Expertise judiciaire en informatique – Récupération de fichiers par dossier sculpture avec Foremost

Le expertise judiciaire en informatique C'est l'une des disciplines que j'aime, et n'ont pas parlé sur le blog sur ce volet de le sécurité informatique Comment qu'elle mérite; donc, aujourd'hui nous allons voir Comment faire pour récupérer des fichiers supprimés avec la technique de sculpture de fichier à l'aide Avant tout.

foremostt

Est vrai qu'il y a beaucoup plus d'applications pour mener à bien cette tâche, mais cet outil et Swann-Morton sont ceux que j'aime, et que j'ai utilisé quand une fois par erreur que j'ai supprimé, qui ne devrait pas; les deux m'ont aidé à réduire le pourcentage de probabilité de l'alopécie, ou de crises cardiaques à un âge précoce.

Pour l'exercice suivant, Nous aurons besoin d'un lecteur flash, et certains fichiers dans différents formats.

formats

Ce que nous faisons avec ce lecteur flash, Il le ferait de la même manière dans n'importe quel autre support de stockage; la seule différence est que vous de le faire sur des disques durs, Nous devons ouvrir nos PC de bureau; avoir un port eSata; ou avoir une Contrôleur d'hôte USB pour IDE/PATA/SATA.

conexionesdiscos

Je préfère l'option de contrôleur, Puisqu'il nous permet de travailler avec tous les types de disques durs; qu'ils soient neufs ou anciens, de 2,5″ ou 3,5″, Il est très économique et ce modèle particulier jusqu'à deux disques peuvent vous être en même temps.

contrôleur de disque

Multi-disque de contrôleur.

Fichiers

Tel que déjà commenté, Nous aurons besoin de certains fichiers à récupérer, J'ai copié mine dans une clé USB.

Contenu de notre support de stockage.

Packages requis

Nous devons mener cette pratique Avant tout, Nous allons donc voir que ce paquet doit être installé pour ce logiciel, Heureusement, il est disponible dans les dépôts officiels, donc, nous devrons simplement utiliser l'outil apt.

usuario@maquina:~$ sudo apt-get install foremost

Supprimer du contenu

Première nous allons effacer de nos fichiers, et pour ce faire nous allons utiliser la commande RM avec l'argument -r pour rendre la suppression récursive et -f pour forcer la suppression; Sélectionnez enfin comme cible * c'est-à-dire, Nous vous informerons qui supprime tous les fichiers à l'intérieur de notre disque dur ou clé USB.

#Nos movemos al directorio donde se ha montado nuestro soporte de almacenamiento.
usuario@maquina:~$ cd /media/ruta-del-disco

#Borramos todo el contenido.
usuario@maquina:~$ sudo rm -rf *

#Listamos el contenido para comprobar que ya no queda nada.
usuario@maquina:~$ ls
usuario@maquina:~$

C'est Foremost, et comment il fonctionne en interne

Outil légal avant tout C'est un outil pour récupérer des fichiers initialement développés par le département des enquêtes spéciales des forces aériennes de l'armée des États-Unis d'Amérique.

Nous devons garder à l'esprit que lorsque vous supprimez un fichier, la seule chose à que faire est de le cacher au vu de l'utilisateur, marquer comme libre le cluster occupée par les; dans l'espoir qu'il faut de l'espace, d'ici là l'écraser.

Comprendre votre mode de récupération de fichiers est assez simple, ce qu'il fait, c'est prendre le disque en essayant de reconnaître les fichiers de la structure de la en-têtes et le pieds de page au format hexadécimal chaque type de fichier, Puisque ces ils sont génériques.

Configurer Foremost à notre goût

Pour configurer Avant tout d'une manière personnalisée, Il suffit d'éditer votre fichier de configuration /etc/Foremost.conf et décommenter les formats de fichier que vous souhaitez rechercher; faire Ce n'est pas nécessaire, propose des paramètres par défaut pour tous les formats, mais nous pouvons changer le en-tête et le pied de page hexadécimal si nous souhaitons, e même ajouter des types de fichiers différents.

usuario@maquina:~$ sudo nano /etc/foremost.conf

Alors vous pouvez voir un exemple d'une partie du contenu le fichier de configuration, dans les lignes qui font référence aux formats que nous allons récupérer en béton; Si nous voulions changer certains paramètre devrait seulement décommenter la ligne associée à l'extension souhaitée, pour enfin changer ces valeurs.

#---------------------------------------------------------------------
# GIF and JPG files (very common)
# (NOTE THESE FORMATS HAVE BUILTIN EXTRACTION FUNCTION)
# gif y 155000000 \x47\x49\x46\x38\x37\x61 \x00\x3b
# gif y 155000000 \x47\x49\x46\x38\x39\x61 \x00\x00\x3b
# jpg y 20000000 \xff\xd8\xff\xe0\x00\x10 \xff\xd9
# jpg y 20000000 \xff\xd8\xff\xe1 \xff\xd9
# jpg y 20000000 \xff\xd8 \xff\xd9
#
# PNG (used in web pages)
# (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
# png y 200000 \x50\x4e\x47? \xff\xfc\xfd\xfe
#
#---------------------------------------------------------------------
# ADOBE PDF (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
#---------------------------------------------------------------------
#
# pdf y 5000000 %PDF- %EOF
#
#---------------------------------------------------------------------
# (NOTE THIS FORMAT HAS BUILTIN EXTRACTION FUNCTION)
# zip y 10000000 PK\x03\x04 \x3c\xac
#---------------------------------------------------------------------

Récupérer nos fichiers avec Foremost

Récupérer des fichiers avec Avant tout est vraiment facile, Nous devrions simplement l'exécuter avec les options désirées; J'expliquerai ensuite que j'ai choisi.

v active le mode verbeux, avant tout affichage des informations de processus plus sont tout en prenant elle.

t indique le type de fichier à récupérer.

