Računalna forenzika – Oporavak datoteka datoteka rezbarenje s Foremost

Na Računalna forenzika To je jedna od disciplina koju volim, i nije govorio na blogu na tu granu u Računalna sigurnost como se merece; Danas ćemo vidjeti Kako to obnova izbrisati kartoteka tehnikom datoteka rezbarenje utilizando Prije svega.

foremostt

Istina je da su mnogo više aplikacija za izvršavanje ovog zadatka, pero esta herramienta y Skalpelom son las que mas me gustan, i ja se kada jednom greškom Imam izbrisati to ne treba; las dos me han ayudado a bajar el porcentaje de probabilidad de sufrir alopecia, ili srčanog udara u ranoj dobi.

Za sljedeće prakse, Treba nam bljesak voziti, i neke datoteke u različitim formatima.

formatos

Što ćemo učiniti s ovom bljesak voziti, Će to učiniti na isti način u bilo koji drugi medij za pohranu; Jedina razlika je u tome da na tvrdo Pogoni, Mi moramo da otvorimo naš radna površina PC; Nakon što je luka eSata; o disponer de una USB kontroler za IDE/PATA/ANTIKRIST.

conexionesdiscos

Radije bih kontroler mogućnost, ya que nos permite trabajar con todo tipo de discos duros; Jesu li novi ili stari, od 2,5″ ili 3,5″, es bastante económica y a este modelo en concreto dva diska može biti do te u isto vrijeme.

controladora discos

Multi disk kontroler.

Datoteka

Prethodno je komentirao, Trebat će nam neke datoteke za oporavak, yo he copiado los míos en un pendrive.

Sadržaj za podršku.

Zahtijevani paketi

Para llevar a cabo esta práctica necesitamos Prije svega, da vidimo taj paket mora biti instaliran za ovaj softver, Srećom, to je dostupan u službenim repozitorijima, Tako ćemo samo morati koristiti alat sposoban.

usuario@maquina:~$ sudo apt-get install foremost

Brisanje sadržaja

Prvo ćemo izbrisati naše datoteke, i za to ćemo koristiti naredbu RM u argumentu -r da bi rekurzivnog brisanja i -f na snagu brisanje; Napokon kao cilj odabran * tj., Obavijestit ćemo vas koji briše sve datoteke unutar naših poglavica ili tvrdom disku.

#Nos movemos al directorio donde se ha montado nuestro soporte de almacenamiento.
usuario@maquina:~$ cd /media/ruta-del-disco

#Borramos todo el contenido.
usuario@maquina:~$ sudo rm -rf *

#Listamos el contenido para comprobar que ya no queda nada.
usuario@maquina:~$ ls
usuario@maquina:~$

To je Foremost, i kako to radi interno

Svega forenzički alat es una herramienta de recuperación de archivos desarrollada inicialmente por el departamento de investigaciones especiales de las fuerzas aéreas del ejército de los Estados Unidos de América.

Debemos tener en cuenta que cuando borramos un archivo, Jedina stvar koju možemo učiniti je sakriti u pogledu korisnika, Označavanje kao slobodan u klaster ocupados por el; u nadi da prostor je potrebno, do tada ga prepisati.

Razumijem tvoj način za ozdravljenje kartoteka je vrlo jednostavan, ya que lo que hace es recorrer el disco tratando de reconocer los archivos por la estructura de los zaglavlja i na podnožja u obliku heksadecimalni svaku vrstu datoteke, Od ove son genéricos.

Configurar Foremost a nuestro gusto

Da biste konfigurirali Prije svega na prilagođeni način, solo tenemos que editar su archivo de configuración /etc/foremost.conf y descomentar los formatos de archivos que queremos buscar; učiniti To nije potrebno, ya que dispone de configuraciones por defecto para todos los formatos, Ali možemo promijeniti na Zaglavlje i na podnožje heksadecimalni ako želimo, e incluso añadir tipos de archivo distintos.

usuario@maquina:~$ sudo nano /etc/foremost.conf

Tada možete vidjeti na uzorak dio sadržaja del fichero de configuración, u beton linije koje se odnose na formate koje ćemo za oporavak; Ako želimo promijeniti neki parametar samo treba otkomentiranjem reda povezana s željenu ekstenziju, da napokon promijenite vrijednosti.

#---------------------------------------------------------------------
# GIF and JPG files (very common)
# (NOTE THESE FORMATS HAVE BUILTIN EXTRACTION FUNCTION)
# gif y 155000000 \x47\x49\x46\x38\x37\x61 \x00\x3b
# gif y 155000000 \x47\x49\x46\x38\x39\x61 \x00\x00\x3b
# jpg y 20000000 \xff\xd8\xff\xe0\x00\x10 \xff\xd9
# jpg y 20000000 \xff\xd8\xff\xe1 \xff\xd9
# jpg y 20000000 \xff\xd8 \xff\xd9
#
# PNG (used in web pages)
# (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
# png y 200000 \x50\x4e\x47? \xff\xfc\xfd\xfe
#
#---------------------------------------------------------------------
# ADOBE PDF (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
#---------------------------------------------------------------------
#
# pdf y 5000000 %PDF- %EOF
#
#---------------------------------------------------------------------
# (NOTE THIS FORMAT HAS BUILTIN EXTRACTION FUNCTION)
# zip y 10000000 PK\x03\x04 \x3c\xac
#---------------------------------------------------------------------

Recuperar nuestros archivos con Foremost

Obnova kartoteka sa Prije svega lako je, Mi bi trebao pravedan trčanje Internet sa željene opcije; Onda ću objasniti da sam izabrao.

v omogućava verbose modu, para que foremost muestre mas información del proceso mientras lo está llevando a cabo.

t indica el tipo de archivo a recuperar.

