לחוקרי מחשבים – שחזור קבצים על-ידי קובץ גילוף עם Foremost

את לחוקרי מחשבים מדובר באחד התחומים שאני אוהב, לא דיברתי בבלוג על ענף הזה אבטחת מחשב אישי ברשת איך זה מגיע; אז היום אנחנו נראה כיצד לשחזר קבצים שנמחקו עם הטכניקה של קובץ גילוף באמצעות בראש ובראשונה.

foremostt

נכון כי ישנם יישומים רבים יותר כדי לבצע את המשימה הזו, אבל בכלי זה, . אזמל הם אלה שאני אוהב, שבו השתמשתי מתי פעם בטעות שיש לי שנמחקו זה אסור; השניים עזרו לי להוריד את אחוזי הסיכוי של התקרחות, או התקפי לב בגיל צעיר.

עבור התרגול הבא, אנחנו צריכים כונן הבזק, ו כמה קבצים בתבניות שונות.

תבניות

מה לעשות עם הנייד הזה, זה היה עושה כן באופן זהה באמצעי אחסון אחר; ההבדל היחיד הוא זה לזה על כוננים קשיחים, אנחנו חייבים. לפתוח את המחשב השולחני שלנו; . יש יציאה eSata; . או בקר מארח מסוג USB עבור IDE/PATA/SATA.

conexionesdiscos

אני מעדיף את האפשרות בקר, שכן הוא מאפשר לנו לעבוד עם כל סוגי כוננים קשיחים; אם הם חדשים או ישנים, של 2,5″ או 3,5″, זה חסכוני למדי, המודל הזה עד שני דיסקים יכול להיות אתה באותו הזמן.

בקר הדיסק

בקר דיסק מרובה.

קבצים

כאמור, הגיב, אנחנו צריכים כמה קבצים כדי לשחזר, העתקתי שלי בתוך pendrive.

התוכן של התמיכה האחסון שלנו.

חבילות נדרש

אנחנו צריכים לבצע את המנהג בראש ובראשונה, אז בוא נראה. יש להתקין את החבילה עבור תוכנה זו, למרבה המזל, היא זמינה באופן הרשמי, אז פשוט נצטרך להשתמש בכלי apt.

usuario@maquina:~$ sudo apt-get install foremost

מחיקת תוכן

קודם בוא למחוק את הקבצים שלנו, כדי לעשות זאת אנו נשתמש בפקודה RM כאשר הארגומנט -r לבצע מחיקה רקורסיבית, -f בכדי לכפות את מחיקת; סוף סוף כמטרה בחר * קרי, אנו נודיע לכם זה מוחק את כל הקבצים בתוך pendrive או הדיסק הקשיח שלנו.

#Nos movemos al directorio donde se ha montado nuestro soporte de almacenamiento.
usuario@maquina:~$ cd /media/ruta-del-disco

#Borramos todo el contenido.
usuario@maquina:~$ sudo rm -rf *

#Listamos el contenido para comprobar que ya no queda nada.
usuario@maquina:~$ ls
usuario@maquina:~$

. זה Foremost, וכיצד הוא פועל באופן פנימי

כלי משפטי בראש ובראשונה זהו כלי לשחזור קבצים שפותחה לראשונה על ידי המחלקה לחקירות מיוחדות של כוחות האוויר של צבא ארצות הברית של אמריקה.

אנחנו חייבים לשמור על אכפת זה כאשר אתה מוחק קובץ, הדבר היחיד שאנחנו עושים הוא להסתיר את זה על רקע המשתמש, סימון חופשי אשכול כבשו; בתקווה כי שטח נדרש, עד אז להחליף אותו.

להבין את הדרך לשחזור קבצים היא די פשוטה, מה שהוא עושה זה לקחת את הדיסק מנסה לזהות קבצים על-ידי המבנה כותרות ו כותרות תחתונות בתבנית הקסדצימאלי כל סוג קובץ, מאז אלה הם כלליים.

