Computer forensics – Atkurti failus iš failų drožyba su svarbiausia

Į Computer forensics Tai vienas iš dalykų, kad aš myliu, ir kalbėjo ne šią dienoraštį į kompiuterių saugumo nes ji nusipelno; Taigi, šiandien mes matysime Kaip atkurti ištrintus failus su technika failo drožyba naudojant Svarbiausia.

foremostt

Tiesa, kad yra daug daugiau programų atlikti šią užduotį, Tačiau ši priemonė ir Skalpeliu yra tie, kurie man patinka, ir kurių aš naudoti kai kartą per klaidą aš ištrynėte, neturėtų būti; du padėjo man sumažinti tikimybę alopecija procentas, ar širdies priepuolių ankstyvame amžiuje.

Tokia praktika, Mes turime "flash" atmintinę, ir kai kuriuos failus į skirtingus formatus.

formatai

Ką mes darome su šiuo "flash" atmintinę, Ji tai padarytų taip pat į kitų saugojimo laikmenų; Vienintelis skirtumas yra tai, kad jums tai kietieji diskai, Mums reikia atidaryti mūsų kompiuterio; atsižvelgdama į uostą eSata; ar turi tam USB pagrindinį valdiklįIDE/PATA/SATA.

conexionesdiscos

Aš norėčiau valdiklio parinktį, Nes jis leidžia mums dirbti su visų rūšių kietieji diskai; ar jie yra naujų ar senų, iš 2,5″ arba 3,5″, Tai gana ekonomiškas ir šis konkretus modelis iki dviejų diskų gali būti jums vienu metu.

disko valdiklis

Kontrolierius Multi-diskas.

Failai

Kaip anksčiau komentarų, Mes turime kai kurių failų atkurti, Mano nukopijavau į pendrive.

Mūsų sandėliavimo paramos kiekis.

Reikalaujama paketai

Mes turime atlikti šią praktiką Svarbiausia, todėl galime pamatyti, kad paketas turi būti įdiegta ši programinė įranga, Laimei, tai galima oficialiai saugyklas, Taigi mes tiesiog turime naudoti įrankį apt.

usuario@maquina:~$ sudo apt-get install foremost

Turinio

Pirmasis Let's ištrinti savo failus, ir tai mes naudojame komandą RM argumentuojant -r atlikti rekursinis naikinimas ir -f priversti naikinimą; Galiausiai kaip tikslinės pasirinkite * t. y., Mes informuosime jus, kad ištrina visus failus viduje mūsų pendrive arba kietajame diske.

#Nos movemos al directorio donde se ha montado nuestro soporte de almacenamiento.
usuario@maquina:~$ cd /media/ruta-del-disco

#Borramos todo el contenido.
usuario@maquina:~$ sudo rm -rf *

#Listamos el contenido para comprobar que ya no queda nada.
usuario@maquina:~$ ls
usuario@maquina:~$

Tai svarbiausia, ir kaip tai veikia šalies viduje

Svarbiausia kriminalistikos įrankis Ji yra įrankis, susigrąžinti failus iš pradžių sukurta Specialiųjų tyrimų Jungtinių Amerikos Valstijų armijos oro pajėgų departamentas.

Mes turime išlaikyti dėmesį, kad kai panaikinate failą, Vienintelis dalykas, mes galime padaryti yra paslėpti atsižvelgiant į vartotojo, ženklinimas kaip nemokamai, klasteris okupuoti,; Tikiuosi, kad plotas yra būtinas, iki to laiko jį perrašyti.

Suprasti savo kelią atkurti failus yra gana paprasta, Kas tai yra, imtis bando atpažinti failų pagal struktūrą diske, antraštės ir poraštės formatu šešioliktainį kiekvieno failo tipas, ‰Ios jie yra bendro pobūdžio.

