Forensische informatica – Herstellen van de bestanden door bestand snijwerk met voorbijstrevenden

De Forensische informatica Het is één van de disciplines die ik liefheb, en hebben niet gesproken over de blog op deze tak van de computerbeveiliging hoe het verdient; Dus vandaag zullen we zien Hoe te herstellen verwijderde bestanden met de techniek van bestand snijwerk met behulp van Foremost.

foremostt

Is waar dat er veel meer toepassingen voor het uitvoeren van deze taak, maar dit hulpmiddel en Scalpel zijn degenen die ik graag, en die ik gebruikt wanneer eenmaal per ongeluk die ik heb geschrapt dat niet moet; de twee hebben me geholpen om te lager het percentage van de waarschijnlijkheid van alopecia, of hartaanvallen op een vroege leeftijd.

Voor de volgende oefening, Zullen we een flash drive, en Sommige bestanden in verschillende formaten.

formaten

Wat we doen met deze flash drive, Het zou doen op dezelfde manier in een ander opslagmedium; het enige verschil is dat u te doen op harde schijven, Wij moeten onze desktop-PC openen; hebben van een poort eSata; of hebben een USB-hostcontroller voor IDE/PATA/SATA.

conexionesdiscos

Ik verkies de optie controller, Omdat het ons toelaat te werken met alle soorten harde schijven; of zij nieuw of oud zijn, van 2,5″ of 3,5″, Het is heel zuinig en dit model maximaal twee schijven kunnen worden u op hetzelfde moment.

schijfcontroller

Controller multi-disk.

Bestanden

Zoals eerder besproken, Zullen we sommige bestanden te herstellen, Ik heb hebt mijne gekopieerd in een pendrive.

Inhoud van onze opslagondersteuning.

Benodigde pakketten

We moeten deze praktijk verrichten Foremost, Dus laten we zien dat pakket voor deze software moet worden geïnstalleerd, Gelukkig is het beschikbaar in de officiële repositories, dus we zullen gewoon moeten om de tool te gebruiken apt.

usuario@maquina:~$ sudo apt-get install foremost

Verwijderen van inhoud

Eerste laten we onze bestanden wissen, en om dit te doen zullen wij de opdracht RM met het argument -r om recursief te schrappen en -f te dwingen de verwijdering; Tot slot als doel selecteren * dat wil zeggen, Wij informeren u dat alle bestanden binnen onze pendrive of harde schijf verwijdert.

#Nos movemos al directorio donde se ha montado nuestro soporte de almacenamiento.
usuario@maquina:~$ cd /media/ruta-del-disco

#Borramos todo el contenido.
usuario@maquina:~$ sudo rm -rf *

#Listamos el contenido para comprobar que ya no queda nada.
usuario@maquina:~$ ls
usuario@maquina:~$

Het is voorbijstrevenden, en hoe werkt het intern

Vooral gerechtelijk hulpmiddel Het is een tool voor het herstellen van bestanden die oorspronkelijk is ontwikkeld door de Vakgroep speciale onderzoek van de luchtmacht van het leger van de Verenigde Staten van Amerika.

Moeten we in gedachten dat als u een bestand verwijdert, het enige wat dat we doen is het met het oog op de gebruiker te verbergen, markering als gratis de cluster bezet door de; in de hoop dat er ruimte nodig is, tegen die tijd overschrijven.

Begrijpen uw manier van het herstellen van bestanden is heel simpel, wat het doet is neemt de schijf probeert te herkennen van bestanden door de structuur van de headers en de voetteksten in opmaak hexadecimale elk bestandstype, Sinds deze ze zijn algemeen.

Voorbijstrevenden naar onze wens configureren

Configureren Foremost op een aangepaste manier, u moet slechts uw configuratiebestand bewerken /etc/foremost.conf en uncomment de bestandsindelingen die u wilt zoeken; doen Dit is niet nodig, instellingen biedt standaard voor alle formaten, maar we kunnen veranderen de koptekst en de voettekst hexadecimaal als wij wensen, e zelfs verschillende bestandstypen toevoegen.

usuario@maquina:~$ sudo nano /etc/foremost.conf

Vervolgens kunt u een voorbeeld van een deel van de inhoud het configuratiebestand, in concrete regels verwijdert die verwijzen naar de formaten die wij gaan herstellen; Als we wilden wijzigen moet enkele parameter alleen uncomment de lijn de gewenste extensie is gekoppeld., tot slot deze waarden wijzigen.

