Dators kriminālistikas – Atgūt failus, pēc faila griešanai ar Foremost

Uz Dators kriminālistikas Tā ir viena no nozarēm, ko es mīlu, un nav izteikušies par blogu par šo filiāli datoru drošība cik ir tā pelnījusi; Tātad šodien redzēsim Kā atgūt svītrots faili ar tehniku failu griešanai izmantojot Galvenais.

foremostt

Ir taisnība, ka tur ir daudz vairāk programmu, lai veiktu šo uzdevumu, bet šis rīks un Skalpelis ir tie, kas man patīk, un ko es izmanto, ja pēc tam, kad esat izdzēsis kļūda, nevajadzētu būt; abi ir palīdzējis man, lai samazinātu iespējamību alopēcija procentu, vai sirds lēkmes agrā vecumā.

Šāda prakse, Mums būs nepieciešams flash drive, un dažus failus dažādos formātos.

formātus

Ko mēs darām ar šo zibatmiņas disku, To varētu darīt tādā pašā veidā citus datu nesējus; vienīgā atšķirība ir tā, ka tev tas cietajos diskos, Mums ir jāatver mūsu desktop PC; kuru portu eSata; vai ir USB resursdatora kontrolleris par IDE/PATA/SATA.

conexionesdiscos

Es gribētu vadības risinājums, Jo tas ļauj mums strādāt ar visu veidu cieto disku; vai tie ir jauns vai vecs, no 2,5″ vai 3,5″, Tas ir diezgan ekonomiski un šo modeli pat diviem diskiem var jums tajā pašā laikā.

disku kontrolieri

Vairāku disku kontrolieris.

Faili

Kā jau iepriekš komentēja, Mums būs nepieciešams atgūt dažus failus, Es esmu kopēt raktuves pendrive.

Saturu no mūsu uzglabāšanas atbalsts.

Nepieciešamo iepakojumu

Mums ir nepieciešams, lai veiktu šo praksi Galvenais, So let's redzēt, ka pakotne ir jāinstalē šīs programmatūras, Par laimi, tas ir pieejams Oficiālajā krātuvēs, tāpēc mēs vienkārši ir izmantot rīku piemērots.

usuario@maquina:~$ sudo apt-get install foremost

Dzēšot saturu

Vispirms pieņemsim mūsu faili izdzēsti, un, lai to izdarītu, mēs izmantosim komandu RM ar argumentu -r veikt rekursīvs dzēšanu un -f lai veiktu dzēšanu piespiedu kārtā; Visbeidzot, kā mērķi, izvēlieties * ti, Mēs informēsim jūs, kas izdzēš visus failus iekšā mūsu pendrive vai cietā diska.

#Nos movemos al directorio donde se ha montado nuestro soporte de almacenamiento.
usuario@maquina:~$ cd /media/ruta-del-disco

#Borramos todo el contenido.
usuario@maquina:~$ sudo rm -rf *

#Listamos el contenido para comprobar que ya no queda nada.
usuario@maquina:~$ ls
usuario@maquina:~$

Tas ir Foremost, un kā tas darbojas iekšēji

Galvenais kriminālistikas rīks Tas ir līdzeklis, lai atgūtu failus sākotnēji izstrādājusi īpašu izmeklēšanu, Amerikas Savienoto valstu armijas gaisa spēku departamenta.

Mēs nedrīkst paturēt prātā, ka, izdzēšot failu, vienīgais, ko mēs darām ir slēpt to, ņemot vērā lietotāja, atzīmējot kā brīvs klastera apdzīvo; cerībā, ka vietas ir nepieciešams, līdz tam laikam to pārrakstīt.

Saprast jūsu veids, kā atgūt failus ir pavisam vienkārši, kas tas ir, veikt diska mēģinot atpazīt failus ar struktūru galvenes un kājenes formātā heksadecimāls katram faila tipam, Tā _ kā šīs tie ir vispārēji.

