コンピュータフォレンジック – 彫刻は第一とファイルによってファイルを回復します。

コンピュータフォレンジック 大好きな分野の一つです。, この枝にブログで話されていないと、 コンピューターのセキュリティ それに値する方法; だから、今日我々 がわかります 削除されたファイルを回復する方法 技術と ファイル彫刻 使用してください。 何よりも.

foremostt

このタスクを実行する多くのアプリケーションがある事実です。, このツールは、 メス 私の好きなもの, 私が使用する一度間違えて削除したことはないはず; 2 つは脱毛症の可能性の割合を低くことを助けています。, 幼い頃から心臓発作または.

次の練習のため, 我々 のフラッシュ ドライブが必要, と 別の形式でいくつかのファイル.

形式

このフラッシュ ドライブで何, 他の記憶域メディアに同じ方法でそうだろうそれ; 唯一の違いは、あなたのハード ドライブ上にそれ, 我々 は我々 のデスクトップ PC を開く必要があります。; ポートを持っていること eSata; あったり、 USB ホスト コント ローラー ため IDE/PATA/SATA.

conexionesdiscos

私はコント ローラーのオプションを好む, それはハード ドライブのすべてのタイプで動作するように私たちをことができますので; 彼らが新しいか古いか, の 2,5″ または 3,5″, かなり経済的だし、この特定のモデル 2 つのディスクに同時にあなたをすることができます。.

ディスク コント ローラー

コント ローラー複数ディスク.

ファイル

前述のコメント, いくつかのファイルを回復する必要があります。, Pendrive に鉱山をコピーしました。.

当社のストレージ ・ サポートの内容.

必要なパッケージ

この実習を行う必要があります。 何よりも, そのパッケージは、このソフトウェアのインストール必要があります見てみましょう, 幸いなことに、それは公式のリポジトリで利用可能です, だから我々 はちょうどツールを使用する必要 apt.

usuario@maquina:~$ sudo apt-get install foremost

コンテンツを削除します。

最初のファイルを消していきましょう, これを行うコマンドを使用し、 RM 引数で -r 再帰的な削除をして -f 強制的に削除; 最後にターゲットとして選択します。 * すなわち, 私たち pendrive またはハード ディスク内のすべてのファイルが削除されることをお知らせいたします.

#Nos movemos al directorio donde se ha montado nuestro soporte de almacenamiento.
usuario@maquina:~$ cd /media/ruta-del-disco

#Borramos todo el contenido.
usuario@maquina:~$ sudo rm -rf *

#Listamos el contenido para comprobar que ya no queda nada.
usuario@maquina:~$ ls
usuario@maquina:~$

それは一流, 内部のしくみと

何よりも法医学ツール それはアメリカ合衆国の軍隊の空軍の特別な調査の部門によって開発された最初のファイルを回復するためのツール.

我々 を維持する必要が念頭に置いているファイルを削除するとき, 唯一の事は、ユーザーの観点からそれを隠す, 無料マーキング、 クラスター 占め、; スペースが必要なことを期待して, それを上書きして.

ファイルの回復のあなたの方法は非常に簡単を理解します。, それは何かはの構造によってファイルを認識しようとしてディスクを取る、 ヘッダー と、 フッター 形式で 16 進数 各ファイルの種類, これらから ジェネリックであります。.

我々 の好みには第一を構成します。

構成するのには 何よりも 独自の方法で, 設定ファイルを編集する必要があるだけ /etc/foremost.conf 検索したいファイル形式のコメントを外します; 行う これは必要ではありません。, 既定ではすべてのフォーマットのための設定を提供しています, 我々 は変更することができますが、 ヘッダー と、 フッター 場合は 16 進数, e 別のファイル タイプを追加します。.

usuario@maquina:~$ sudo nano /etc/foremost.conf

あなたが見ることができるし、 内容の一部のサンプル 構成ファイル, コンクリートを回復している形式を参照する行; 変更する場合は、いくつかのパラメーターのみ必要があります行をコメントから目的の拡張子に関連付けられています。, 最後にこれらの値を変更するには.

#---------------------------------------------------------------------
# GIF and JPG files (very common)
# (NOTE THESE FORMATS HAVE BUILTIN EXTRACTION FUNCTION)
# gif y 155000000 \x47\x49\x46\x38\x37\x61 \x00\x3b
# gif y 155000000 \x47\x49\x46\x38\x39\x61 \x00\x00\x3b
# jpg y 20000000 \xff\xd8\xff\xe0\x00\x10 \xff\xd9
# jpg y 20000000 \xff\xd8\xff\xe1 \xff\xd9
# jpg y 20000000 \xff\xd8 \xff\xd9
#
# PNG (used in web pages)
# (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
# png y 200000 \x50\x4e\x47? \xff\xfc\xfd\xfe
#
#---------------------------------------------------------------------
# ADOBE PDF (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
#---------------------------------------------------------------------
#
# pdf y 5000000 %PDF- %EOF
#
#---------------------------------------------------------------------
# (NOTE THIS FORMAT HAS BUILTIN EXTRACTION FUNCTION)
# zip y 10000000 PK\x03\x04 \x3c\xac
#---------------------------------------------------------------------

第一と私たちのファイルを回復します。

ファイルをリカバリします。 何よりも 本当に簡単です。, 我々 は、希望のオプションでそれをちょうど実行する必要があります。; 私は私が分野を説明し.

v 詳細モードを有効にします。, 何よりも表示プロセスの詳細を取り出しながら.

t 取得するファイルの種類を示します.

