컴퓨터 법의학 – 최고와 함께 조각 파일 파일 복구

컴퓨터 법의학 내가 사랑 하는 분야 중 하나입니다., 그리고이 지점에 블로그에서 얘기 하지는 컴퓨터 보안 그것은 가치가 어떻게; 그래서 오늘 우리가 보는 거 야 삭제 된 파일을 복구 하는 방법 기술 파일 조각 사용 하 여 제일.

foremostt

이 작업 수행에 많은 더 많은 애플 리 케이 션 사실 이다, 하지만이 도구와 메스 내가 좋아하는 것 들, 그리고 때 실수로 나 삭제를 해야 하지 일단 사용 되; 2 탈모 증의 가능성의 비율을 낮출 도움이, 또는 이른 나이에 심장 발작.

다음 연습에 대 한, 플래시 드라이브 필요 합니다., 그리고 일부 다른 형식의 파일.

형식

우리가이 플래시 드라이브와 함께, 그것은 다른 저장 미디어에 같은 방식으로 그렇게 할 것 이다; 유일한 차이점은 당신이 하드 드라이브에 그것을 할, 우리는 우리의 데스크톱 PC를 열어야 합니다.; 포트를 데 eSata; 나는 USB 호스트 컨트롤러 에 대 한 IDE/PATA/SATA.

conexionesdiscos

컨트롤러 옵션을 선호, 하드 드라이브의 모든 종류와 함께 작동 하도록 우리를 수 있기 때문; 여부 그들은 새로운 또는 오래 된, 의 2,5″ 또는 3,5″, 그것은 매우 경제적이 특정 모델 두 개의 디스크에까지 수를 동시에.

디스크 컨트롤러

멀티 디스크 컨트롤러.

파일

이전에 댓글을 달았습니다., 일부 파일을 복구할 필요 합니다., 내는 pendrive에 복사 했습니다..

우리의 저장 지원의 내용.

필수 패키지

우리는이 연습을 수행 해야 제일, 그래서 보자이 소프트웨어에 대 한 패키지를 설치 해야 합니다, 다행히, 그것은 공식 저장소에서 사용할 수, 그래서 우리는 도구를 사용 해야 합니다. apt.

usuario@maquina:~$ sudo apt-get install foremost

콘텐츠 삭제

첫 번째 우리의 파일을 삭제 하자, 이렇게 하려면 우리는 명령을 사용 하 여 RM 인수 -r 재귀 삭제를 확인 하 고 -f 강제로 삭제; 마지막으로 대상으로 선택 * 즉, 우리는 우리의 pendrive 또는 하드 디스크 내부에 있는 모든 파일을 삭제 하 당신을 알릴 것 이다.

#Nos movemos al directorio donde se ha montado nuestro soporte de almacenamiento.
usuario@maquina:~$ cd /media/ruta-del-disco

#Borramos todo el contenido.
usuario@maquina:~$ sudo rm -rf *

#Listamos el contenido para comprobar que ya no queda nada.
usuario@maquina:~$ ls
usuario@maquina:~$

그것은 최고, 내부적으로 어떻게 작동

무엇 보다도 법의학 도구 그것은 아메리카 합중국의 군대의 공기 힘의 특별 한 수사 부에 의해 처음 개발 된 파일을 복구 하기 위한 도구.

우리는 계속 해야 합니다 마음에서 그 파일을 삭제 하는 경우, 우리가 할 유일한 것은 사용자의 관점에서 그것을 숨기기, 자유롭게 표시는 클러스터 차지 하는; 희망 공간 필요에, 다음으로 그것을 덮어합니다.

복구 파일의 당신의 방식은 매우 간단 이해, 그것은 무엇입니까 그것은 디스크 파일의 구조에 의해 인식 하는 헤더 그리고는 바닥글 형식 16 진수 각 파일 형식, 이 이후 그들은 일반.