Konfigurēt Foremost mūsu patika

Lai konfigurētu Galvenais pielāgotā veidā, jums tikai ir rediģēt konfigurācijas failu /etc/Foremost.conf un uncomment failu formātiem, kurā vēlaties meklēt; vai Tas nav nepieciešams, pēc noklusējuma visi formāti piedāvā iestatījumus, bet mēs varam mainīt galvenes un kājenes Ja mēs vēlamies heksadecimālu, e pat pievienot citu failu tipi.

usuario@maquina:~$ sudo nano /etc/foremost.conf

Tad var redzēt a daļa no satura paraugu konfigurācijas fails, ar konkrētas rindas, kas attiecas uz formātiem, ko mēs gatavojamies, lai atgūtu; Ja mēs vēlējāmies, lai mainītu dažas parametru tikai būtu uncomment rindai, kura saistīta ar vēlamo paplašinājumu, beidzot mainīt šīs vērtības.

#---------------------------------------------------------------------
# GIF and JPG files (very common)
# (NOTE THESE FORMATS HAVE BUILTIN EXTRACTION FUNCTION)
# gif y 155000000 \x47\x49\x46\x38\x37\x61 \x00\x3b
# gif y 155000000 \x47\x49\x46\x38\x39\x61 \x00\x00\x3b
# jpg y 20000000 \xff\xd8\xff\xe0\x00\x10 \xff\xd9
# jpg y 20000000 \xff\xd8\xff\xe1 \xff\xd9
# jpg y 20000000 \xff\xd8 \xff\xd9
#
# PNG (used in web pages)
# (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
# png y 200000 \x50\x4e\x47? \xff\xfc\xfd\xfe
#
#---------------------------------------------------------------------
# ADOBE PDF (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
#---------------------------------------------------------------------
#
# pdf y 5000000 %PDF- %EOF
#
#---------------------------------------------------------------------
# (NOTE THIS FORMAT HAS BUILTIN EXTRACTION FUNCTION)
# zip y 10000000 PK\x03\x04 \x3c\xac
#---------------------------------------------------------------------

Atgūt mūsu failus ar Foremost

Atgūt failus ar Galvenais ir ļoti viegli, Mēs būtu palaist to ar nepieciešamās opcijas; Tad es paskaidrošu, ka esat izvēlējies.

v ļauj runīgs režīmā, galvenais displejs procesu Papildinformācija ir vienlaikus ņemot to ārā.

t norāda veidu failu, lai izgūtu.

T Pievienot datumu uz direktoriju, kur dati tiks atgūtas nosaukums, Tātad mēs nedrīkst mainīt direktorija nosaukums katru reizi, kad palaidīsit galvenais.

Es norāda nosaukuma nodalījumā, kurā vēlaties atkopt failus.

o direktoriju, kur mēs gribam norāda galvenais saglabāt atkoptos failus.

ES ļoti ieteicams Pārlūkot rokasgrāmatā noskaidrot šaubas par.

usuario@maquina:~$ man foremost

Galvenais atbalsta daudzus dažādus formātus, un nevarēs atkārtot operāciju pa vienam mēs esam gatavojas norādīt, lai izgūtu visus pieejamos formātus ar argumentu visi opcija -t; Tas ir iespējams tik vēlu lielākā, bet mēs gatavojamies beigt darbu, un ejam kafiju vai šajā laika periodā veikt citus uzdevumus.

usuario@maquina:~$ sudo foremost -v -T -t all -i /dev/sdb1 -o /home/usuario/Escritorio/recuperado

[sudo] password for usuario:
Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus
Audit File

Foremost started at Sat Dec 27 12:13:03 2014
Invocation: foremost -v -T -t all /dev/sdb1 -o /home/usuario/Escritorio/recuperado
Output directory: /home/usuario/Escritorio/recuperado
Configuration file: /etc/foremost.conf
Processing: /dev/sdb1
|------------------------------------------------------------------|
File: /dev/sdb1
Start: Sat Dec 27 12:13:03 2014
Length: 7 GB (8010072064 bytes)
 
