Komputer forensik – Memulihkan file oleh file ukiran dengan Foremost

The komputer forensik Ini adalah salah satu disiplin yang aku cinta, dan tidak berbicara pada blog pada cabang ini keamanan komputer Bagaimana layak; Jadi hari ini kita akan melihat Bagaimana memulihkan file yang dihapus dengan teknik ukiran file menggunakan Terkemuka.

foremostt

Benar bahwa ada banyak lagi aplikasi untuk melaksanakan tugas ini, tapi alat ini dan Bedah orang-orang yang saya suka, dan yang saya gunakan ketika sekali oleh kesalahan aku telah menghapus yang tidak perlu; keduanya telah membantu saya untuk menurunkan persentase kemungkinan alopecia, atau serangan jantung pada usia dini.

Untuk praktek berikut, Kita akan membutuhkan sebuah flash drive, dan beberapa file dalam format yang berbeda.

format

Apa yang kita lakukan dengan ini flash drive, Itu akan melakukannya dalam cara yang sama dalam media penyimpanan lainnya; satu-satunya perbedaan adalah bahwa Anda melakukannya pada hard drive, Kita harus membuka PC desktop kami; memiliki port eSata; atau memiliki USB host controller untuk IDE/PATA/SATA.

conexionesdiscos

Saya lebih suka pilihan controller, Karena memungkinkan kita untuk bekerja dengan semua jenis hard drive; Apakah mereka baru atau lama, dari 2,5″ atau 3,5″, Hal ini cukup ekonomis dan model khusus ini sampai dengan dua disk dapat Anda pada waktu yang sama.

disk controller

Multi-disc controller.

File

Seperti sebelumnya berkomentar, Kita akan membutuhkan beberapa file untuk memulihkan, Saya telah disalin tambang di flashdisk.

Konten dukungan penyimpanan kami.

Paket-paket yang diperlukan

Kita perlu melaksanakan praktek ini Terkemuka, Jadi mari kita lihat paket yang harus diinstal untuk perangkat lunak ini, Untungnya, hal ini tersedia dalam repositori resmi, Jadi kita hanya perlu menggunakan alat apt.

usuario@maquina:~$ sudo apt-get install foremost

Menghapus konten

Pertama mari kita menghapus file kita, dan untuk melakukan hal ini kita akan menggunakan perintah RM dengan argumen -r untuk membuat rekursif penghapusan dan -f untuk memaksa penghapusan; Akhirnya sebagai target pilih * yaitu, Kami akan memberitahu Anda bahwa menghapus semua file di dalam kami flashdisk atau hard disk.

#Nos movemos al directorio donde se ha montado nuestro soporte de almacenamiento.
usuario@maquina:~$ cd /media/ruta-del-disco

#Borramos todo el contenido.
usuario@maquina:~$ sudo rm -rf *

#Listamos el contenido para comprobar que ya no queda nada.
usuario@maquina:~$ ls
usuario@maquina:~$

Ini adalah Foremost, dan bagaimana cara kerjanya internal

Terutama forensik alat Ini adalah alat untuk memulihkan file yang awalnya dikembangkan oleh Departemen penyelidikan Khusus Angkatan Udara Angkatan Darat Amerika Serikat.

Kita harus tetap diingat bahwa ketika Anda menghapus file, satu-satunya hal yang kita lakukan adalah menyembunyikannya dalam pengguna, menandai gratis Gugus diduduki oleh; dengan harapan bahwa ruang diperlukan, itu menimpa.

Memahami cara memulihkan file cukup sederhana, apa yang dilakukannya adalah mengambil disk berusaha untuk mengenali file dengan struktur header dan footer dalam format heksadesimal Setiap jenis file, Sejak ini mereka generik.

Mengkonfigurasi Foremost dengan keinginan kami

Untuk mengkonfigurasi Terkemuka di jalan kustom, Anda hanya perlu mengedit file konfigurasi Anda /etc/foremost.conf dan komentar format file yang ingin Anda Cari; Apakah Hal ini tidak diperlukan, menawarkan pengaturan secara default untuk semua format, tetapi kita dapat mengubah header dan footer heksadesimal jika kita ingin, e bahkan menambahkan jenis file yang berbeda.

usuario@maquina:~$ sudo nano /etc/foremost.conf

Maka Anda dapat melihat a contoh dari bagian dari konten file konfigurasi, dalam beton garis yang merujuk ke format yang kita akan memulihkan; Jika kita ingin mengubah beberapa parameter hanya harus tanda komentar baris yang terkait dengan ekstensi yang diinginkan, akhirnya mengubah nilai-nilai.

#---------------------------------------------------------------------
# GIF and JPG files (very common)
# (NOTE THESE FORMATS HAVE BUILTIN EXTRACTION FUNCTION)
# gif y 155000000 \x47\x49\x46\x38\x37\x61 \x00\x3b
# gif y 155000000 \x47\x49\x46\x38\x39\x61 \x00\x00\x3b
# jpg y 20000000 \xff\xd8\xff\xe0\x00\x10 \xff\xd9
# jpg y 20000000 \xff\xd8\xff\xe1 \xff\xd9
# jpg y 20000000 \xff\xd8 \xff\xd9
#
# PNG (used in web pages)
# (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
# png y 200000 \x50\x4e\x47? \xff\xfc\xfd\xfe
#
#---------------------------------------------------------------------
# ADOBE PDF (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
#---------------------------------------------------------------------
#
# pdf y 5000000 %PDF- %EOF
#
#---------------------------------------------------------------------
# (NOTE THIS FORMAT HAS BUILTIN EXTRACTION FUNCTION)
# zip y 10000000 PK\x03\x04 \x3c\xac
#---------------------------------------------------------------------

Memulihkan file kami dengan Foremost

Memulihkan file dengan Terkemuka benar-benar mudah, Kami hanya harus menjalankannya dengan opsi yang diinginkan; Saya kemudian akan menjelaskan bahwa saya telah memilih.

v memungkinkan verbose mode, Tampilan utama proses selengkapnya adalah saat mengambil.

t menunjukkan jenis file untuk mengambil.

