コンピュータフォレンジック – 彫刻は第一とファイルによってファイルを回復します。

コンピュータフォレンジック 大好きな分野の一つです。, この枝にブログで話されていないと、 コンピューターのセキュリティ como se merece; だから、今日我々 がわかります 削除されたファイルを回復する方法 技術と ファイル彫刻 utilizando 何よりも.

foremostt

このタスクを実行する多くのアプリケーションがある事実です。, pero esta herramienta y メス son las que mas me gustan, 私が使用する一度間違えて削除したことはないはず; las dos me han ayudado a bajar el porcentaje de probabilidad de sufrir alopecia, 幼い頃から心臓発作または.

次の練習のため, 我々 のフラッシュ ドライブが必要, と 別の形式でいくつかのファイル.

formatos

このフラッシュ ドライブで何, 他の記憶域メディアに同じ方法でそうだろうそれ; 唯一の違いは、あなたのハード ドライブ上にそれ, 我々 は我々 のデスクトップ PC を開く必要があります。; ポートを持っていること eSata; o disponer de una USB ホスト コント ローラー ため IDE/PATA/SATA.

conexionesdiscos

私はコント ローラーのオプションを好む, ya que nos permite trabajar con todo tipo de discos duros; 彼らが新しいか古いか, の 2,5″ または 3,5″, es bastante económica y a este modelo en concreto 2 つのディスクに同時にあなたをすることができます。.

controladora discos

コント ローラー複数ディスク.

ファイル

前述のコメント, いくつかのファイルを回復する必要があります。, yo he copiado los míos en un pendrive.

当社のストレージ ・ サポートの内容.

必要なパッケージ

Para llevar a cabo esta práctica necesitamos 何よりも, そのパッケージは、このソフトウェアのインストール必要があります見てみましょう, 幸いなことに、それは公式のリポジトリで利用可能です, だから我々 はちょうどツールを使用する必要 apt.

usuario@maquina:~$ sudo apt-get install foremost

コンテンツを削除します。

最初のファイルを消していきましょう, これを行うコマンドを使用し、 RM 引数で -r 再帰的な削除をして -f 強制的に削除; 最後にターゲットとして選択します。 * すなわち, 私たち pendrive またはハード ディスク内のすべてのファイルが削除されることをお知らせいたします.

#Nos movemos al directorio donde se ha montado nuestro soporte de almacenamiento.
usuario@maquina:~$ cd /media/ruta-del-disco

#Borramos todo el contenido.
usuario@maquina:~$ sudo rm -rf *

#Listamos el contenido para comprobar que ya no queda nada.
usuario@maquina:~$ ls
usuario@maquina:~$

それは一流, 内部のしくみと

何よりも法医学ツール es una herramienta de recuperación de archivos desarrollada inicialmente por el departamento de investigaciones especiales de las fuerzas aéreas del ejército de los Estados Unidos de América.

Debemos tener en cuenta que cuando borramos un archivo, 唯一の事は、ユーザーの観点からそれを隠す, 無料マーキング、 クラスター ocupados por el; スペースが必要なことを期待して, それを上書きして.

ファイルの回復のあなたの方法は非常に簡単を理解します。, ya que lo que hace es recorrer el disco tratando de reconocer los archivos por la estructura de los ヘッダー と、 フッター 形式で 16 進数 各ファイルの種類, これらから son genéricos.

Configurar Foremost a nuestro gusto

構成するのには 何よりも 独自の方法で, solo tenemos que editar su archivo de configuración /etc/foremost.conf y descomentar los formatos de archivos que queremos buscar; 行う これは必要ではありません。, ya que dispone de configuraciones por defecto para todos los formatos, 我々 は変更することができますが、 ヘッダー と、 フッター 場合は 16 進数, e incluso añadir tipos de archivo distintos.

usuario@maquina:~$ sudo nano /etc/foremost.conf

あなたが見ることができるし、 内容の一部のサンプル del fichero de configuración, コンクリートを回復している形式を参照する行; 変更する場合は、いくつかのパラメーターのみ必要があります行をコメントから目的の拡張子に関連付けられています。, 最後にこれらの値を変更するには.

#---------------------------------------------------------------------
# GIF and JPG files (very common)
# (NOTE THESE FORMATS HAVE BUILTIN EXTRACTION FUNCTION)
# gif y 155000000 \x47\x49\x46\x38\x37\x61 \x00\x3b
# gif y 155000000 \x47\x49\x46\x38\x39\x61 \x00\x00\x3b
# jpg y 20000000 \xff\xd8\xff\xe0\x00\x10 \xff\xd9
# jpg y 20000000 \xff\xd8\xff\xe1 \xff\xd9
# jpg y 20000000 \xff\xd8 \xff\xd9
#
# PNG (used in web pages)
# (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
# png y 200000 \x50\x4e\x47? \xff\xfc\xfd\xfe
#
#---------------------------------------------------------------------
# ADOBE PDF (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
#---------------------------------------------------------------------
#
# pdf y 5000000 %PDF- %EOF
#
#---------------------------------------------------------------------
# (NOTE THIS FORMAT HAS BUILTIN EXTRACTION FUNCTION)
# zip y 10000000 PK\x03\x04 \x3c\xac
#---------------------------------------------------------------------

Recuperar nuestros archivos con Foremost

ファイルをリカバリします。 何よりも 本当に簡単です。, 我々 は、希望のオプションでそれをちょうど実行する必要があります。; 私は私が分野を説明し.

v 詳細モードを有効にします。, para que foremost muestre mas información del proceso mientras lo está llevando a cabo.

t indica el tipo de archivo a recuperar.