T Dodajte Datum naziv direktorija gdje podaci će biti obnova, Tako mi ne morate promijeniti Imenik ime pri svakom pokretanju prije svega.

Ja indica el nombre de la partición de donde queremos recuperar los archivos.

o upućuje na direktorij gdje želimo prije svega Spremanje oporavljene datoteke.

ES preporučuje ojear el manual para despejar cualquier duda al respecto.

usuario@maquina:~$ man foremost

Prije svega podržava mnoge različite formate, i da ne ponovite postupak jednog po jednog ćemo naznačiti dohvatiti sve dostupne formate u argumentu all za opciju -t; To je moguće tako kasno većina, Ali mi ćemo prestati raditi, i idemo na kavu ili za obavljanje drugih zadataka tijekom razdoblja.

usuario@maquina:~$ sudo foremost -v -T -t all -i /dev/sdb1 -o /home/usuario/Escritorio/recuperado

[sudo] password for usuario:
Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus
Audit File

Foremost started at Sat Dec 27 12:13:03 2014
Invocation: foremost -v -T -t all /dev/sdb1 -o /home/usuario/Escritorio/recuperado
Output directory: /home/usuario/Escritorio/recuperado
Configuration file: /etc/foremost.conf
Processing: /dev/sdb1
|------------------------------------------------------------------|
File: /dev/sdb1
Start: Sat Dec 27 12:13:03 2014
Length: 7 GB (8010072064 bytes)
 
Num Name (bs=512) Size File Offset Comment 

*0: 00266344.png 74 KB 136368128 (297 x 222)
1: 00267240.png 2 MB 136826880 (2176 x 1915)
2: 00275456.png 22 KB 141033603 (181 x 256)
3: 00275520.png 21 KB 141066371 (181 x 256)
4: 00275664.png 87 KB 141139968 (1157 x 654)
5: 00275840.png 297 KB 141230080 (1023 x 635)
6: 00276480.png 255 KB 141557760 (1021 x 588)
7: 00276992.png 21 KB 141819904 (912 x 553)
8: 00277040.png 106 KB 141844480 (1308 x 701)
9: 00277256.png 10 KB 141955072 (797 x 114)
10: 00277280.png 49 KB 141967360 (519 x 485)
11: 00285584.png 21 KB 146219139 (181 x 256)

*********************************************************************
*********************************************************************
2869: 02437564.dll 51 KB 1248032768 10/20/2010 13:24:41
2870: 02437679.dll 79 KB 1248091648 10/20/2010 13:24:50
2871: 02437850.dll 68 KB 1248179200 10/20/2010 13:24:41
2872: 02438005.dll 358 KB 1248258560 02/24/2011 04:00:44
2873: 02438756.dll 51 KB 1248643072 10/20/2010 13:24:41
2874: 02438872.dll 79 KB 1248702464 10/20/2010 13:24:50
2875: 02439043.dll 68 KB 1248790016 10/20/2010 13:24:41
2876: 02439199.dll 358 KB 1248869888 02/24/2011 04:00:44 
|********************************************************************|

Finish: Sat Dec 27 13:09:06 2014

2974 FILES EXTRACTED

gif:= 347 
jpg:= 483
png:= 922
avi:= 119
pdf:= 278
zip:= 2
exe:= 132
dll:= 691
------------------------------------------------------------------ 

La recuperación ha tardado poco menos de una hora, Iako ovo će varirati ovisno o veličini particije, količinu formata za dohvaćanje, i tim s kojim smo izvršili zadatak; Skratio sam popis datoteka, Budući da su više od 2900 archivos recuperados en diferentes formatos, i s datumima iz 1998 hasta ahora.

Quiero recalcar que el pendrive Kupio sam ga 2013, Pa ostale podatke treba odmor dar u Sr. Kingston; Ali ja ne-biti nezahvalan, Ja ću ih izbrisati.

srkingston

G.. Kingston.

Nakon što program završi svoj zadatak, Odemo u direktorij koji je pozvao “Obnova“, Unutra ćete pronaći mapu pridruženu svaki oblik; među njima su datoteke koje su pronađeni, pero antes debemos cambiar los permisos para poder acceder a estos directorios.

usuario@maquina:~$ sudo chown usuario -R /home/usuario/Escritorio/recuperado_DíaSemana_Mes_DíaMes_Hora_Minuto_Segundo_Año

Sada već možemo pristupiti na direktorij koji sadrži datoteke; svakome od njih pronađeno je uspješno, Pogledajmo unutra mapu koja sadrži datoteke kao primjer PDF Obnova.

Obnova PDF kartoteka.

Ako želite možete slijedite me na Twitter, Facebook, Google +, LinkedIn, ili podijeliti s gumbima ispod ove publikacije, Ako imate bilo kakvih pitanja ili sugestija slobodno komentirati.

Pomažu nam do više čitatelja Share on LinkedInShare on FacebookTweet about this on TwitterShare on Google+Email this to someone

ostavi odgovor