קביעת תצורה של Foremost לטעמו שלנו

כדי לקבוע את תצורת בראש ובראשונה בדרך מותאמת אישית, אתה רק צריך לערוך את קובץ התצורה שלך /etc/foremost.conf ואת ההערה תבניות הקובץ שברצונך לחפש; לעשות זה לא נחוץ, מציע הגדרות כברירת מחדל עבור כל תבניות, אבל אנחנו יכולים לשנות כותרת ו כותרת תחתונה הקסדצימאלי, אם ברצוננו, e אפילו להוסיף סוגי קבצים שונים.

usuario@maquina:~$ sudo nano /etc/foremost.conf

ואז תוכלו לראות. . מדגם של חלק מהתוכן קובץ התצורה, ב בטון השורות המפנות לתבניות שאנחנו הולכים לשחזר; אם נרצה לשנות כמה פרמטרים רק צריך ההערה את הקו המשוייך הסיומת הרצויה, סוף סוף לשנות ערכים אלה.

#---------------------------------------------------------------------
# GIF and JPG files (very common)
# (NOTE THESE FORMATS HAVE BUILTIN EXTRACTION FUNCTION)
# gif y 155000000 \x47\x49\x46\x38\x37\x61 \x00\x3b
# gif y 155000000 \x47\x49\x46\x38\x39\x61 \x00\x00\x3b
# jpg y 20000000 \xff\xd8\xff\xe0\x00\x10 \xff\xd9
# jpg y 20000000 \xff\xd8\xff\xe1 \xff\xd9
# jpg y 20000000 \xff\xd8 \xff\xd9
#
# PNG (used in web pages)
# (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
# png y 200000 \x50\x4e\x47? \xff\xfc\xfd\xfe
#
#---------------------------------------------------------------------
# ADOBE PDF (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
#---------------------------------------------------------------------
#
# pdf y 5000000 %PDF- %EOF
#
#---------------------------------------------------------------------
# (NOTE THIS FORMAT HAS BUILTIN EXTRACTION FUNCTION)
# zip y 10000000 PK\x03\x04 \x3c\xac
#---------------------------------------------------------------------

לשחזר את הקבצים שלנו עם Foremost

לשחזר קבצים עם בראש ובראשונה ממש קל, אנחנו צריך פשוט להפעיל אותו עם האפשרויות הרצויות; אז אני אסביר שבחרתי.

v מאפשר מצב מילולי, בראש ובראשונה להציג מידע תהליך נוסף הוא תוך כדי להוציא את זה.

t מציין את סוג הקובץ כדי לאחזר.

T להוסיף את התאריך על שם הספריה שבה ניתן לשחזר את הנתונים, אז אנחנו לא חייבים לשנות את שם מדריך בכל פעם שמפעילים בראש ובראשונה.

. אני מציין את שם המחיצה שבו ברצונך לשחזר קבצים.

o מציין את הספריה איפה שאנחנו רוצים בראש ובראשונה שמירת קבצים ששוחזרו.

ES מומלץ מאוד עיון במדריך כדי לנקות את כל ספק לגבי.

usuario@maquina:~$ man foremost

בראש ובראשונה תומך בפורמטים שונים רבים, לא כדי לחזור על הפעולה אחת ואנחנו הולכים כדי לציין כדי לאחזר כל תבניות זמינות עם הארגומנט כל עבור אפשרות -t; זה אפשרי ביותר כל-כך מאוחר, אבל אנחנו הולכים להפסיק לעבוד, ונעבור לכוס קפה או לבצע משימות אחרות בתקופה ההיא.

usuario@maquina:~$ sudo foremost -v -T -t all -i /dev/sdb1 -o /home/usuario/Escritorio/recuperado

[sudo] password for usuario:
Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus
Audit File

Foremost started at Sat Dec 27 12:13:03 2014
Invocation: foremost -v -T -t all /dev/sdb1 -o /home/usuario/Escritorio/recuperado
Output directory: /home/usuario/Escritorio/recuperado
Configuration file: /etc/foremost.conf
Processing: /dev/sdb1
|------------------------------------------------------------------|
File: /dev/sdb1
Start: Sat Dec 27 12:13:03 2014
Length: 7 GB (8010072064 bytes)
 
