Számítógép kriminalisztika – Faragás a legelső fájl a fájlok visszaállítása

A számítógép kriminalisztika Ez az egyik a tudományágak, hogy szeretem, és nem szóltam a blog ezen ága a Biztonságtechnika hogyan érdemes; így ma meglátjuk Hogyan viselkedni visszaszerez töröl fájlokat a technika, a fájl faragás használata Mindenek előtt.

foremostt

Igaz, hogy sok további alkalmazásokat, e feladat elvégzésére, de ez szerszám és Szike az is, hogy tetszik, és én, amikor egyszer nekem van töröl hiba, hogy nem kell; a két segített nekem, az alacsonyabb százalékos valószínűsége alopecia, vagy a szívroham fiatal korban.

A következő gyakorlatban, Szükségünk lesz egy villanás hajt, és néhány fájlokat-ban különböző alakok.

formátumok

Mi köze a flash meghajtó, Meg kellene tennie más tároló-adathordozóról azonos módon; az egyetlen különbség az, hogy Ön-hoz csinál ez-ra kemény vezet, Mi kell nyitni a iskolapad PC; Miután a port eSata; vagy van egy USB-állomásvezérlő a IDE/PATA/SATA.

conexionesdiscos

Inkább a tartományvezérlő-beállítást, Mivel ez lehetővé teszi számunkra, hogy dolgozik-val minden jellegek-ból kemény vezet; akár új, akár régi, a 2,5″ vagy 3,5″, Ez egy nagyon gazdaságos és az adott modell akár két lemezt lehet, ugyanakkor.

merevlemez-vezérlő

Vezérlő többtárcsás.

Fájlok

Mint már korábban megjegyezte, Szükségünk lesz néhány fájlokat-hoz visszaszerez, Másolta az enyém egy pendrive.

A raktározási támogatás tartalma.

Szükséges csomagok

Ez a gyakorlat elvégzésére van szükségünk Mindenek előtt, Lássuk, hogy a csomag telepítve kell lennie a szoftverhez, Szerencsére elérhető a hivatalos tárak, így mi csak az eszköz használatához apt.

usuario@maquina:~$ sudo apt-get install foremost

A hanganyag törlése

Első nézzük törli a fájlokat, és ehhez fogjuk használni a parancsot RM az argumentum -r ahhoz, hogy a törlés és -f a törlésének kényszerítéséhez; Végül, mint cél kiválasztása * azaz, Tájékoztatjuk Önt, hogy töröl minden fájlokat belső rész a pendrive vagy merevlemez.

#Nos movemos al directorio donde se ha montado nuestro soporte de almacenamiento.
usuario@maquina:~$ cd /media/ruta-del-disco

#Borramos todo el contenido.
usuario@maquina:~$ sudo rm -rf *

#Listamos el contenido para comprobar que ya no queda nada.
usuario@maquina:~$ ls
usuario@maquina:~$

Ez a legelső, és hogyan működik, belső

Elsősorban Forensic eszköz -A ' egy szerszám részére visszaszerzés fájlokat fejlesztette a Tanszék a hadsereg az Egyesült Államok légi erők különleges vizsgálatok.

Meg kell tartani arra, hogy amikor vagy töröl egy reszelő, az egyetlen dolog, mi elrejteni a felhasználó tekintettel, Megjelölés szabadként a fürt elfoglalták a; abban a reményben, hogy helyre szükség, akkor felül.

Értem, nagyon egyszerű utat a fájlok visszaállítása, Mit jelent az, hogy a lemez megpróbálja felismerni a fájl szerkezete, a fejlécek és a láblécek formátumban hexadecimális minden fájltípus, Mivel ezek Ezek általános.

