कंप्यूटर फोरेंसिक – फ़ाइलें फ़ाइल के साथ Foremost नक्काशी द्वारा पुनर्प्राप्त किया जा रहा

को कंप्यूटर फोरेंसिक यह है कि मैं प्यार विषयों में से एक है, और ब्लॉग की इस शाखा पर पर बात नहीं की है कंप्यूटर सुरक्षा यह कैसे हकदार; तो आज हम देखेंगे हटाई गई फ़ाइलें पुनर्प्राप्त करने के लिए कैसे की तकनीक के साथ फ़ाइल पर नक्काशी का सबसे महत्वपूर्ण.

foremostt

सच है कि इस कार्य को पूरा करने के लिए कई और अधिक अनुप्रयोगों हैं, लेकिन इस उपकरण और स्केलपेल लोगों को कि मैं पसंद कर रहे है, और जो मैं जब इस्तेमाल किया एक बार गलती से हटा दिया है कि नहीं चाहिए; दो मुझे खालित्य की संभावना का प्रतिशत कम करने में मदद की है, या एक कम उम्र में दिल के दौरे.

निम्न अभ्यास के लिए, हम एक फ्लैश ड्राइव की आवश्यकता होगी, और विभिन्न स्वरूपों में कुछ फ़ाइलें.

स्वरूपों

क्या हम इस फ़्लैश ड्राइव के साथ, यह किसी भी अन्य भंडारण मीडिया में एक ही रास्ते में ऐसा होता; फर्क सिर्फ इतना है कि आप इसे करने के लिए हार्ड ड्राइव पर, हम हमारे डेस्कटॉप पीसी खोलने चाहिए; एक पोर्ट होने eSata; या एक USB होस्ट नियंत्रक के लिए IDE/पाटा/SATA.

conexionesdiscos

मैं नियंत्रक विकल्प पसंद करते हैं, के बाद से यह हमें हार्ड ड्राइव के सभी प्रकार के साथ काम करने की अनुमति देता है; चाहे वे नए या पुराने हैं, के 2,5″ या 3,5″, यह काफी किफायती है और इस विशेष मॉडल अप करने के लिए दो डिस्क आप एक ही समय में किया जा सकता.

डिस्क कंट्रोलर

बहु-डिस्क नियंत्रक.

फ़ाइलें

पहले के रूप में टिप्पणी की, हम कुछ फ़ाइलें पुनर्प्राप्त करने के लिए की आवश्यकता होगी, मैं एक pendrive में मेरी नकल की है.

तो हमारे समर्थन के संग्रह की सामग्री.

आवश्यक संकुल

हम इस अभ्यास बाहर ले जाने की जरूरत है सबसे महत्वपूर्ण, तो चलो देखते हैं कि पैकेज के लिए इस सॉफ़्टवेयर स्थापित किया जाना चाहिए, सौभाग्य से, यह सरकारी खजाने में उपलब्ध है, तो हम बस उपकरण का उपयोग करने के लिए होगा उपयुक्त.

usuario@maquina:~$ sudo apt-get install foremost

सामग्री को हटाना

पहला चलो हमारे फ़ाइलें मिटाएँ, और ऐसा करने के लिए हम आदेश का उपयोग करेगा RM तर्क के साथ -आर recursive हटाने बनाने के लिए और -f हटाने के लिए बाध्य करने के लिए; अंत में लक्ष्य के रूप में का चयन करें * यानी, हम आपको हमारे pendrive या हार्ड डिस्क के अंदर सभी फ़ाइलों को हटाता है सूचित करेंगे.

#Nos movemos al directorio donde se ha montado nuestro soporte de almacenamiento.
usuario@maquina:~$ cd /media/ruta-del-disco

#Borramos todo el contenido.
usuario@maquina:~$ sudo rm -rf *

#Listamos el contenido para comprobar que ya no queda nada.
usuario@maquina:~$ ls
usuario@maquina:~$

यह Foremost है, और कैसे यह आंतरिक रूप से काम करता है

सबसे महत्वपूर्ण फोरेंसिक उपकरण यह संयुक्त राज्य अमेरिका की सेना के वायु सेना के विशेष जांच विभाग द्वारा विकसित फ़ाइलों को शुरू में उबरने के लिए एक उपकरण है.

हम ध्यान में रखना चाहिए कि जब आप किसी फ़ाइल को हटाते है, केवल एक ही चीज़ हम क्या है इसे ध्यान में रखते हुए उपयोगकर्ता छिपाएँ, मुक्त के रूप में चिह्नित क्लस्टर पर कब्जा जमाया; उम्मीद है कि अंतरिक्ष में की आवश्यकता है, तब तक इसे अधिलेखित करें.

फ़ाइलों को पुनर्प्राप्त करने का आपका तरीका काफी सरल है समझ, यह क्या है डिस्क की संरचना द्वारा फ़ाइलों को पहचानने की कोशिश कर ले रहा है शीर्ष लेख और पाद लेख स्वरूप में षोडश आधारी प्रत्येक फ़ाइल प्रकार, के बाद से ये वे सामांय है.