Num Name (bs=512) Size File Offset Comment 

*0: 00266344.png 74 KB 136368128 (297 x 222)
1: 00267240.png 2 MB 136826880 (2176 x 1915)
2: 00275456.png 22 KB 141033603 (181 x 256)
3: 00275520.png 21 KB 141066371 (181 x 256)
4: 00275664.png 87 KB 141139968 (1157 x 654)
5: 00275840.png 297 KB 141230080 (1023 x 635)
6: 00276480.png 255 KB 141557760 (1021 x 588)
7: 00276992.png 21 KB 141819904 (912 x 553)
8: 00277040.png 106 KB 141844480 (1308 x 701)
9: 00277256.png 10 KB 141955072 (797 x 114)
10: 00277280.png 49 KB 141967360 (519 x 485)
11: 00285584.png 21 KB 146219139 (181 x 256)

*********************************************************************
*********************************************************************
2869: 02437564.dll 51 KB 1248032768 10/20/2010 13:24:41
2870: 02437679.dll 79 KB 1248091648 10/20/2010 13:24:50
2871: 02437850.dll 68 KB 1248179200 10/20/2010 13:24:41
2872: 02438005.dll 358 KB 1248258560 02/24/2011 04:00:44
2873: 02438756.dll 51 KB 1248643072 10/20/2010 13:24:41
2874: 02438872.dll 79 KB 1248702464 10/20/2010 13:24:50
2875: 02439043.dll 68 KB 1248790016 10/20/2010 13:24:41
2876: 02439199.dll 358 KB 1248869888 02/24/2011 04:00:44 
|********************************************************************|

Finish: Sat Dec 27 13:09:06 2014

2974 FILES EXTRACTED

gif:= 347 
jpg:= 483
png:= 922
avi:= 119
pdf:= 278
zip:= 2
exe:= 132
dll:= 691
------------------------------------------------------------------ 

ההתאוששות לקח קצת פחות משעה, למרות זה ישתנה בהתאם לגודל של המחיצה, הכמות של תבניות כדי לאחזר, והקבוצה שבה נוכל לבצע את המשימה; יש קיצרתי את רשימת הקבצים, מאז הם כבר יותר מ 2900 קבצים בתבניות שונות, עם תאריכי משנת 1998 עד עכשיו.

אני רוצה להדגיש כי pendrive אני קניתי את זה 2013, אז שאר הנתונים צריך להיות מתנת החג SR. קינגסטון; אבל אני ללא-להיות כפוי טובה, אני הולך למחוק אותם.

srkingston

מר. קינגסטון.

ברגע היישום יסיים את משימתו, אנחנו נלך לספריה זה כבר נקרא “התאושש“, בפנים תוכלו למצוא בתיקיה המשויכת כל תבנית; ביניהם הם קבצים כבר התאושש, . אבל קודם אנחנו צריכים לשנות את הרשאות הגישה ספריות אלה.

usuario@maquina:~$ sudo chown usuario -R /home/usuario/Escritorio/recuperado_DíaSemana_Mes_DíaMes_Hora_Minuto_Segundo_Año

עכשיו אנחנו כבר יכולים לגשת אל הספריה המכילה את הקבצים שלך; כל אחד מהם נמצאו בהצלחה, בואו נביט פנימה התיקיה המכילה את הקבצים כדוגמה PDF התאושש.

קובצי PDF התאושש.

אם אתה רוצה אתה יכול סע אחריי טוויטר, פייסבוק, גוגל +, LinkedIn, או לשתף אותו עם הלחצנים תחת פרסום זה, אם יש לך שאלות או הצעות אנא אל תהססו להגיב.

לעזור לנו להגיע יותר לקוראים Share on LinkedInShare on FacebookTweet about this on TwitterShare on Google+Email this to someone

תשאיר הודעה