Forensik komputer – Memulihkan fail dengan fail ukiran dengan Foremost

Dalam forensik komputer Ia merupakan salah satu disiplin yang saya suka, dan telah tidak bercakap di blog pada Cawangan ini yang keselamatan komputer bagaimana ia layak; Jadi hari ini kita akan lihat Bagaimana untuk mendapatkan kembali fail yang dipadam dengan teknik ukiran fail menggunakan Terkemuka.

foremostt

Adalah benar bahawa terdapat banyak aplikasi yang lebih banyak untuk menjalankan tugas ini, tapi alat ini dan Pisau bedah orang-orang yang saya suka, dan yang saya digunakan ketika sebaik sahaja oleh saya telah memadam kesilapan yang tidak seharusnya; kedua-dua telah membantu saya untuk mengurangkan peratusan kebarangkalian alopecia, atau serangan jantung pada usia awal.

Bagi amalan berikut, Kami memerlukan pemacu kilat, dan Sesetengah fail dalam format yang berbeza.

format

Apa yang kita lakukan dengan menggunakan pemacu kilat ini, Ia akan melakukannya dengan cara yang sama di mana-mana media storan yang lain; satu-satunya perbezaan adalah bahawa anda untuk melakukannya pada cakera keras, Kita mesti Buka PC desktop kami; mempunyai sebuah pelabuhan eSata; atau mempunyai suatu Pengawal hos USB bagi IDE/PATA/SATA.

conexionesdiscos

Saya lebih suka pilihan pengawal, Kerana hal itu memungkinkan kita untuk bekerja dengan semua jenis cakera keras; sama ada mereka yang baru atau lama, daripada 2,5″ atau 3,5″, Ianya sangat menjimatkan dan model tertentu ini Sehingga dua cakera boleh anda pada masa yang sama.

Pengawal cakera

Pengawal cakera berbilang.

Fail-fail

Seperti yang pernah mengulas, Kami memerlukan beberapa fail untuk memulihkan, Saya telah Salin lombong di flashdisk yang.

Kandungan sokongan Menyimpan.

Pakej-pakej yang diperlukan

Kita perlu menjalankan amalan ini Terkemuka, Jadi mari kita lihat pakej mesti dipasang supaya perisian ini, Mujurlah, ia boleh didapati di pracetak rasmi yang, Jadi kita hanya perlu menggunakan alat apt.

usuario@maquina:~$ sudo apt-get install foremost

Menghapuskan kandungan

Pertama Mari kita memadam fail, dan untuk melakukannya kita akan gunakan perintah RM dengan hujah -r untuk membuat recursive penghapusan dan -f untuk memaksa penghapusan; Akhirnya sebagai sasaran Pilih * iaitu, Kami akan memberitahu anda yang menghapuskan semua fail di dalam cakera keras atau flashdisk kami.

#Nos movemos al directorio donde se ha montado nuestro soporte de almacenamiento.
usuario@maquina:~$ cd /media/ruta-del-disco

#Borramos todo el contenido.
usuario@maquina:~$ sudo rm -rf *

#Listamos el contenido para comprobar que ya no queda nada.
usuario@maquina:~$ ls
usuario@maquina:~$

Ianya Foremost, dan bagaimana ia berfungsi secara dalaman

Alat utama forensik Ia merupakan satu alat untuk memulihkan fail yang pada asalnya dibangunkan oleh Jabatan siasatan khas tentera udara tentera Amerika Syarikat.

Kita mesti kekalkan di fikiran bahawa apabila anda menghapuskan sesebuah fail, satu-satunya perkara yang kita lakukan adalah menyembunyikannya memandangkan pengguna, menandakan percuma di Kluster diduduki oleh pihak; dengan harapan bahawa ruang adalah diperlukan, oleh itu menggantikannya.

Memahami cara anda memulihkan fail agak mudah, apa yang ia lakukan adalah mengambil cakera yang cuba untuk mengenal pasti fail-fail dengan struktur yang header dan pembawah dalam format perenambelasan setiap jenis fail, Sejak ini merekalah yang generik.