우리의 마음에 드는 최초 구성

구성 하려면 제일 사용자 지정 방법, 구성 파일을 편집 당신은 /etc/foremost.conf 검색 하고자 하는 파일 형식에 주석 처리를 제거 하 고; 이 필요 하지 않습니다., 모든 형식에 대해 기본적으로 제공 하는 설정, 하지만 우리가 변경할 수 있는 헤더 그리고는 바닥글 만약 우리가 원하는 16 진수, e 다른 파일 형식 추가.

usuario@maquina:~$ sudo nano /etc/foremost.conf

다음 볼 수 있습니다. 콘텐츠의 일부의 샘플 구성 파일, 에 선이 우리는 복구 형식으로 참조 하는 콘크리트; 변경 하려면 몇 가지 매개 변수만 해야 주석 원하는 확장자와 관련 된 선, 마지막으로 그 값을 변경 하려면.

#---------------------------------------------------------------------
# GIF and JPG files (very common)
# (NOTE THESE FORMATS HAVE BUILTIN EXTRACTION FUNCTION)
# gif y 155000000 \x47\x49\x46\x38\x37\x61 \x00\x3b
# gif y 155000000 \x47\x49\x46\x38\x39\x61 \x00\x00\x3b
# jpg y 20000000 \xff\xd8\xff\xe0\x00\x10 \xff\xd9
# jpg y 20000000 \xff\xd8\xff\xe1 \xff\xd9
# jpg y 20000000 \xff\xd8 \xff\xd9
#
# PNG (used in web pages)
# (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
# png y 200000 \x50\x4e\x47? \xff\xfc\xfd\xfe
#
#---------------------------------------------------------------------
# ADOBE PDF (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
#---------------------------------------------------------------------
#
# pdf y 5000000 %PDF- %EOF
#
#---------------------------------------------------------------------
# (NOTE THIS FORMAT HAS BUILTIN EXTRACTION FUNCTION)
# zip y 10000000 PK\x03\x04 \x3c\xac
#---------------------------------------------------------------------

최고와 함께 우리의 파일을 복구

파일을 복구 제일 정말 쉽습니다., 우리 그냥 원하는 옵션으로 그것을 실행 해야; 나는 그때 내가 선택한 설명.

v 자세한 정보 표시 모드를 활성화, 밖으로 그것을 복용 하는 동안 더 많은 과정 정보는 최초 디스플레이.

t 검색 하는 파일의 유형을 나타냅니다..

T 데이터는 복구할 수 디렉터리의 이름에 날짜를 추가, 시작할 때마다 디렉터리 이름을 변경 하지 해야 합니다 그래서 제일.

파일을 복구할 파티션의 이름을 나타냅니다..

o 우리가 어디를 원하는 디렉터리를 나타냅니다. 제일 복구 된 파일 저장.

ES 적극 추천 설명서에 대 한 모든 의심을 취소를 클릭 하 여 검색.

usuario@maquina:~$ man foremost

제일 다양 한 포맷을 지원, 그리고 하나 하나 작업을 반복 하지 않기로 우리 검색 모든 사용할 수 있는 형식 인수를 나타내는 거 야 모든 옵션에 대 한 -t; 그것은 가능한 너무 늦게 대부분, 우리는 작업 종료 하려고 하지만, 그리고 우리는 커피에 대 한 또는 그 기간 동안 다른 작업을 수행 하려면 갈 것입니다..

usuario@maquina:~$ sudo foremost -v -T -t all -i /dev/sdb1 -o /home/usuario/Escritorio/recuperado

[sudo] password for usuario:
Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus
Audit File

Foremost started at Sat Dec 27 12:13:03 2014
Invocation: foremost -v -T -t all /dev/sdb1 -o /home/usuario/Escritorio/recuperado
Output directory: /home/usuario/Escritorio/recuperado
Configuration file: /etc/foremost.conf
Processing: /dev/sdb1
|------------------------------------------------------------------|
File: /dev/sdb1
Start: Sat Dec 27 12:13:03 2014
Length: 7 GB (8010072064 bytes)
 
