Informatica forense – Recupero dei file dai file carving con Foremost

Il informatica forense È una delle discipline che amo, e non hanno parlato sul blog su questo ramo della sicurezza informatica come si merita; così oggi vedremo Come recuperare file cancellati con la tecnica del scultura del file utilizzando Più importante.

foremostt

È vero che ci sono molte altre applicazioni per svolgere questo compito, ma questo strumento e Bisturi sono quelli che mi piace, e che quando ho usato una volta per sbaglio che ho cancellato che non dovrebbe; i due mi hanno aiutato a ridurre la percentuale di probabilità di alopecia, o attacchi di cuore in età precoce.

Per la seguente pratica, Abbiamo bisogno di un flash drive, e alcuni file in diversi formati.

formati

Cosa facciamo con questo flash drive, Esso sarebbe farlo nello stesso modo in altri supporti di memorizzazione; l'unica differenza è che tu lo faccia su dischi rigidi, Dobbiamo aprire il nostro PC desktop; avendo una porta eSata; o hanno un Controller host USB per IDE/PATA/SATA.

conexionesdiscos

Io preferisco l'opzione controller, Quanto ci permette di lavorare con tutti i tipi di dischi rigidi; si tratti di nuovo o vecchio, di 2,5″ o 3,5″, È abbastanza economico e questo particolare modello fino a due dischi può essere allo stesso tempo.

controller del disco

Multi-disco controller.

File

Come precedentemente commentato, Abbiamo bisogno di alcuni file da recuperare, Ho copiato miniera in una pendrive.

Contenuto del nostro supporto di archiviazione.

Pacchetti richiesti

Dobbiamo svolgere questa pratica Più importante, così vediamo che il pacchetto deve essere installato per questo software, Fortunatamente, è disponibile nei repository ufficiali, così ci sono solo utilizzare lo strumento APT.

usuario@maquina:~$ sudo apt-get install foremost

L'eliminazione del contenuto

Primo Let's cancellare i nostri file, e per fare questo useremo il comando RM con l'argomento -r per rendere l'eliminazione ricorsiva e -f forzare l'eliminazione; Infine come destinazione, selezionare * vale a dire, Vi informiamo che elimina tutti i file all'interno della nostra pendrive o disco rigido.

#Nos movemos al directorio donde se ha montado nuestro soporte de almacenamiento.
usuario@maquina:~$ cd /media/ruta-del-disco

#Borramos todo el contenido.
usuario@maquina:~$ sudo rm -rf *

#Listamos el contenido para comprobar que ya no queda nada.
usuario@maquina:~$ ls
usuario@maquina:~$

È primo, e come funziona internamente

Attrezzo di tutto legale È uno strumento per recuperare file inizialmente sviluppati dal dipartimento di indagini speciali delle forze aeree dell'esercito degli Stati Uniti d'America.

Dobbiamo tenere in mente che quando si elimina un file, l'unica cosa che facciamo è nasconderlo in considerazione l'utente, Segna come libero il cluster occupato dal; nella speranza che lo spazio è richiesto, da allora sovrascriverlo.

Capire il vostro modo di recuperare i file è abbastanza semplice, ciò che fa è prendere il disco cercando di riconoscere i file dalla struttura della intestazioni E la piè di pagina in formato esadecimale ogni tipo di file, Dal momento che questi sono generici.

Configurare tutto di nostro gradimento

Per configurare Più importante in modo personalizzato, Devi solo modificare il file di configurazione /etc/foremost.conf e i formati di file che si desidera cercare di rimuovere il commento; fare Questo non è necessario, offre impostazioni di default per tutti i formati, ma possiamo cambiare il intestazione E la piè di pagina esadecimale se vi auguriamo, e anche aggiungere diversi tipi di file.

usuario@maquina:~$ sudo nano /etc/foremost.conf

Poi si può vedere un campione di parte del contenuto il file di configurazione, in concreto le righe che fanno riferimento ai formati che ci accingiamo a recuperare; Se volevamo cambiare qualche parametro solo dovrebbe decommentare la riga associata con l'estensione desiderata, Infine modificare tali valori.

#---------------------------------------------------------------------
# GIF and JPG files (very common)
# (NOTE THESE FORMATS HAVE BUILTIN EXTRACTION FUNCTION)
# gif y 155000000 \x47\x49\x46\x38\x37\x61 \x00\x3b
# gif y 155000000 \x47\x49\x46\x38\x39\x61 \x00\x00\x3b
# jpg y 20000000 \xff\xd8\xff\xe0\x00\x10 \xff\xd9
# jpg y 20000000 \xff\xd8\xff\xe1 \xff\xd9
# jpg y 20000000 \xff\xd8 \xff\xd9
#
# PNG (used in web pages)
# (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
# png y 200000 \x50\x4e\x47? \xff\xfc\xfd\xfe
#
#---------------------------------------------------------------------
# ADOBE PDF (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
#---------------------------------------------------------------------
#
# pdf y 5000000 %PDF- %EOF
#
#---------------------------------------------------------------------
# (NOTE THIS FORMAT HAS BUILTIN EXTRACTION FUNCTION)
# zip y 10000000 PK\x03\x04 \x3c\xac
#---------------------------------------------------------------------

Recuperare i nostri file con Foremost

Recuperare i file con Più importante è davvero facile, Noi dovremmo basta eseguirlo con le opzioni desiderate; Poi vi spiegherò che ho scelto.

v attiva la modalità dettagliata, primo display ulteriori informazioni di processo sono durante l'assunzione di esso.

t indica il tipo di file da recuperare.