Konfigurasi Foremost sesuai dengan keinginan kita

Untuk menatarajah Terkemuka secara adat, anda hanya perlu mengedit fail konfigurasi /etc/Foremost.conf dan tanda komentar format fail yang anda ingin Cari; Adakah Hal ini tidak perlu, menawarkan suasana yang secara lalai untuk semua format, tetapi kita boleh mengubah di pengepala dan footer Nombor perenambelasan jika kami, e Malah Tambah jenis fail yang lain.

usuario@maquina:~$ sudo nano /etc/foremost.conf

Kemudian anda boleh melihat yang contoh sebahagian daripada kandungan fail konfigurasi, dalam konkrit garis-garis yang merujuk kepada format yang kita akan pulih; Jika kami ingin menukar beberapa parameter hanya perlu tanda komentar baris yang dikaitkan dengan sambungan dikehendaki, untuk akhirnya menukar nilai-nilai tersebut.

#---------------------------------------------------------------------
# GIF and JPG files (very common)
# (NOTE THESE FORMATS HAVE BUILTIN EXTRACTION FUNCTION)
# gif y 155000000 \x47\x49\x46\x38\x37\x61 \x00\x3b
# gif y 155000000 \x47\x49\x46\x38\x39\x61 \x00\x00\x3b
# jpg y 20000000 \xff\xd8\xff\xe0\x00\x10 \xff\xd9
# jpg y 20000000 \xff\xd8\xff\xe1 \xff\xd9
# jpg y 20000000 \xff\xd8 \xff\xd9
#
# PNG (used in web pages)
# (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
# png y 200000 \x50\x4e\x47? \xff\xfc\xfd\xfe
#
#---------------------------------------------------------------------
# ADOBE PDF (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
#---------------------------------------------------------------------
#
# pdf y 5000000 %PDF- %EOF
#
#---------------------------------------------------------------------
# (NOTE THIS FORMAT HAS BUILTIN EXTRACTION FUNCTION)
# zip y 10000000 PK\x03\x04 \x3c\xac
#---------------------------------------------------------------------

Memulihkan fail kami dengan Foremost

Memulihkan fail dengan Terkemuka benar-benar mudah, Kita hanya perlu jalankan ia dengan opsyen dikehendaki; Saya akan menerangkan bahawa saya telah memilih.

v membolehkan mod banyak cakap, paparan utama maklumat proses lanjutan adalah semasa mengambil.

t menunjukkan jenis fail untuk mendapatkan.

T Tambah tarikh nama direktori di mana data akan diperolehi, Jadi kita tidak perlu menukar nama direktori apabila anda melancarkan terkemuka.

Saya menunjukkan nama petak di mana awda ingin memulihkan fail.

o Direktori di mana kita mahu menunjukkan terkemuka Simpan semula fail.

ES amat disyorkan Lihat senarai manual untuk menjelaskan apa-apa keraguan tentang.

usuario@maquina:~$ man foremost

Terkemuka menyokong pelbagai format yang berbeza, dan untuk tidak ulangi operasi ini satu demi satu kita akan nyatakan untuk mendapatkan semua format disediakan dengan hujah Semua untuk pilihan -t; Ianya mungkin kebanyakan jadi lewat, tetapi kita akan berhenti bekerja, dan kita akan pergi untuk minum kopi atau untuk melaksanakan tugas-tugas lain dalam tempoh masa yang.

usuario@maquina:~$ sudo foremost -v -T -t all -i /dev/sdb1 -o /home/usuario/Escritorio/recuperado

[sudo] password for usuario:
Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus
Audit File

Foremost started at Sat Dec 27 12:13:03 2014
Invocation: foremost -v -T -t all /dev/sdb1 -o /home/usuario/Escritorio/recuperado
Output directory: /home/usuario/Escritorio/recuperado
Configuration file: /etc/foremost.conf
Processing: /dev/sdb1
|------------------------------------------------------------------|
File: /dev/sdb1
Start: Sat Dec 27 12:13:03 2014
Length: 7 GB (8010072064 bytes)
 