Num Name (bs=512) Size File Offset Comment 

*0: 00266344.png 74 KB 136368128 (297 x 222)
1: 00267240.png 2 MB 136826880 (2176 x 1915)
2: 00275456.png 22 KB 141033603 (181 x 256)
3: 00275520.png 21 KB 141066371 (181 x 256)
4: 00275664.png 87 KB 141139968 (1157 x 654)
5: 00275840.png 297 KB 141230080 (1023 x 635)
6: 00276480.png 255 KB 141557760 (1021 x 588)
7: 00276992.png 21 KB 141819904 (912 x 553)
8: 00277040.png 106 KB 141844480 (1308 x 701)
9: 00277256.png 10 KB 141955072 (797 x 114)
10: 00277280.png 49 KB 141967360 (519 x 485)
11: 00285584.png 21 KB 146219139 (181 x 256)

*********************************************************************
*********************************************************************
2869: 02437564.dll 51 KB 1248032768 10/20/2010 13:24:41
2870: 02437679.dll 79 KB 1248091648 10/20/2010 13:24:50
2871: 02437850.dll 68 KB 1248179200 10/20/2010 13:24:41
2872: 02438005.dll 358 KB 1248258560 02/24/2011 04:00:44
2873: 02438756.dll 51 KB 1248643072 10/20/2010 13:24:41
2874: 02438872.dll 79 KB 1248702464 10/20/2010 13:24:50
2875: 02439043.dll 68 KB 1248790016 10/20/2010 13:24:41
2876: 02439199.dll 358 KB 1248869888 02/24/2011 04:00:44 
|********************************************************************|

Finish: Sat Dec 27 13:09:06 2014

2974 FILES EXTRACTED

gif:= 347 
jpg:= 483
png:= 922
avi:= 119
pdf:= 278
zip:= 2
exe:= 132
dll:= 691
------------------------------------------------------------------ 

복구 좀 한 시간 촬영 했다, 비록이 파티션 크기에 따라 달라 집니다, 검색할 형식의 금액, 그리고는 우리가 작업을 수행 하는 팀; 난 파일의 목록을 단축 있다, 그들은 이후 되었습니다. 이상 2900 다른 형식의 파일, 그리고 날짜에서 데이트 1998 지금까지.

나는 강조 하 고 싶은 pendrive 내가 그것을 구입 2013, 그래서 다른 데이터의 크리스마스 선물을 해야 합니다 SR. 킹스턴; 하지만 비-감사 하 게 될, 내가 그들을 삭제 하 겠.

srkingston

미스터. 킹스턴.

응용 프로그램의 작업을 완료 되 면, 우리는 호출 된 디렉토리에 갈 것 이다 “복구“, 내부 각 형식와 연결 된 폴더를 찾을 수 있습니다.; 그들 가운데는 복구 된 파일, 그러나 이러한 디렉터리에 액세스할 수 있는 권한을 변경 해야 하기 전에.

usuario@maquina:~$ sudo chown usuario -R /home/usuario/Escritorio/recuperado_DíaSemana_Mes_DíaMes_Hora_Minuto_Segundo_Año

지금 우리가 이미 당신의 파일이 포함 된 디렉터리에 액세스할 수 있습니다.; 그들의 각 하나를 성공적으로 복구 되었지만, 예를 들어 파일을 포함 하는 폴더 안에 살펴보겠습니다 PDF 복구.

복구 된 PDF 파일.

당신 처럼 당신이 나를 따라 수 지 저 귀 다, 페이 스 북, 구글 +, 링크 드 인, 이 발행물에서 버튼으로 공유 또는, 만약 당신이 어떠한 질문이 나 제안 하시기 바랍니다 주저 하지 말고 의견.

더 많은 독자를 도달 하는 데 도움이 Share on LinkedInShare on FacebookTweet about this on TwitterShare on Google+Email this to someone

응답을 남기다