB 136368128 (297 x 222)
1: 00267240.png 2 MB 136826880 (2176 x 1915)
2: 00275456.png 22 KB 141033603 (181 x 256)
3: 00275520.png 21 KB 141066371 (181 x 256)
4: 00275664.png 87 KB 141139968 (1157 x 654)
5: 00275840.png 297 KB 141230080 (1023 x 635)
6: 00276480.png 255 KB 141557760 (1021 x 588)
7: 00276992.png 21 KB 141819904 (912 x 553)
8: 00277040.png 106 KB 141844480 (1308 x 701)
9: 00277256.png 10 KB 141955072 (797 x 114)
10: 00277280.png 49 KB 141967360 (519 x 485)
11: 00285584.png 21 KB 146219139 (181 x 256)

*********************************************************************
*********************************************************************
2869: 02437564.dll 51 KB 1248032768 10/20/2010 13:24:41
2870: 02437679.dll 79 KB 1248091648 10/20/2010 13:24:50
2871: 02437850.dll 68 KB 1248179200 10/20/2010 13:24:41
2872: 02438005.dll 358 KB 1248258560 02/24/2011 04:00:44
2873: 02438756.dll 51 KB 1248643072 10/20/2010 13:24:41
2874: 02438872.dll 79 KB 1248702464 10/20/2010 13:24:50
2875: 02439043.dll 68 KB 1248790016 10/20/2010 13:24:41
2876: 02439199.dll 358 KB 1248869888 02/24/2011 04:00:44 
|********************************************************************|

Finish: Sat Dec 27 13:09:06 2014

2974 FILES EXTRACTED

gif:= 347 
jpg:= 483
png:= 922
avi:= 119
pdf:= 278
zip:= 2
exe:= 132
dll:= 691
------------------------------------------------------------------ 

La recuperación ha tardado poco menos de una hora, Vaikka hinta määräytyy ostopaikan osion koko, muodoissa hakea määrä, ja joukkue, jolla suorittaa tehtävänsä; Olen lyhentää tiedostojen luettelo, koska ne ovat olleet yli 2900 archivos recuperados en diferentes formatos, ja päivämäärät vuodelta 1998 hasta ahora.

Quiero recalcar que el pendrive Ostin sen 2013, niin muita tietoja olisi loma lahja on Sr. Kingston; mutta ei-kiittämätön, Aion poistaa ne.

srkingston

Arvoisa. Kingston.

Aikoinaan ahkeruus päättynyt tehtävänsä, Menemme hakemistoon, johon on kutsuttu “takaisin“, ja löydät liittyvän tiedostomuodolla kansion; joukossa on tiedostoja, jotka on peritty, pero antes debemos cambiar los permisos para poder acceder a estos directorios.

usuario@maquina:~$ sudo chown usuario -R /home/usuario/Escritorio/recuperado_DíaSemana_Mes_DíaMes_Hora_Minuto_Segundo_Año

Nyt olemme jo käyttää hakemistoon, joka sisältää tiedostot; Jokainen niistä on peritty onnistuneesti, Katsotaanpa sisältä kansio, joka sisältää tiedostot esimerkiksi PDF takaisin.

Talteen PDF-tiedostoja.

Jos haluat, voit seurata minua Twitter, Facebook, Google +, LinkedIn, tai jakaa sen painikkeet nojalla tämän julkaisun, Jos sinulla on kysyttävää tai ehdotuksia, älä epäröi kommentoida.

Voimme tavoittaa enemmän lukijoita Share on LinkedInShare on FacebookTweet about this on TwitterShare on Google+Email this to someone

Jätä vastaus