हमारे पसंद करने के लिए सबसे महत्वपूर्ण कॉंफ़िगर

कॉन्फ़िगर करने के लिए सबसे महत्वपूर्ण एक तरह से कस्टम, आप केवल अपनी कॉंफ़िगरेशन फ़ाइल को संपादित करने के लिए है /etc/foremost.conf और वह फ़ाइल स्वरूप अनटिप्पणी करें जिसे आप खोजना चाहते है; करते हैं यह आवश्यक नहीं है, सभी स्वरूपों के लिए डिफ़ॉल्ट रूप से सेटिंग्स ऑफ़र करता है, लेकिन हम बदल सकते हैं शीर्ष लेख और पाद लेख हम कामना करते हैं, तो हेक्साडेसिमल, ई यहां तक कि विभिन्न प्रकार के फ़ाइल जोड़ें.

usuario@maquina:~$ sudo nano /etc/foremost.conf

उसके बाद आप देख सकते हैं एक नमूना सामग्री के भाग के कॉंफ़िगरेशन फ़ाइल, लाइनों है कि प्रारूप है कि हम को पुनर्प्राप्त करने के लिए जा रहे हैं करने के लिए संदर्भित में कंक्रीट; हम बदलने के लिए चाहते थे, तो कुछ पैरामीटर केवल इच्छित एक्सटेंशन के साथ संबद्ध लाइन अनकमेंट चाहिए, अंत में उन मूल्यों को बदलने के लिए.

#---------------------------------------------------------------------
# GIF and JPG files (very common)
# (NOTE THESE FORMATS HAVE BUILTIN EXTRACTION FUNCTION)
# gif y 155000000 \x47\x49\x46\x38\x37\x61 \x00\x3b
# gif y 155000000 \x47\x49\x46\x38\x39\x61 \x00\x00\x3b
# jpg y 20000000 \xff\xd8\xff\xe0\x00\x10 \xff\xd9
# jpg y 20000000 \xff\xd8\xff\xe1 \xff\xd9
# jpg y 20000000 \xff\xd8 \xff\xd9
#
# PNG (used in web pages)
# (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
# png y 200000 \x50\x4e\x47? \xff\xfc\xfd\xfe
#
#---------------------------------------------------------------------
# ADOBE PDF (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
#---------------------------------------------------------------------
#
# pdf y 5000000 %PDF- %EOF
#
#---------------------------------------------------------------------
# (NOTE THIS FORMAT HAS BUILTIN EXTRACTION FUNCTION)
# zip y 10000000 PK\x03\x04 \x3c\xac
#---------------------------------------------------------------------

सबसे महत्वपूर्ण के साथ हमारी फ़ाइलें पुनर्प्राप्त करें

साथ फ़ाइलें पुनर्प्राप्त करें सबसे महत्वपूर्ण वास्तव में आसान है, हम सिर्फ यह वांछित विकल्प के साथ चलाना चाहिए; मैं तो समझा जाएगा कि मैं चुना है.

v वर्बोज़ मोड सक्षम करता है, सबसे महत्वपूर्ण प्रदर्शन और प्रक्रिया की जानकारी है, जबकि इसे बाहर ले जा.

टी पुनर्प्राप्त करने के लिए फ़ाइल का प्रकार इंगित करता है.

टी दिनांक जोड़ें जहाँ डेटा पुनर्प्राप्त किया जा जाएगा निर्देशिका के नाम के लिए, जब भी आप लॉन्च तो हम निर्देशिका का नाम बदलना आवश्यक नहीं सबसे महत्वपूर्ण.

मैं उस पार्टीशन का नाम इंगित करता है जहां आप फ़ाइलें पुनर्प्राप्त करना चाहते है.

जहां हम करने के लिए चाहते हैं निर्देशिका को इंगित करता है सबसे महत्वपूर्ण बरामद फाइलों को बचाने.

ES अत्यधिक की सिफारिश की के बारे में कोई संदेह स्पष्ट करने के लिए मैनुअल ब्राउज़ करें.

usuario@maquina:~$ man foremost

सबसे महत्वपूर्ण कई विभिन्न स्वरूपों का समर्थन करता है, और एक के बाद एक कार्रवाई नहीं दोहराने के लिए हम सभी उपलब्ध स्वरूपों तर्क के साथ प्राप्त करने के लिए इंगित करने के लिए जा रहे हैं सभी के लिए विकल्प -टी; यह संभव हो तो देर से सबसे अधिक है, लेकिन हम काम से बाहर निकलें करने के लिए जा रहे हैं, और हम उस समय अवधि के दौरान अन्य कार्य करने के लिए या एक कॉफी के लिए जाना होगा.

usuario@maquina:~$ sudo foremost -v -T -t all -i /dev/sdb1 -o /home/usuario/Escritorio/recuperado

[sudo] password for usuario:
Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus
Audit File

