לחוקרי מחשבים – שחזור קבצים על-ידי קובץ גילוף עם Foremost

את לחוקרי מחשבים מדובר באחד התחומים שאני אוהב, לא דיברתי בבלוג על ענף הזה אבטחת מחשב אישי ברשת איך זה מגיע; אז היום אנחנו נראה כיצד לשחזר קבצים שנמחקו עם הטכניקה של קובץ גילוף באמצעות בראש ובראשונה.

foremostt

נכון כי ישנם יישומים רבים יותר כדי לבצע את המשימה הזו, אבל בכלי זה, . אזמל הם אלה שאני אוהב, שבו השתמשתי מתי פעם בטעות שיש לי שנמחקו זה אסור; השניים עזרו לי להוריד את אחוזי הסיכוי של התקרחות, או התקפי לב בגיל צעיר.

עבור התרגול הבא, אנחנו צריכים כונן הבזק, ו כמה קבצים בתבניות שונות.

formatos

מה לעשות עם הנייד הזה, זה היה עושה כן באופן זהה באמצעי אחסון אחר; ההבדל היחיד הוא זה לזה על כוננים קשיחים, אנחנו חייבים. לפתוח את המחשב השולחני שלנו; . יש יציאה eSata; o disponer de una בקר מארח מסוג USB עבור IDE/PATA/SATA.

conexionesdiscos

אני מעדיף את האפשרות בקר, ya que nos permite trabajar con todo tipo de discos duros; אם הם חדשים או ישנים, של 2,5″ או 3,5″, es bastante económica y a este modelo en concreto עד שני דיסקים יכול להיות אתה באותו הזמן.

controladora discos

בקר דיסק מרובה.

קבצים

כאמור, הגיב, אנחנו צריכים כמה קבצים כדי לשחזר, yo he copiado los míos en un pendrive.

התוכן של התמיכה האחסון שלנו.

חבילות נדרש

Para llevar a cabo esta práctica necesitamos בראש ובראשונה, אז בוא נראה. יש להתקין את החבילה עבור תוכנה זו, למרבה המזל, היא זמינה באופן הרשמי, אז פשוט נצטרך להשתמש בכלי apt.

usuario@maquina:~$ sudo apt-get install foremost

מחיקת תוכן

קודם בוא למחוק את הקבצים שלנו, כדי לעשות זאת אנו נשתמש בפקודה RM כאשר הארגומנט -r לבצע מחיקה רקורסיבית, -f בכדי לכפות את מחיקת; סוף סוף כמטרה בחר * קרי, אנו נודיע לכם זה מוחק את כל הקבצים בתוך pendrive או הדיסק הקשיח שלנו.

#Nos movemos al directorio donde se ha montado nuestro soporte de almacenamiento.
usuario@maquina:~$ cd /media/ruta-del-disco

#Borramos todo el contenido.
usuario@maquina:~$ sudo rm -rf *

#Listamos el contenido para comprobar que ya no queda nada.
usuario@maquina:~$ ls
usuario@maquina:~$

. זה Foremost, וכיצד הוא פועל באופן פנימי

כלי משפטי בראש ובראשונה es una herramienta de recuperación de archivos desarrollada inicialmente por el departamento de investigaciones especiales de las fuerzas aéreas del ejército de los Estados Unidos de América.

Debemos tener en cuenta que cuando borramos un archivo, הדבר היחיד שאנחנו עושים הוא להסתיר את זה על רקע המשתמש, סימון חופשי אשכול ocupados por el; בתקווה כי שטח נדרש, עד אז להחליף אותו.

להבין את הדרך לשחזור קבצים היא די פשוטה, ya que lo que hace es recorrer el disco tratando de reconocer los archivos por la estructura de los כותרות ו כותרות תחתונות בתבנית הקסדצימאלי כל סוג קובץ, מאז אלה son genéricos.