T Aggiungere la data al nome della directory dove saranno recuperati i dati, così non dobbiamo cambiare il nome della directory ogni volta che si avvia più importante.

Ho indica il nome della partizione in cui si desidera recuperare i file.

o indica la directory dove vogliamo più importante salvare i file recuperati.

ES altamente consigliato Sfoglia il manuale per cancellare qualsiasi dubbio circa.

usuario@maquina:~$ man foremost

Più importante supporta molti formati differenti, e di non per ripetere l'operazione per uno ci indicano per recuperare tutti i formati disponibili con l'argomento tutti i per opzione -t; È possibile così tardi più, ma stiamo andando a smettere di lavorare, e andiamo per un caffè o per eseguire altre attività durante quel periodo di tempo.

usuario@maquina:~$ sudo foremost -v -T -t all -i /dev/sdb1 -o /home/usuario/Escritorio/recuperado

[sudo] password for usuario:
Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus
Audit File

Foremost started at Sat Dec 27 12:13:03 2014
Invocation: foremost -v -T -t all /dev/sdb1 -o /home/usuario/Escritorio/recuperado
Output directory: /home/usuario/Escritorio/recuperado
Configuration file: /etc/foremost.conf
Processing: /dev/sdb1
|------------------------------------------------------------------|
File: /dev/sdb1
Start: Sat Dec 27 12:13:03 2014
Length: 7 GB (8010072064 bytes)
 
Num Name (bs=512) Size File Offset Comment 

*0: 00266344.png 74 KB 136368128 (297 x 222)
1: 00267240.png 2 MB 136826880 (2176 x 1915)
2: 00275456.png 22 KB 141033603 (181 x 256)
3: 00275520.png 21 KB 141066371 (181 x 256)
4: 00275664.png 87 KB 141139968 (1157 x 654)
5: 00275840.png 297 KB 141230080 (1023 x 635)
6: 00276480.png 255 KB 141557760 (1021 x 588)
7: 00276992.png 21 KB 141819904 (912 x 553)
8: 00277040.png 106 KB 141844480 (1308 x 701)
9: 00277256.png 10 KB 141955072 (797 x 114)
10: 00277280.png 49 KB 141967360 (519 x 485)
11: 00285584.png 21 KB 146219139 (181 x 256)

*********************************************************************
*********************************************************************
2869: 02437564.dll 51 KB 1248032768 10/20/2010 13:24:41
2870: 02437679.dll 79 KB 1248091648 10/20/2010 13:24:50
2871: 02437850.dll 68 KB 1248179200 10/20/2010 13:24:41
2872: 02438005.dll 358 KB 1248258560 02/24/2011 04:00:44
2873: 02438756.dll 51 KB 1248643072 10/20/2010 13:24:41
2874: 02438872.dll 79 KB 1248702464 10/20/2010 13:24:50
2875: 02439043.dll 68 KB 1248790016 10/20/2010 13:24:41
2876: 02439199.dll 358 KB 1248869888 02/24/2011 04:00:44 
|********************************************************************|

Finish: Sat Dec 27 13:09:06 2014

2974 FILES EXTRACTED

gif:= 347 
jpg:= 483
png:= 922
avi:= 119
pdf:= 278
zip:= 2
exe:= 132
dll:= 691
------------------------------------------------------------------ 

Il recupero ha preso un po ' meno di un'ora, Anche se questo può variare a seconda delle dimensioni della partizione, la quantità di formati per recuperare, e la squadra con cui portiamo avanti l'attività; Ho accorciato l'elenco dei file, quanto sono stati più di 2900 file in diversi formati, e con date incontri da 1998 finora.

Ci tengo a sottolineare che la pendrive Ho comprato in 2013, così gli altri dati dovrebbero essere un regalo di festa della SR. Kingston; ma io non-essere ingrato, Ho intenzione di eliminarli.

srkingston

Signor. Kingston.

Una volta che l'applicazione termina l'attività, Ci recheremo alla directory in cui è stata chiamata “recuperati“, e all'interno troverete una cartella associata ogni formato; tra loro ci sono i file che sono stati recuperati, ma prima abbiamo bisogno di modificare le autorizzazioni per accedere a queste directory.

usuario@maquina:~$ sudo chown usuario -R /home/usuario/Escritorio/recuperado_DíaSemana_Mes_DíaMes_Hora_Minuto_Segundo_Año

Ora possiamo già accedere alla directory che contiene i file; ognuno di loro sono stati recuperati con successo, Diamo un'occhiata all'interno della cartella che contiene i file come un esempio PDF recuperati.

Recuperati i file PDF.

Se si desidera è possibile seguire su Twitter, Facebook, Google +, LinkedIn, o condividerlo con i pulsanti sotto questa pubblicazione, Se avete domande o suggerimenti, non esitate a commentare.

Aiutaci a raggiungere più lettori Share on LinkedInShare on FacebookTweet about this on TwitterShare on Google+Email this to someone

Lasciare una risposta