Num Name (bs=512) Size File Offset Comment 

*0: 00266344.png 74 KB 136368128 (297 x 222)
1: 00267240.png 2 MB 136826880 (2176 x 1915)
2: 00275456.png 22 KB 141033603 (181 x 256)
3: 00275520.png 21 KB 141066371 (181 x 256)
4: 00275664.png 87 KB 141139968 (1157 x 654)
5: 00275840.png 297 KB 141230080 (1023 x 635)
6: 00276480.png 255 KB 141557760 (1021 x 588)
7: 00276992.png 21 KB 141819904 (912 x 553)
8: 00277040.png 106 KB 141844480 (1308 x 701)
9: 00277256.png 10 KB 141955072 (797 x 114)
10: 00277280.png 49 KB 141967360 (519 x 485)
11: 00285584.png 21 KB 146219139 (181 x 256)

*********************************************************************
*********************************************************************
2869: 02437564.dll 51 KB 1248032768 10/20/2010 13:24:41
2870: 02437679.dll 79 KB 1248091648 10/20/2010 13:24:50
2871: 02437850.dll 68 KB 1248179200 10/20/2010 13:24:41
2872: 02438005.dll 358 KB 1248258560 02/24/2011 04:00:44
2873: 02438756.dll 51 KB 1248643072 10/20/2010 13:24:41
2874: 02438872.dll 79 KB 1248702464 10/20/2010 13:24:50
2875: 02439043.dll 68 KB 1248790016 10/20/2010 13:24:41
2876: 02439199.dll 358 KB 1248869888 02/24/2011 04:00:44 
|********************************************************************|

Finish: Sat Dec 27 13:09:06 2014

2974 FILES EXTRACTED

gif:= 347 
jpg:= 483
png:= 922
avi:= 119
pdf:= 278
zip:= 2
exe:= 132
dll:= 691
------------------------------------------------------------------ 

Pemulihan telah mengambil sedikit kurang daripada satu jam, Walaupun ini akan berbeza-beza bergantung pada saiz petak, Bilangan format untuk mendapatkan, dan pasukan yang kita menjalankan tugas; Saya telah dipendekkan senarai fail, kerana mereka telah lebih daripada 2900 fail dalam format yang berbeza, dan bermula dari tarikh 1998 Setakat ini.

Saya ingin menekankan bahawa flashdisk yang Saya membelinya 2013, Jadi data lain perlu Hadiah percutian di SR. Kingston; tetapi saya bebas-bersyukurlah, Saya mahu menghapuskannya.

srkingston

Encik. Kingston.

Sebaik sahaja permohonan tamat tanggungjawab, Kita akan pergi ke direktori yang digelar “pulih“, dan di dalam, anda akan mendapati satu folder yang berkaitan dengan format setiap; Antaranya ialah fail yang telah pulih, tetapi sebelum kita perlu mengubah kebenaran untuk mengakses direktori ini.

usuario@maquina:~$ sudo chown usuario -R /home/usuario/Escritorio/recuperado_DíaSemana_Mes_DíaMes_Hora_Minuto_Segundo_Año

Sekarang kita sudah boleh mengakses ke direktori yang mengandungi fail-fail anda; setiap seorang daripada mereka telah pulih berjaya, Mari kita lihat di dalam folder yang mengandungi fail-fail sebagai contoh PDF pulih.

Pulih fail PDF.

Jika anda mahu anda boleh Ikuti saya di Twitter, Facebook, Google +, LinkedIn, atau berkongsi dengan butang di bawah penerbitan ini, Jika anda mempunyai sebarang pertanyaan atau cadangan sila tidak teragak-agak untuk memberi komen.

Membantu kita untuk mencapai lebih banyak pembaca Share on LinkedInShare on FacebookTweet about this on TwitterShare on Google+Email this to someone

Tinggalkan Jawapan