T データのリカバリ、ディレクトリの名前に日付を追加します。, 起動するたびに、我々 はないディレクトリ名を変更する必要がありますので 何よりも.

ファイルを復元するパーティションの名前を示します.

o ディレクトリを示します 何よりも 回復されたファイルを保存します。.

ES 強くお勧めします についてどんな疑いもきれいにマニュアルを参照します。.

usuario@maquina:~$ man foremost

何よりも 多くの異なるフォーマットをサポートしています, 1 つずつ操作を繰り返す我々 は引数ですべての利用可能なフォーマットを取得することを示すつもり すべての オプションの -t; それは可能なので後半ほとんどです。, 作業を終了しているが、, コーヒーまたはその期間中に他のタスクを実行するに行くつもり.

usuario@maquina:~$ sudo foremost -v -T -t all -i /dev/sdb1 -o /home/usuario/Escritorio/recuperado

[sudo] password for usuario:
Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus
Audit File

Foremost started at Sat Dec 27 12:13:03 2014
Invocation: foremost -v -T -t all /dev/sdb1 -o /home/usuario/Escritorio/recuperado
Output directory: /home/usuario/Escritorio/recuperado
Configuration file: /etc/foremost.conf
Processing: /dev/sdb1
|------------------------------------------------------------------|
File: /dev/sdb1
Start: Sat Dec 27 12:13:03 2014
Length: 7 GB (8010072064 bytes)
 
Num Name (bs=512) Size File Offset Comment 

*0: 00266344.png 74 KB 136368128 (297 x 222)
1: 00267240.png 2 MB 136826880 (2176 x 1915)
2: 00275456.png 22 KB 141033603 (181 x 256)
3: 00275520.png 21 KB 141066371 (181 x 256)
4: 00275664.png 87 KB 141139968 (1157 x 654)
5: 00275840.png 297 KB 141230080 (1023 x 635)
6: 00276480.png 255 KB 141557760 (1021 x 588)
7: 00276992.png 21 KB 141819904 (912 x 553)
8: 00277040.png 106 KB 141844480 (1308 x 701)
9: 00277256.png 10 KB 141955072 (797 x 114)
10: 00277280.png 49 KB 141967360 (519 x 485)
11: 00285584.png 21 KB 146219139 (181 x 256)

*********************************************************************
*********************************************************************
2869: 02437564.dll 51 KB 1248032768 10/20/2010 13:24:41
2870: 02437679.dll 79 KB 1248091648 10/20/2010 13:24:50
2871: 02437850.dll 68 KB 1248179200 10/20/2010 13:24:41
2872: 02438005.dll 358 KB 1248258560 02/24/2011 04:00:44
2873: 02438756.dll 51 KB 1248643072 10/20/2010 13:24:41
2874: 02438872.dll 79 KB 1248702464 10/20/2010 13:24:50
2875: 02439043.dll 68 KB 1248790016 10/20/2010 13:24:41
2876: 02439199.dll 358 KB 1248869888 02/24/2011 04:00:44 
|********************************************************************|

Finish: Sat Dec 27 13:09:06 2014

2974 FILES EXTRACTED

gif:= 347 
jpg:= 483
png:= 922
avi:= 119
pdf:= 278
zip:= 2
exe:= 132
dll:= 691
------------------------------------------------------------------ 

回復はほとんど 1 時間未満を撮影します。, これは、パーティションのサイズによって異なりますが, 取得する形式の量, タスクを実施チーム; ファイルの一覧を短縮しています。, 彼らはされているので 以上 2900 異なる形式でファイル, デートの日付 1998 これまでは.

強調したい、pendrive 私はそれを買った 2013, その他のデータは、クリスマス プレゼントをする必要がありますので、 SR. キングストン; 私は非-感謝します。, 私はそれらを削除するつもり.

srkingston

氏. キングストン.

一度アプリケーションがそのタスクを完了します。, 呼ばれているディレクトリに行きます “回復“, 中で各形式に関連付けられたフォルダーを見つけると; その中には回収されているファイルです。, しかし、我々 はこれらのディレクトリにアクセスするためのアクセス許可を変更する必要があります前に.

usuario@maquina:~$ sudo chown usuario -R /home/usuario/Escritorio/recuperado_DíaSemana_Mes_DíaMes_Hora_Minuto_Segundo_Año

今我々 はすでにファイルが格納されているディレクトリにアクセスできます。; それらの一つ一つが正常に回復されました。, 例として、ファイルを含むフォルダーの中見てみましょう PDF 回復.

回復された PDF ファイル.

私を従うことができますあなたのようなかどうか Twitter, Facebook, Google +, LinkedIn, この文書の下のボタンと共有したり, ご質問がある場合は提案がコメントすることを躊躇しないでください。.

多くの読者に到達するために役立つ Share on LinkedInShare on FacebookTweet about this on TwitterShare on Google+Email this to someone

「1 つの思想」コンピュータフォレンジック – 彫刻は第一とファイルによってファイルを回復します。

メッセージを残してください