Configurar Foremost a nuestro gusto

כדי לקבוע את תצורת בראש ובראשונה בדרך מותאמת אישית, solo tenemos que editar su archivo de configuración /etc/foremost.conf y descomentar los formatos de archivos que queremos buscar; לעשות זה לא נחוץ, ya que dispone de configuraciones por defecto para todos los formatos, אבל אנחנו יכולים לשנות כותרת ו כותרת תחתונה הקסדצימאלי, אם ברצוננו, e incluso añadir tipos de archivo distintos.

usuario@maquina:~$ sudo nano /etc/foremost.conf

ואז תוכלו לראות. . מדגם של חלק מהתוכן del fichero de configuración, ב בטון השורות המפנות לתבניות שאנחנו הולכים לשחזר; אם נרצה לשנות כמה פרמטרים רק צריך ההערה את הקו המשוייך הסיומת הרצויה, סוף סוף לשנות ערכים אלה.

#---------------------------------------------------------------------
# GIF and JPG files (very common)
# (NOTE THESE FORMATS HAVE BUILTIN EXTRACTION FUNCTION)
# gif y 155000000 \x47\x49\x46\x38\x37\x61 \x00\x3b
# gif y 155000000 \x47\x49\x46\x38\x39\x61 \x00\x00\x3b
# jpg y 20000000 \xff\xd8\xff\xe0\x00\x10 \xff\xd9
# jpg y 20000000 \xff\xd8\xff\xe1 \xff\xd9
# jpg y 20000000 \xff\xd8 \xff\xd9
#
# PNG (used in web pages)
# (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
# png y 200000 \x50\x4e\x47? \xff\xfc\xfd\xfe
#
#---------------------------------------------------------------------
# ADOBE PDF (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
#---------------------------------------------------------------------
#
# pdf y 5000000 %PDF- %EOF
#
#---------------------------------------------------------------------
# (NOTE THIS FORMAT HAS BUILTIN EXTRACTION FUNCTION)
# zip y 10000000 PK\x03\x04 \x3c\xac
#---------------------------------------------------------------------

Recuperar nuestros archivos con Foremost

לשחזר קבצים עם בראש ובראשונה ממש קל, אנחנו צריך פשוט להפעיל אותו עם האפשרויות הרצויות; אז אני אסביר שבחרתי.

v מאפשר מצב מילולי, para que foremost muestre mas información del proceso mientras lo está llevando a cabo.

t indica el tipo de archivo a recuperar.

T להוסיף את התאריך על שם הספריה שבה ניתן לשחזר את הנתונים, אז אנחנו לא חייבים לשנות את שם מדריך בכל פעם שמפעילים בראש ובראשונה.

. אני indica el nombre de la partición de donde queremos recuperar los archivos.

o מציין את הספריה איפה שאנחנו רוצים בראש ובראשונה שמירת קבצים ששוחזרו.

ES מומלץ מאוד ojear el manual para despejar cualquier duda al respecto.

usuario@maquina:~$ man foremost

בראש ובראשונה תומך בפורמטים שונים רבים, לא כדי לחזור על הפעולה אחת ואנחנו הולכים כדי לציין כדי לאחזר כל תבניות זמינות עם הארגומנט all עבור אפשרות -t; זה אפשרי ביותר כל-כך מאוחר, אבל אנחנו הולכים להפסיק לעבוד, ונעבור לכוס קפה או לבצע משימות אחרות בתקופה ההיא.

usuario@maquina:~$ sudo foremost -v -T -t all -i /dev/sdb1 -o /home/usuario/Escritorio/recuperado

[sudo] password for usuario:
Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus
Audit File

Foremost started at Sat Dec 27 12:13:03 2014
Invocation: foremost -v -T -t all /dev/sdb1 -o /home/usuario/Escritorio/recuperado
Output directory: /home/usuario/Escritorio/recuperado
Configuration file: /etc/foremost.conf
Processing: /dev/sdb1
|------------------------------------------------------------------|
File: /dev/sdb1
Start: Sat Dec 27 12:13:03 2014
Length: 7 GB (8010072064 bytes)
 