T Menambahkan tanggal ke nama direktori yang mana data yang akan pulih, Jadi kita harus mengubah nama direktori setiap kali Anda memulai terkemuka.

saya menunjukkan nama dari mana Anda ingin memulihkan file partisi.

o menunjukkan direktori di mana kita ingin terkemuka menyimpan file pulih.

ES sangat direkomendasikan People manual untuk membersihkan keraguan tentang.

usuario@maquina:~$ man foremost

Terkemuka mendukung banyak berbeda format, dan untuk tidak mengulangi operasi satu kita akan menunjukkan untuk mengambil semua format yang tersedia dengan argumen Semua untuk pilihan -t; Hal ini mungkin sebagian begitu terlambat, Tapi kita akan berhenti bekerja, dan kami akan pergi untuk minum kopi atau untuk melakukan tugas-tugas lain selama jangka waktu tersebut.

usuario@maquina:~$ sudo foremost -v -T -t all -i /dev/sdb1 -o /home/usuario/Escritorio/recuperado

[sudo] password for usuario:
Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus
Audit File

Foremost started at Sat Dec 27 12:13:03 2014
Invocation: foremost -v -T -t all /dev/sdb1 -o /home/usuario/Escritorio/recuperado
Output directory: /home/usuario/Escritorio/recuperado
Configuration file: /etc/foremost.conf
Processing: /dev/sdb1
|------------------------------------------------------------------|
File: /dev/sdb1
Start: Sat Dec 27 12:13:03 2014
Length: 7 GB (8010072064 bytes)
 
Num Name (bs=512) Size File Offset Comment 

*0: 00266344.png 74 KB 136368128 (297 x 222)
1: 00267240.png 2 MB 136826880 (2176 x 1915)
2: 00275456.png 22 KB 141033603 (181 x 256)
3: 00275520.png 21 KB 141066371 (181 x 256)
4: 00275664.png 87 KB 141139968 (1157 x 654)
5: 00275840.png 297 KB 141230080 (1023 x 635)
6: 00276480.png 255 KB 141557760 (1021 x 588)
7: 00276992.png 21 KB 141819904 (912 x 553)
8: 00277040.png 106 KB 141844480 (1308 x 701)
9: 00277256.png 10 KB 141955072 (797 x 114)
10: 00277280.png 49 KB 141967360 (519 x 485)
11: 00285584.png 21 KB 146219139 (181 x 256)

*********************************************************************
*********************************************************************
2869: 02437564.dll 51 KB 1248032768 10/20/2010 13:24:41
2870: 02437679.dll 79 KB 1248091648 10/20/2010 13:24:50
2871: 02437850.dll 68 KB 1248179200 10/20/2010 13:24:41
2872: 02438005.dll 358 KB 1248258560 02/24/2011 04:00:44
2873: 02438756.dll 51 KB 1248643072 10/20/2010 13:24:41
2874: 02438872.dll 79 KB 1248702464 10/20/2010 13:24:50
2875: 02439043.dll 68 KB 1248790016 10/20/2010 13:24:41
2876: 02439199.dll 358 KB 1248869888 02/24/2011 04:00:44 
|********************************************************************|

Finish: Sat Dec 27 13:09:06 2014

2974 FILES EXTRACTED

gif:= 347 
jpg:= 483
png:= 922
avi:= 119
pdf:= 278
zip:= 2
exe:= 132
dll:= 691
------------------------------------------------------------------ 

Pemulihan telah mengambil sedikit kurang dari satu jam, Meskipun ini akan bervariasi tergantung pada ukuran partisi, jumlah format untuk mengambil, dan tim yang kita melaksanakan tugas; Saya memiliki dipersingkat daftar file, karena mereka telah lebih dari 2900 file dalam format yang berbeda, dan dengan tanggal yang berasal dari 1998 sejauh.

Saya ingin menekankan bahwa flashdisk Saya membelinya di 2013, Jadi data lainnya harus hadiah liburan SR. Kingston; tapi aku bebas-akan tidak tahu berterima kasih, Aku akan menghapus mereka.

srkingston

Mr. Kingston.

Setelah permohonan selesai tugasnya, Kita akan pergi ke direktori yang telah disebut “pulih“, dan di dalamnya Anda akan menemukan folder yang terkait dengan setiap format; diantaranya adalah file yang telah ditemukan, Tapi sebelum kita perlu mengubah hak akses untuk mengakses direktori ini.

usuario@maquina:~$ sudo chown usuario -R /home/usuario/Escritorio/recuperado_DíaSemana_Mes_DíaMes_Hora_Minuto_Segundo_Año

Sekarang kita sudah dapat mengakses ke direktori yang berisi file; setiap satu dari mereka sudah pulih berhasil, Mari kita lihat di dalam folder yang berisi file sebagai contoh PDF pulih.

Pulih file PDF.

Jika Anda suka, Anda dapat mengikuti saya di Twitter, Facebook, Google +, LinkedIn, atau berbagi dengan tombol di bawah ini publikasi, Jika Anda memiliki pertanyaan atau saran jangan ragu untuk komentar.

Membantu kami untuk menjangkau lebih banyak pembaca Share on LinkedInShare on FacebookTweet about this on TwitterShare on Google+Email this to someone

Tinggalkan balasan