Num Name (bs=512) Size File Offset Comment 

*0: 00266344.png 74 KB 136368128 (297 x 222)
1: 00267240.png 2 MB 136826880 (2176 x 1915)
2: 00275456.png 22 KB 141033603 (181 x 256)
3: 00275520.png 21 KB 141066371 (181 x 256)
4: 00275664.png 87 KB 141139968 (1157 x 654)
5: 00275840.png 297 KB 141230080 (1023 x 635)
6: 00276480.png 255 KB 141557760 (1021 x 588)
7: 00276992.png 21 KB 141819904 (912 x 553)
8: 00277040.png 106 KB 141844480 (1308 x 701)
9: 00277256.png 10 KB 141955072 (797 x 114)
10: 00277280.png 49 KB 141967360 (519 x 485)
11: 00285584.png 21 KB 146219139 (181 x 256)

*********************************************************************
*********************************************************************
2869: 02437564.dll 51 KB 1248032768 10/20/2010 13:24:41
2870: 02437679.dll 79 KB 1248091648 10/20/2010 13:24:50
2871: 02437850.dll 68 KB 1248179200 10/20/2010 13:24:41
2872: 02438005.dll 358 KB 1248258560 02/24/2011 04:00:44
2873: 02438756.dll 51 KB 1248643072 10/20/2010 13:24:41
2874: 02438872.dll 79 KB 1248702464 10/20/2010 13:24:50
2875: 02439043.dll 68 KB 1248790016 10/20/2010 13:24:41
2876: 02439199.dll 358 KB 1248869888 02/24/2011 04:00:44 
|********************************************************************|

Finish: Sat Dec 27 13:09:06 2014

2974 FILES EXTRACTED

gif:= 347 
jpg:= 483
png:= 922
avi:= 119
pdf:= 278
zip:= 2
exe:= 132
dll:= 691
------------------------------------------------------------------ 

Atgūšana ir veikusi nedaudz mazāk par stundu, Lai gan tas var atšķirties atkarībā no nodalījuma lielums, formātus, lai tos izgūtu apjomu, un komanda, ar kuru mēs veiktu uzdevumu; Ir saīsināts failu sarakstu, jo tie ir vairāk nekā 2900 failus dažādos formātos, un ar datumiem, skaitot no 1998 līdz šim.

Es gribu uzsvērt, ka pendrive Es nopirku to 2013, lai citiem datiem vajadzētu būt brīvdienu dāvanu SR. Kingston; bet man nav-ir nepateicīgs, Es esmu gatavojas tos dzēst.

srkingston

Mr. Kingston.

Tiklīdz pieteikums ir pabeidzis savu uzdevumu, Dodamies uz direktoriju, kas izsauca “atkopt“, un iekšā, jūs atradīsiet mapei, kas saistīta ar katru formātu; starp tiem ir tādi faili, kas ir atgūti, bet, pirms mēs nepieciešamību mainīt atļaujas, lai piekļūtu šiem sarakstiem.

usuario@maquina:~$ sudo chown usuario -R /home/usuario/Escritorio/recuperado_DíaSemana_Mes_DíaMes_Hora_Minuto_Segundo_Año

Tagad mēs jau varam piekļūt direktorijam, kura satur jūsu failus; katram no tiem ir sekmīgi atgūti, Let's apskatīt iekšpusē mapi, kurā ir faili, kā, piemēram PDF atkopt.

Atkoptie faili PDF.

Ja jums patīk jūs varat sekot mani uz Čivināt, Facebook, Google +, LinkedIn, vai dalīties tajā ar pogām zem šīs publikācijas, Ja jums ir kādi jautājumi vai ierosinājumi, lūdzu, nekautrējieties komentēt.

Palīdz mums sasniegt vairāk lasītāju Share on LinkedInShare on FacebookTweet about this on TwitterShare on Google+Email this to someone

atstāt atbildi