Foremost started at Sat Dec 27 12:13:03 2014
Invocation: foremost -v -T -t all /dev/sdb1 -o /home/usuario/Escritorio/recuperado
Output directory: /home/usuario/Escritorio/recuperado
Configuration file: /etc/foremost.conf
Processing: /dev/sdb1
|------------------------------------------------------------------|
File: /dev/sdb1
Start: Sat Dec 27 12:13:03 2014
Length: 7 GB (8010072064 bytes)
 
Num Name (bs=512) Size File Offset Comment 

*0: 00266344.png 74 KB 136368128 (297 x 222)
1: 00267240.png 2 MB 136826880 (2176 x 1915)
2: 00275456.png 22 KB 141033603 (181 x 256)
3: 00275520.png 21 KB 141066371 (181 x 256)
4: 00275664.png 87 KB 141139968 (1157 x 654)
5: 00275840.png 297 KB 141230080 (1023 x 635)
6: 00276480.png 255 KB 141557760 (1021 x 588)
7: 00276992.png 21 KB 141819904 (912 x 553)
8: 00277040.png 106 KB 141844480 (1308 x 701)
9: 00277256.png 10 KB 141955072 (797 x 114)
10: 00277280.png 49 KB 141967360 (519 x 485)
11: 00285584.png 21 KB 146219139 (181 x 256)

*********************************************************************
*********************************************************************
2869: 02437564.dll 51 KB 1248032768 10/20/2010 13:24:41
2870: 02437679.dll 79 KB 1248091648 10/20/2010 13:24:50
2871: 02437850.dll 68 KB 1248179200 10/20/2010 13:24:41
2872: 02438005.dll 358 KB 1248258560 02/24/2011 04:00:44
2873: 02438756.dll 51 KB 1248643072 10/20/2010 13:24:41
2874: 02438872.dll 79 KB 1248702464 10/20/2010 13:24:50
2875: 02439043.dll 68 KB 1248790016 10/20/2010 13:24:41
2876: 02439199.dll 358 KB 1248869888 02/24/2011 04:00:44 
|********************************************************************|

Finish: Sat Dec 27 13:09:06 2014

2974 FILES EXTRACTED

gif:= 347 
jpg:= 483
png:= 922
avi:= 119
pdf:= 278
zip:= 2
exe:= 132
dll:= 691
------------------------------------------------------------------ 

वसूली एक घंटे से थोड़ा कम लिया है, हालांकि यह उस पार्टीशन के आकार पर निर्भर करते हुए भिन्न होगा, पुनर्प्राप्त करने के लिए स्वरूप की राशि, और जिसके साथ हम कार्य को ले टीम; मैं उन फ़ाइलों की सूची छोटा है, वे किया गया है के बाद से से अधिक 2900 विभिंन स्वरूपों में फ़ाइलें, और तारीखों से डेटिंग के साथ 1998 अब तक.

मैं इस बात पर जोर देना चाहता हूं कि pendrive मैं इसे खरीदा 2013, तो एक छुट्टी उपहार के अन्य डेटा होना चाहिए sr. किंग्स्टन; लेकिन मैं गैर-कृतघ्न हो, मैं उन्हें हटाने के लिए जा रहा हूँ.

srkingston

श्री. किंग्स्टन.

एक बार आवेदन अपने कार्य खत्म, हम बुलाया गया है निर्देशिका के लिए जाना होगा “बरामद“, और आप के अंदर एक फ़ोल्डर प्रत्येक प्रारूप के साथ जुड़े मिलेगा; उन्हें के बीच फ़ाइलें कि बरामद किया गया है कर रहे हैं, लेकिन इससे पहले कि हम इन निर्देशिका तक पहुँचने के लिए अनुमतियाँ परिवर्तित करने के लिए की जरूरत.

usuario@maquina:~$ sudo chown usuario -R /home/usuario/Escritorio/recuperado_DíaSemana_Mes_DíaMes_Hora_Minuto_Segundo_Año

अब हम पहले से ही करने के लिए निर्देशिका है जिसमें आपकी फ़ाइलों तक पहुँच सकते हैं; उनमें से हर एक सफलतापूर्वक बरामद किया गया है, चलो एक उदाहरण के रूप में वे फ़ाइलें हैं जो फ़ोल्डर के अंदर देखो पीडीएफ बरामद.

बरामद PDF फ़ाइलें.

यदि आप आप की तरह मुझे अनुसरण कर सकते हैं चहचहाना, Facebook, Google +, LinkedIn, या यह इस प्रकाशन के अंतर्गत इस बटन के साथ साझा करें, यदि आप कोई प्रश्न या सुझाव टिप्पणी करने के लिए कृपया संकोच नहीं करते.

Artículos relacionados

हमें और अधिक पाठकों तक पहुँचने के लिए मदद Share on LinkedInShare on FacebookTweet about this on TwitterShare on Google+Email this to someone

One thought on “कंप्यूटर फोरेंसिक – फ़ाइलें फ़ाइल के साथ Foremost नक्काशी द्वारा पुनर्प्राप्त किया जा रहा

कोई जवाब दो