Állítsa be a legelső a mi szeretet

Konfigurálása Mindenek előtt egyéni módon, csak meg kell szerkeszteni a konfigurációs fájl /etc/foremost.conf és uncomment a reszelő alakok amit ön akar-hoz kutatás; do De ez nem szükséges, kínál a beállítások alapértelmezés szerint az összes, de meg tudjuk változtatni a fejléc és a lábléc Ha azt szeretné, hexadecimális, e még hozzá a különböző fájltípusok.

usuario@maquina:~$ sudo nano /etc/foremost.conf

Akkor láthatod egy minta a tartalom egy részét a konfigurációs fájl, a beton a sorokat, hogy nézze meg a formátumok, hogy mi lesz, hogy visszaszerezze; Ha akartuk változtatni néhány paramétert csak kell uncomment a vonal-társult-val a kívánt kiterjesztés, Végül módosíthatja ezeket az értékeket.

#---------------------------------------------------------------------
# GIF and JPG files (very common)
# (NOTE THESE FORMATS HAVE BUILTIN EXTRACTION FUNCTION)
# gif y 155000000 \x47\x49\x46\x38\x37\x61 \x00\x3b
# gif y 155000000 \x47\x49\x46\x38\x39\x61 \x00\x00\x3b
# jpg y 20000000 \xff\xd8\xff\xe0\x00\x10 \xff\xd9
# jpg y 20000000 \xff\xd8\xff\xe1 \xff\xd9
# jpg y 20000000 \xff\xd8 \xff\xd9
#
# PNG (used in web pages)
# (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
# png y 200000 \x50\x4e\x47? \xff\xfc\xfd\xfe
#
#---------------------------------------------------------------------
# ADOBE PDF (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
#---------------------------------------------------------------------
#
# pdf y 5000000 %PDF- %EOF
#
#---------------------------------------------------------------------
# (NOTE THIS FORMAT HAS BUILTIN EXTRACTION FUNCTION)
# zip y 10000000 PK\x03\x04 \x3c\xac
#---------------------------------------------------------------------

Visszaállítani a fájlokat, a legelső

Visszaszerez fájlokat-val Mindenek előtt nagyon könnyű, Mi csak futtatni a kívánt beállításokkal; Majd elmagyarázom, hogy én úgy döntött.

v részletező mód beállítása, legelső kijelző tudnivalók folyamat van véve.

t visszaállítandó fájl típusát.

T A dátum hozzáadása a neve, a könyvtár, ahol az adat visszanyerhető lesz, Tehát mi nem kell változtatni a könyvtár nevét, akármikor ön dob mindenek előtt.

én Ha ön akar-hoz visszaszerez fájlokat partíció nevét jelöli.

o azt a könyvtárat, ahol azt akarjuk, hogy mindenek előtt megment a meggyógyult fájlokat.

ES erősen ajánlott Böngésszen a kézikönyv egyértelmű kétség.

usuario@maquina:~$ man foremost

Mindenek előtt támogatja a számos különböző formátumokban, és hogy ne ismételje meg a műveletet egy-egy fogunk jelez-hoz elhoz minden rendelkezésre álló formátumok az argumentummal minden a beállítás -t; Lehetséges olyan későn, nagy, de mi lesz, hogy kilép a munka, és mi megy egy kávéra, vagy egyéb feladatok elvégzésére az adott időszakban.

usuario@maquina:~$ sudo foremost -v -T -t all -i /dev/sdb1 -o /home/usuario/Escritorio/recuperado

[sudo] password for usuario:
Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus
Audit File

Foremost started at Sat Dec 27 12:13:03 2014
Invocation: foremost -v -T -t all /dev/sdb1 -o /home/usuario/Escritorio/recuperado
Output directory: /home/usuario/Escritorio/recuperado
Configuration file: /etc/foremost.conf
Processing: /dev/sdb1
|------------------------------------------------------------------|
File: /dev/sdb1
Start: Sat Dec 27 12:13:03 2014
Length: 7 GB (8010072064 bytes)
 