T データのリカバリ、ディレクトリの名前に日付を追加します。, 起動するたびに、我々 はないディレクトリ名を変更する必要がありますので 何よりも.

indica el nombre de la partición de donde queremos recuperar los archivos.

o ディレクトリを示します 何よりも 回復されたファイルを保存します。.

ES 強くお勧めします ojear el manual para despejar cualquier duda al respecto.

usuario@maquina:~$ man foremost

何よりも 多くの異なるフォーマットをサポートしています, 1 つずつ操作を繰り返す我々 は引数ですべての利用可能なフォーマットを取得することを示すつもり all オプションの -t; それは可能なので後半ほとんどです。, 作業を終了しているが、, コーヒーまたはその期間中に他のタスクを実行するに行くつもり.

usuario@maquina:~$ sudo foremost -v -T -t all -i /dev/sdb1 -o /home/usuario/Escritorio/recuperado

[sudo] password for usuario:
Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus
Audit File

Foremost started at Sat Dec 27 12:13:03 2014
Invocation: foremost -v -T -t all /dev/sdb1 -o /home/usuario/Escritorio/recuperado
Output directory: /home/usuario/Escritorio/recuperado
Configuration file: /etc/foremost.conf
Processing: /dev/sdb1
|------------------------------------------------------------------|
File: /dev/sdb1
Start: Sat Dec 27 12:13:03 2014
Length: 7 GB (8010072064 bytes)
 
Num Name (bs=512) Size File Offset Comment 

*0: 00266344.png 74 KB 136368128 (297 x 222)
1: 00267240.png 2 MB 136826880 (2176 x 1915)
2: 00275456.png 22 KB 141033603 (181 x 256)
3: 00275520.png 21 KB 141066371 (181 x 256)
4: 00275664.png 87 KB 141139968 (1157 x 654)
5: 00275840.png 297 KB 141230080 (1023 x 635)
6: 00276480.png 255 KB 141557760 (1021 x 588)
7: 00276992.png 21 KB 141819904 (912 x 553)
8: 00277040.png 106 KB 141844480 (1308 x 701)
9: 00277256.png 10 KB 141955072 (797 x 114)
10: 00277280.png 49 KB 141967360 (519 x 485)
11: 00285584.png 21 KB 146219139 (181 x 256)

*********************************************************************
*********************************************************************
2869: 02437564.dll 51 KB 1248032768 10/20/2010 13:24:41
2870: 02437679.dll 79 KB 1248091648 10/20/2010 13:24:50
2871: 02437850.dll 68 KB 1248179200 10/20/2010 13:24:41
2872: 02438005.dll 358 KB 1248258560 02/24/2011 04:00:44
2873: 02438756.dll 51 KB 1248643072 10/20/2010 13:24:41
2874: 02438872.dll 79 KB 1248702464 10/20/2010 13:24:50
2875: 02439043.dll 68 KB 1248790016 10/20/2010 13:24:41
2876: 02439199.dll 358 KB 1248869888 02/24/2011 04:00:44 
|********************************************************************|

Finish: Sat Dec 27 13:09:06 2014

2974 FILES EXTRACTED

gif:= 347 
jpg:= 483
png:= 922
avi:= 119
pdf:= 278
zip:= 2
exe:= 132
dll:= 691
------------------------------------------------------------------ 

La recuperación ha tardado poco menos de una hora, これは、パーティションのサイズによって異なりますが, 取得する形式の量, タスクを実施チーム; ファイルの一覧を短縮しています。, 彼らはされているので 以上 2900 archivos recuperados en diferentes formatos, デートの日付 1998 hasta ahora.

Quiero recalcar que el pendrive 私はそれを買った 2013, その他のデータは、クリスマス プレゼントをする必要がありますので、 Sr. キングストン; 私は非-感謝します。, 私はそれらを削除するつもり.

srkingston

氏. キングストン.

一度アプリケーションがそのタスクを完了します。, 呼ばれているディレクトリに行きます “回復“, 中で各形式に関連付けられたフォルダーを見つけると; その中には回収されているファイルです。, pero antes debemos cambiar los permisos para poder acceder a estos directorios.

usuario@maquina:~$ sudo chown usuario -R /home/usuario/Escritorio/recuperado_DíaSemana_Mes_DíaMes_Hora_Minuto_Segundo_Año

今我々 はすでにファイルが格納されているディレクトリにアクセスできます。; それらの一つ一つが正常に回復されました。, 例として、ファイルを含むフォルダーの中見てみましょう PDF 回復.

回復された PDF ファイル.

私を従うことができますあなたのようなかどうか Twitter, Facebook, Google +, LinkedIn, この文書の下のボタンと共有したり, ご質問がある場合は提案がコメントすることを躊躇しないでください。.

多くの読者に到達するために役立つ Share on LinkedInShare on FacebookTweet about this on TwitterShare on Google+Email this to someone

メッセージを残してください