Computer forensics – Atkurti failus iš failų drožyba su svarbiausia

Į Computer forensics Tai vienas iš dalykų, kad aš myliu, ir kalbėjo ne šią dienoraštį į kompiuterių saugumo nes ji nusipelno; Taigi, šiandien mes matysime Kaip atkurti ištrintus failus su technika failo drožyba naudojant Svarbiausia.

foremostt

Tiesa, kad yra daug daugiau programų atlikti šią užduotį, Tačiau ši priemonė ir Skalpeliu yra tie, kurie man patinka, ir kurių aš naudoti kai kartą per klaidą aš ištrynėte, neturėtų būti; du padėjo man sumažinti tikimybę alopecija procentas, ar širdies priepuolių ankstyvame amžiuje.

Tokia praktika, Mes turime "flash" atmintinę, ir kai kuriuos failus į skirtingus formatus.

formatos

Ką mes darome su šiuo "flash" atmintinę, Ji tai padarytų taip pat į kitų saugojimo laikmenų; Vienintelis skirtumas yra tai, kad jums tai kietieji diskai, Mums reikia atidaryti mūsų kompiuterio; atsižvelgdama į uostą eSata; o disponer de una USB pagrindinį valdiklįIDE/PATA/SATA.

conexionesdiscos

Aš norėčiau valdiklio parinktį, ya que nos permite trabajar con todo tipo de discos duros; ar jie yra naujų ar senų, iš 2,5″ arba 3,5″, es bastante económica y a este modelo en concreto iki dviejų diskų gali būti jums vienu metu.

controladora discos

Kontrolierius Multi-diskas.

Failai

Kaip anksčiau komentarų, Mes turime kai kurių failų atkurti, yo he copiado los míos en un pendrive.

Mūsų sandėliavimo paramos kiekis.

Reikalaujama paketai

Para llevar a cabo esta práctica necesitamos Svarbiausia, todėl galime pamatyti, kad paketas turi būti įdiegta ši programinė įranga, Laimei, tai galima oficialiai saugyklas, Taigi mes tiesiog turime naudoti įrankį apt.

usuario@maquina:~$ sudo apt-get install foremost

Turinio

Pirmasis Let's ištrinti savo failus, ir tai mes naudojame komandą RM argumentuojant -r atlikti rekursinis naikinimas ir -f priversti naikinimą; Galiausiai kaip tikslinės pasirinkite * t. y., Mes informuosime jus, kad ištrina visus failus viduje mūsų pendrive arba kietajame diske.

#Nos movemos al directorio donde se ha montado nuestro soporte de almacenamiento.
usuario@maquina:~$ cd /media/ruta-del-disco

#Borramos todo el contenido.
usuario@maquina:~$ sudo rm -rf *

#Listamos el contenido para comprobar que ya no queda nada.
usuario@maquina:~$ ls
usuario@maquina:~$

Tai svarbiausia, ir kaip tai veikia šalies viduje

Svarbiausia kriminalistikos įrankis es una herramienta de recuperación de archivos desarrollada inicialmente por el departamento de investigaciones especiales de las fuerzas aéreas del ejército de los Estados Unidos de América.

Debemos tener en cuenta que cuando borramos un archivo, Vienintelis dalykas, mes galime padaryti yra paslėpti atsižvelgiant į vartotojo, ženklinimas kaip nemokamai, klasteris ocupados por el; Tikiuosi, kad plotas yra būtinas, iki to laiko jį perrašyti.

Suprasti savo kelią atkurti failus yra gana paprasta, ya que lo que hace es recorrer el disco tratando de reconocer los archivos por la estructura de los antraštės ir poraštės formatu šešioliktainį kiekvieno failo tipas, ‰Ios son genéricos.

Configurar Foremost a nuestro gusto

Konfigūruoti Svarbiausia užsakymą taip, solo tenemos que editar su archivo de configuración /etc/foremost.conf y descomentar los formatos de archivos que queremos buscar; ar Tai nėra būtina, ya que dispone de configuraciones por defecto para todos los formatos, bet mes galime pakeisti į antraštės ir poraštės Jei mes linkime šešioliktainį, e incluso añadir tipos de archivo distintos.

usuario@maquina:~$ sudo nano /etc/foremost.conf

Tada jūs galite pamatyti a mėginio dalies turinys del fichero de configuración, į betono eilučių, kurios nurodo formatus, kuriuos mes ketiname susigrąžinti; Jei mes norime pakeisti kai kurių parametrų tik turėtų odkomentować eilutei, susijusiai su kelionės pratęsimo, Galiausiai pakeisti šias vertybes.

#---------------------------------------------------------------------
# GIF and JPG files (very common)
# (NOTE THESE FORMATS HAVE BUILTIN EXTRACTION FUNCTION)
# gif y 155000000 \x47\x49\x46\x38\x37\x61 \x00\x3b
# gif y 155000000 \x47\x49\x46\x38\x39\x61 \x00\x00\x3b
# jpg y 20000000 \xff\xd8\xff\xe0\x00\x10 \xff\xd9
# jpg y 20000000 \xff\xd8\xff\xe1 \xff\xd9
# jpg y 20000000 \xff\xd8 \xff\xd9
#
# PNG (used in web pages)
# (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
# png y 200000 \x50\x4e\x47? \xff\xfc\xfd\xfe
#
#---------------------------------------------------------------------
# ADOBE PDF (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
#---------------------------------------------------------------------
#
# pdf y 5000000 %PDF- %EOF
#
#---------------------------------------------------------------------
# (NOTE THIS FORMAT HAS BUILTIN EXTRACTION FUNCTION)
# zip y 10000000 PK\x03\x04 \x3c\xac
#---------------------------------------------------------------------

Recuperar nuestros archivos con Foremost

Atkurti failus su Svarbiausia yra tikrai paprasta, Mes reikia tiesiog paleisti su norimas pasirinktis; Aš paaiškinti, kad aš pasirinkau.

v įjungia daugiakalbį režimą, para que foremost muestre mas información del proceso mientras lo está llevando a cabo.

t indica el tipo de archivo a recuperar.