Num Name (bs=512) Size File Offset Comment 

*0: 00266344.png 74 KB 136368128 (297 x 222)
1: 00267240.png 2 MB 136826880 (2176 x 1915)
2: 00275456.png 22 KB 141033603 (181 x 256)
3: 00275520.png 21 KB 141066371 (181 x 256)
4: 00275664.png 87 KB 141139968 (1157 x 654)
5: 00275840.png 297 KB 141230080 (1023 x 635)
6: 00276480.png 255 KB 141557760 (1021 x 588)
7: 00276992.png 21 KB 141819904 (912 x 553)
8: 00277040.png 106 KB 141844480 (1308 x 701)
9: 00277256.png 10 KB 141955072 (797 x 114)
10: 00277280.png 49 KB 141967360 (519 x 485)
11: 00285584.png 21 KB 146219139 (181 x 256)

*********************************************************************
*********************************************************************
2869: 02437564.dll 51 KB 1248032768 10/20/2010 13:24:41
2870: 02437679.dll 79 KB 1248091648 10/20/2010 13:24:50
2871: 02437850.dll 68 KB 1248179200 10/20/2010 13:24:41
2872: 02438005.dll 358 KB 1248258560 02/24/2011 04:00:44
2873: 02438756.dll 51 KB 1248643072 10/20/2010 13:24:41
2874: 02438872.dll 79 KB 1248702464 10/20/2010 13:24:50
2875: 02439043.dll 68 KB 1248790016 10/20/2010 13:24:41
2876: 02439199.dll 358 KB 1248869888 02/24/2011 04:00:44 
|********************************************************************|

Finish: Sat Dec 27 13:09:06 2014

2974 FILES EXTRACTED

gif:= 347 
jpg:= 483
png:= 922
avi:= 119
pdf:= 278
zip:= 2
exe:= 132
dll:= 691
------------------------------------------------------------------ 

A behajtás tett egy kicsit kevesebb mint egy óra, Bár ez függ a méret-ból feloszt, alakok-hoz elhoz összege, és a csapat, amely tudjuk elvégezni a feladatot; Én lerövidítik a fájlok listája, hiszen már több, mint 2900 a különféle formátumú fájlokat, Ismerkedés a dátumokat, és 1998 eddig.

Szeretném hangsúlyozni, hogy a pendrive Én vásárolt ez-ban 2013, így a többi adatot kell egy nyaralás ajándék a SR. Kingston; de én nem-hálátlan lenni, Én megyek, hogy törölje őket.

srkingston

Mr. Kingston.

Amint az alkalmazás befejezi a feladatot, Mi megy a könyvtárba, hogy kérték “visszanyert“, és benned lesz talál egy dosszié társított minden formátum; köztük olyan fájlok, amelyek fedeztek fel, de mielőtt meg kell változtatni ezeket a könyvtárakat eléréséhez szükséges engedélyek.

usuario@maquina:~$ sudo chown usuario -R /home/usuario/Escritorio/recuperado_DíaSemana_Mes_DíaMes_Hora_Minuto_Segundo_Año

Most már elérhetjük, hogy a fájlokat tartalmazó könyvtár; minden egyes egyikük vissza sikeresen, Nézzük meg, belső rész a dosszié, amely tartalmazza a fájlokat, mint például PDF visszanyert.

Visszanyert PDF-fájlok.

Ha tetszik, akkor Kövess engem, Twitter, Facebook, A Google +, LinkedIn, vagy ossza meg a gombok alatt a kiadvány, Ha bármilyen kérdése van, vagy javaslatokat kérjük ne habozzon megjegyzést.

Segítsen nekünk, hogy elérje több olvasót Share on LinkedIn
LinkedIn
Share on Facebook
Facebook
Tweet about this on Twitter
Twitter
Share on Google+
A Google +
Email this to someone
e-mailben

"Egy gondolat, a"Számítógép kriminalisztika – Faragás a legelső fájl a fájlok visszaállítása

Hozzászólás