Konfigūruoti svarbiausia mūsų sielos

Konfigūruoti Svarbiausia užsakymą taip, jums tereikia redaguoti konfigūracijos failą /etc/foremost.conf ir odkomentować failų formatus, kuriuos norite atlikti paiešką; ar Tai nėra būtina, siūlo parametrus, pagal numatytuosius nustatymus visi formatai, bet mes galime pakeisti į antraštės ir poraštės Jei mes linkime šešioliktainį, e net pridėti įvairių tipų failus.

usuario@maquina:~$ sudo nano /etc/foremost.conf

Tada jūs galite pamatyti a mėginio dalies turinys konfigūracijos failą, į betono eilučių, kurios nurodo formatus, kuriuos mes ketiname susigrąžinti; Jei mes norime pakeisti kai kurių parametrų tik turėtų odkomentować eilutei, susijusiai su kelionės pratęsimo, Galiausiai pakeisti šias vertybes.

#---------------------------------------------------------------------
# GIF and JPG files (very common)
# (NOTE THESE FORMATS HAVE BUILTIN EXTRACTION FUNCTION)
# gif y 155000000 \x47\x49\x46\x38\x37\x61 \x00\x3b
# gif y 155000000 \x47\x49\x46\x38\x39\x61 \x00\x00\x3b
# jpg y 20000000 \xff\xd8\xff\xe0\x00\x10 \xff\xd9
# jpg y 20000000 \xff\xd8\xff\xe1 \xff\xd9
# jpg y 20000000 \xff\xd8 \xff\xd9
#
# PNG (used in web pages)
# (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
# png y 200000 \x50\x4e\x47? \xff\xfc\xfd\xfe
#
#---------------------------------------------------------------------
# ADOBE PDF (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
#---------------------------------------------------------------------
#
# pdf y 5000000 %PDF- %EOF
#
#---------------------------------------------------------------------
# (NOTE THIS FORMAT HAS BUILTIN EXTRACTION FUNCTION)
# zip y 10000000 PK\x03\x04 \x3c\xac
#---------------------------------------------------------------------

Atkurti savo failus su svarbiausia

Atkurti failus su Svarbiausia yra tikrai paprasta, Mes reikia tiesiog paleisti su norimas pasirinktis; Aš paaiškinti, kad aš pasirinkau.

v įjungia daugiakalbį režimą, visų pirma ekranas daugiau proceso informacijos yra, o jį paimti.

t rodo failo nuskaityti tipą.

T Pridėti dienos pavadinimas, kur bus panaudojama duomenų katalogas, Todėl mes negalime pakeisti katalogo pavadinimą kai jums pradėti svarbiausia.

nurodo pavadinimą, skaidinį, kuriame norite atkurti failus.

o nurodo, kur mes norime katalogas svarbiausia įrašyti Atkurtus failus.

ES labai rekomenduojama Peržiūrėti išvalyti jokių abejonių apie vadovą.

usuario@maquina:~$ man foremost

Svarbiausia palaiko daug įvairių formatų, ir ne galėtų pakartoti operaciją po vieną mes ketiname rodo gauti visi galimi formatai argumentuojant Visi variantas -t; Tai įmanoma todėl pabaigoje dauguma, bet mes ruošiamės išeiti iš darbo, ir mes eiti, kavos ar kitų užduotims atlikti per tą laikotarpį.

usuario@maquina:~$ sudo foremost -v -T -t all -i /dev/sdb1 -o /home/usuario/Escritorio/recuperado

[sudo] password for usuario:
Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus
Audit File

Foremost started at Sat Dec 27 12:13:03 2014
Invocation: foremost -v -T -t all /dev/sdb1 -o /home/usuario/Escritorio/recuperado
Output directory: /home/usuario/Escritorio/recuperado
Configuration file: /etc/foremost.conf
Processing: /dev/sdb1
|------------------------------------------------------------------|
File: /dev/sdb1
Start: Sat Dec 27 12:13:03 2014
Length: 7 GB (8010072064 bytes)
 