T Ajouter la date au nom du répertoire où les données seront récupérées, donc nous ne devons pas changer le nom du répertoire, chaque fois que vous lancez avant tout.

J'ai indique le nom de la partition où vous voulez récupérer les fichiers.

o indique le répertoire où nous voulons avant tout enregistrer les fichiers récupérés.

ES hautement recommandé Parcourir le manuel afin de dissiper tout doute sur.

usuario@maquina:~$ man foremost

Avant tout supporte de nombreux formats différents, et ne pas de répéter l'opération une à une, nous allons indiquer pour récupérer tous les formats disponibles avec l'argument tous les pour l'option -t; Il est plus fin si possible, mais nous n'allons pas d'arrêter de travailler, et nous irons pour prendre un café ou pour effectuer d'autres tâches pendant ce laps de temps.

usuario@maquina:~$ sudo foremost -v -T -t all -i /dev/sdb1 -o /home/usuario/Escritorio/recuperado

[sudo] password for usuario:
Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus
Audit File

Foremost started at Sat Dec 27 12:13:03 2014
Invocation: foremost -v -T -t all /dev/sdb1 -o /home/usuario/Escritorio/recuperado
Output directory: /home/usuario/Escritorio/recuperado
Configuration file: /etc/foremost.conf
Processing: /dev/sdb1
|------------------------------------------------------------------|
File: /dev/sdb1
Start: Sat Dec 27 12:13:03 2014
Length: 7 GB (8010072064 bytes)
 
Num Name (bs=512) Size File Offset Comment 

*0: 00266344.png 74 KB 136368128 (297 x 222)
1: 00267240.png 2 MB 136826880 (2176 x 1915)
2: 00275456.png 22 KB 141033603 (181 x 256)
3: 00275520.png 21 KB 141066371 (181 x 256)
4: 00275664.png 87 KB 141139968 (1157 x 654)
5: 00275840.png 297 KB 141230080 (1023 x 635)
6: 00276480.png 255 KB 141557760 (1021 x 588)
7: 00276992.png 21 KB 141819904 (912 x 553)
8: 00277040.png 106 KB 141844480 (1308 x 701)
9: 00277256.png 10 KB 141955072 (797 x 114)
10: 00277280.png 49 KB 141967360 (519 x 485)
11: 00285584.png 21 KB 146219139 (181 x 256)

*********************************************************************
*********************************************************************
2869: 02437564.dll 51 KB 1248032768 10/20/2010 13:24:41
2870: 02437679.dll 79 KB 1248091648 10/20/2010 13:24:50
2871: 02437850.dll 68 KB 1248179200 10/20/2010 13:24:41
2872: 02438005.dll 358 KB 1248258560 02/24/2011 04:00:44
2873: 02438756.dll 51 KB 1248643072 10/20/2010 13:24:41
2874: 02438872.dll 79 KB 1248702464 10/20/2010 13:24:50
2875: 02439043.dll 68 KB 1248790016 10/20/2010 13:24:41
2876: 02439199.dll 358 KB 1248869888 02/24/2011 04:00:44 
|********************************************************************|

Finish: Sat Dec 27 13:09:06 2014

2974 FILES EXTRACTED

gif:= 347 
jpg:= 483
png:= 922
avi:= 119
pdf:= 278
zip:= 2
exe:= 132
dll:= 691
------------------------------------------------------------------ 

La récupération a pris un peu moins d'une heure, Bien que cela varie selon la taille de la partition, la quantité de formats pour récupérer, et l'équipe avec laquelle nous effectuons la tâche; J'ai réduit la liste des fichiers, depuis qu'ils ont été plus de 2900 fichiers de différents formats, et avec des dates datant de 1998 jusqu'à maintenant.

Je tiens à souligner que la clé USB Je l'ai acheté 2013, les autres données devraient donc être un cadeau de vacances de la SR. Kingston; mais j'ai pas-être ingrat, Je vais les supprimer.

srkingston

M.. Kingston.

Une fois que la demande finisse sa tâche, Nous irons vers le répertoire qui a été appelé “récupérés“, et à l'intérieur vous trouverez un dossier associé à chaque format; Parmi eux se trouvent les fichiers qui ont été récupérées, mais avant il faut changer les autorisations pour accéder à ces répertoires.

usuario@maquina:~$ sudo chown usuario -R /home/usuario/Escritorio/recuperado_DíaSemana_Mes_DíaMes_Hora_Minuto_Segundo_Año

Maintenant, nous pouvons déjà accéder au répertoire qui contient vos fichiers; chacune et chacun d'entre eux ont été récupérés avec succès, Jetons un œil à l'intérieur du dossier contenant les fichiers à titre d'exemple PDF récupérés.

Récupérer des fichiers PDF.

Si vous le souhaitez vous pouvez me suivre sur Twitter, Facebook, Google +, LinkedIn, ou partagez-les avec les boutons situés sous cette publication, Si vous avez des questions ou suggestions n'hésitent pas à commenter.

Aidez-nous à atteindre plus de lecteurs Share on LinkedInShare on FacebookTweet about this on TwitterShare on Google+Email this to someone

Laisser une réponse