Num Name (bs=512) Size File Offset Comment 

*0: 00266344.png 74 KB 136368128 (297 x 222)
1: 00267240.png 2 MB 136826880 (2176 x 1915)
2: 00275456.png 22 KB 141033603 (181 x 256)
3: 00275520.png 21 KB 141066371 (181 x 256)
4: 00275664.png 87 KB 141139968 (1157 x 654)
5: 00275840.png 297 KB 141230080 (1023 x 635)
6: 00276480.png 255 KB 141557760 (1021 x 588)
7: 00276992.png 21 KB 141819904 (912 x 553)
8: 00277040.png 106 KB 141844480 (1308 x 701)
9: 00277256.png 10 KB 141955072 (797 x 114)
10: 00277280.png 49 KB 141967360 (519 x 485)
11: 00285584.png 21 KB 146219139 (181 x 256)

*********************************************************************
*********************************************************************
2869: 02437564.dll 51 KB 1248032768 10/20/2010 13:24:41
2870: 02437679.dll 79 KB 1248091648 10/20/2010 13:24:50
2871: 02437850.dll 68 KB 1248179200 10/20/2010 13:24:41
2872: 02438005.dll 358 KB 1248258560 02/24/2011 04:00:44
2873: 02438756.dll 51 KB 1248643072 10/20/2010 13:24:41
2874: 02438872.dll 79 KB 1248702464 10/20/2010 13:24:50
2875: 02439043.dll 68 KB 1248790016 10/20/2010 13:24:41
2876: 02439199.dll 358 KB 1248869888 02/24/2011 04:00:44 
|********************************************************************|

Finish: Sat Dec 27 13:09:06 2014

2974 FILES EXTRACTED

gif:= 347 
jpg:= 483
png:= 922
avi:= 119
pdf:= 278
zip:= 2
exe:= 132
dll:= 691
------------------------------------------------------------------ 

La recuperación ha tardado poco menos de una hora, למרות זה ישתנה בהתאם לגודל של המחיצה, הכמות של תבניות כדי לאחזר, והקבוצה שבה נוכל לבצע את המשימה; יש קיצרתי את רשימת הקבצים, מאז הם כבר יותר מ 2900 archivos recuperados en diferentes formatos, עם תאריכי משנת 1998 hasta ahora.

Quiero recalcar que el pendrive אני קניתי את זה 2013, אז שאר הנתונים צריך להיות מתנת החג Sr. קינגסטון; אבל אני ללא-להיות כפוי טובה, אני הולך למחוק אותם.

srkingston

מר. קינגסטון.

ברגע היישום יסיים את משימתו, אנחנו נלך לספריה זה כבר נקרא “התאושש“, בפנים תוכלו למצוא בתיקיה המשויכת כל תבנית; ביניהם הם קבצים כבר התאושש, pero antes debemos cambiar los permisos para poder acceder a estos directorios.

usuario@maquina:~$ sudo chown usuario -R /home/usuario/Escritorio/recuperado_DíaSemana_Mes_DíaMes_Hora_Minuto_Segundo_Año

עכשיו אנחנו כבר יכולים לגשת אל הספריה המכילה את הקבצים שלך; כל אחד מהם נמצאו בהצלחה, בואו נביט פנימה התיקיה המכילה את הקבצים כדוגמה PDF התאושש.

קובצי PDF התאושש.

אם אתה רוצה אתה יכול סע אחריי טוויטר, פייסבוק, גוגל +, LinkedIn, או לשתף אותו עם הלחצנים תחת פרסום זה, אם יש לך שאלות או הצעות אנא אל תהססו להגיב.

לעזור לנו להגיע יותר לקוראים Share on LinkedInShare on FacebookTweet about this on TwitterShare on Google+Email this to someone

תשאיר הודעה