T Pridėti dienos pavadinimas, kur bus panaudojama duomenų katalogas, Todėl mes negalime pakeisti katalogo pavadinimą kai jums pradėti svarbiausia.

indica el nombre de la partición de donde queremos recuperar los archivos.

o nurodo, kur mes norime katalogas svarbiausia įrašyti Atkurtus failus.

ES labai rekomenduojama ojear el manual para despejar cualquier duda al respecto.

usuario@maquina:~$ man foremost

Svarbiausia palaiko daug įvairių formatų, ir ne galėtų pakartoti operaciją po vieną mes ketiname rodo gauti visi galimi formatai argumentuojant all variantas -t; Tai įmanoma todėl pabaigoje dauguma, bet mes ruošiamės išeiti iš darbo, ir mes eiti, kavos ar kitų užduotims atlikti per tą laikotarpį.

usuario@maquina:~$ sudo foremost -v -T -t all -i /dev/sdb1 -o /home/usuario/Escritorio/recuperado

[sudo] password for usuario:
Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus
Audit File

Foremost started at Sat Dec 27 12:13:03 2014
Invocation: foremost -v -T -t all /dev/sdb1 -o /home/usuario/Escritorio/recuperado
Output directory: /home/usuario/Escritorio/recuperado
Configuration file: /etc/foremost.conf
Processing: /dev/sdb1
|------------------------------------------------------------------|
File: /dev/sdb1
Start: Sat Dec 27 12:13:03 2014
Length: 7 GB (8010072064 bytes)
 
Num Name (bs=512) Size File Offset Comment 

*0: 00266344.png 74 KB 136368128 (297 x 222)
1: 00267240.png 2 MB 136826880 (2176 x 1915)
2: 00275456.png 22 KB 141033603 (181 x 256)
3: 00275520.png 21 KB 141066371 (181 x 256)
4: 00275664.png 87 KB 141139968 (1157 x 654)
5: 00275840.png 297 KB 141230080 (1023 x 635)
6: 00276480.png 255 KB 141557760 (1021 x 588)
7: 00276992.png 21 KB 141819904 (912 x 553)
8: 00277040.png 106 KB 141844480 (1308 x 701)
9: 00277256.png 10 KB 141955072 (797 x 114)
10: 00277280.png 49 KB 141967360 (519 x 485)
11: 00285584.png 21 KB 146219139 (181 x 256)

*********************************************************************
*********************************************************************
2869: 02437564.dll 51 KB 1248032768 10/20/2010 13:24:41
2870: 02437679.dll 79 KB 1248091648 10/20/2010 13:24:50
2871: 02437850.dll 68 KB 1248179200 10/20/2010 13:24:41
2872: 02438005.dll 358 KB 1248258560 02/24/2011 04:00:44
2873: 02438756.dll 51 KB 1248643072 10/20/2010 13:24:41
2874: 02438872.dll 79 KB 1248702464 10/20/2010 13:24:50
2875: 02439043.dll 68 KB 1248790016 10/20/2010 13:24:41
2876: 02439199.dll 358 KB 1248869888 02/24/2011 04:00:44 
|********************************************************************|

Finish: Sat Dec 27 13:09:06 2014

2974 FILES EXTRACTED

gif:= 347 
jpg:= 483
png:= 922
avi:= 119
pdf:= 278
zip:= 2
exe:= 132
dll:= 691
------------------------------------------------------------------ 

La recuperación ha tardado poco menos de una hora, Nors tai gali skirtis priklausomai nuo disko dydžio, formatų gauti suma, ir komanda, su kuria mes atliekame užduotis; Aš turėti sutrumpintas failų sąrašas, kadangi jie buvo daugiau nei 2900 archivos recuperados en diferentes formatos, ir su datomis nuo 1998 hasta ahora.

Quiero recalcar que el pendrive Aš nusipirkau jį 2013, todėl kiti duomenys turėtų būti atostogų dovana, Sr. Kingston; bet aš ne-būti nedėkingas, I 'm going to juos pašalinti.

srkingston

J.. Kingston.

Kai taikant baigia savo užduotį, Mes galėsime eiti į katalogą, kuris buvo vadinamas “atsigavo“, ir viduje jūs rasite susietas su kiekvieno formato aplanke; tarp jų yra failai, kurie buvo susigrąžinta, pero antes debemos cambiar los permisos para poder acceder a estos directorios.

usuario@maquina:~$ sudo chown usuario -R /home/usuario/Escritorio/recuperado_DíaSemana_Mes_DíaMes_Hora_Minuto_Segundo_Año

Dabar mes jau gali patekti į katalogą, kuriame yra jūsų failai; Kiekvienas iš jų buvo sėkmingai atsigavo, Pažvelkime viduje aplanką, kuriame yra failai, pavyzdžiui PDF atsigavo.

Atkurti PDF failai.

Jei jums patinka galite follow me on Twitter, "Facebook", Google +, LinkedIn, arba pasidalinti ja su mygtukus pagal šio leidinio, Jei turite klausimų ar pasiūlymų prašome nedvejodami komentaras.

Padėti mums pasiekti daugiau skaitytojų Share on LinkedInShare on FacebookTweet about this on TwitterShare on Google+Email this to someone

palik atsakymą