Num Name (bs=512) Size File Offset Comment 

*0: 00266344.png 74 KB 136368128 (297 x 222)
1: 00267240.png 2 MB 136826880 (2176 x 1915)
2: 00275456.png 22 KB 141033603 (181 x 256)
3: 00275520.png 21 KB 141066371 (181 x 256)
4: 00275664.png 87 KB 141139968 (1157 x 654)
5: 00275840.png 297 KB 141230080 (1023 x 635)
6: 00276480.png 255 KB 141557760 (1021 x 588)
7: 00276992.png 21 KB 141819904 (912 x 553)
8: 00277040.png 106 KB 141844480 (1308 x 701)
9: 00277256.png 10 KB 141955072 (797 x 114)
10: 00277280.png 49 KB 141967360 (519 x 485)
11: 00285584.png 21 KB 146219139 (181 x 256)

*********************************************************************
*********************************************************************
2869: 02437564.dll 51 KB 1248032768 10/20/2010 13:24:41
2870: 02437679.dll 79 KB 1248091648 10/20/2010 13:24:50
2871: 02437850.dll 68 KB 1248179200 10/20/2010 13:24:41
2872: 02438005.dll 358 KB 1248258560 02/24/2011 04:00:44
2873: 02438756.dll 51 KB 1248643072 10/20/2010 13:24:41
2874: 02438872.dll 79 KB 1248702464 10/20/2010 13:24:50
2875: 02439043.dll 68 KB 1248790016 10/20/2010 13:24:41
2876: 02439199.dll 358 KB 1248869888 02/24/2011 04:00:44 
|********************************************************************|

Finish: Sat Dec 27 13:09:06 2014

2974 FILES EXTRACTED

gif:= 347 
jpg:= 483
png:= 922
avi:= 119
pdf:= 278
zip:= 2
exe:= 132
dll:= 691
------------------------------------------------------------------ 

Atkūrimo ėmėsi, šiek tiek mažiau nei per valandą, Nors tai gali skirtis priklausomai nuo disko dydžio, formatų gauti suma, ir komanda, su kuria mes atliekame užduotis; Aš turėti sutrumpintas failų sąrašas, kadangi jie buvo daugiau nei 2900 failus į įvairius formatus, ir su datomis nuo 1998 Iki šiol.

Noriu pabrėžti, kad pendrive Aš nusipirkau jį 2013, todėl kiti duomenys turėtų būti atostogų dovana, SR. Kingston; bet aš ne-būti nedėkingas, I 'm going to juos pašalinti.

srkingston

J.. Kingston.

Kai taikant baigia savo užduotį, Mes galėsime eiti į katalogą, kuris buvo vadinamas “atsigavo“, ir viduje jūs rasite susietas su kiekvieno formato aplanke; tarp jų yra failai, kurie buvo susigrąžinta, bet kol mes turime pakeisti teises naudotis šių katalogų.

usuario@maquina:~$ sudo chown usuario -R /home/usuario/Escritorio/recuperado_DíaSemana_Mes_DíaMes_Hora_Minuto_Segundo_Año

Dabar mes jau gali patekti į katalogą, kuriame yra jūsų failai; Kiekvienas iš jų buvo sėkmingai atsigavo, Pažvelkime viduje aplanką, kuriame yra failai, pavyzdžiui PDF atsigavo.

Atkurti PDF failai.

Jei jums patinka galite follow me on Twitter, "Facebook", Google +, LinkedIn, arba pasidalinti ja su mygtukus pagal šio leidinio, Jei turite klausimų ar pasiūlymų prašome nedvejodami komentaras.

Padėti mums pasiekti daugiau skaitytojų Share on LinkedIn
LinkedIn
Share on Facebook
"Facebook"
Tweet about this on Twitter
Twitter
Share on Google+
Google +
Email this to someone
el. paštas

"Viena mintis apie"Computer forensics – Atkurti failus iš failų drožyba su svarbiausia

palik atsakymą

Jūsų el. pašto adresas nebus skelbiamas. Privalomi laukeliai pažymėti *

*