#---------------------------------------------------------------------
# GIF and JPG files (very common)
# (NOTE THESE FORMATS HAVE BUILTIN EXTRACTION FUNCTION)
# gif y 155000000 \x47\x49\x46\x38\x37\x61 \x00\x3b
# gif y 155000000 \x47\x49\x46\x38\x39\x61 \x00\x00\x3b
# jpg y 20000000 \xff\xd8\xff\xe0\x00\x10 \xff\xd9
# jpg y 20000000 \xff\xd8\xff\xe1 \xff\xd9
# jpg y 20000000 \xff\xd8 \xff\xd9
#
# PNG (used in web pages)
# (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
# png y 200000 \x50\x4e\x47? \xff\xfc\xfd\xfe
#
#---------------------------------------------------------------------
# ADOBE PDF (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
#---------------------------------------------------------------------
#
# pdf y 5000000 %PDF- %EOF
#
#---------------------------------------------------------------------
# (NOTE THIS FORMAT HAS BUILTIN EXTRACTION FUNCTION)
# zip y 10000000 PK\x03\x04 \x3c\xac
#---------------------------------------------------------------------

Herstellen van onze bestanden met voorbijstrevenden

Verhaal halen archief van Foremost is echt makkelijk, We moeten alleen draaien met de gewenste opties; Ik zal dan uitleggen dat ik heb gekozen.

v wordt de uitgebreide modus, vooral display meer procesinformatie is terwijl het nemen van het uit.

t geeft het type bestand dat u wilt ophalen.

T De datum toevoegen aan de naam van de map waar de gegevens zullen worden teruggekregen, dus we niet de naam van de directory veranderen moeten wanneer u start foremost.

Ik geeft de naam van de partitie waar u wilt herstellen van bestanden.

o geeft de directory waar we willen foremost opslaan van de herstelde bestanden.

ES sterk aanbevolen De handleiding om duidelijk aangeven welke twijfel over bladeren.

usuario@maquina:~$ man foremost

Foremost ondersteunt vele verschillende formaten, en we gaan niet te herhalen de werking één voor één om aan te geven om op te halen van alle beschikbare indelingen met het argument alle voor de optie -t; Het is mogelijk zo laat meeste, maar we gaan stoppen met werken, en we gaan voor een kopje koffie of voor het uitvoeren van andere taken in die periode.

usuario@maquina:~$ sudo foremost -v -T -t all -i /dev/sdb1 -o /home/usuario/Escritorio/recuperado

[sudo] password for usuario:
Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus
Audit File

Foremost started at Sat Dec 27 12:13:03 2014
Invocation: foremost -v -T -t all /dev/sdb1 -o /home/usuario/Escritorio/recuperado
Output directory: /home/usuario/Escritorio/recuperado
Configuration file: /etc/foremost.conf
Processing: /dev/sdb1
|------------------------------------------------------------------|
File: /dev/sdb1
Start: Sat Dec 27 12:13:03 2014
Length: 7 GB (8010072064 bytes)
 
Num Name (bs=512) Size File Offset Comment 

*0: 00266344.png 74 KB 136368128 (297 x 222)
1: 00267240.png 2 MB 136826880 (2176 x 1915)
2: 00275456.png 22 KB 141033603 (181 x 256)
3: 00275520.png 21 KB 141066371 (181 x 256)
4: 00275664.png 87 KB 141139968 (1157 x 654)
5: 00275840.png 297 KB 141230080 (1023 x 635)
6: 00276480.png 255 KB 141557760 (1021 x 588)
7: 00276992.png 21 KB 141819904 (912 x 553)
8: 00277040.png 106 KB 141844480 (1308 x 701)
9: 00277256.png 10 KB 141955072 (797 x 114)
10: 00277280.png 49 KB 141967360 (519 x 485)
11: 00285584.png 21 KB 146219139 (181 x 256)

*********************************************************************
*********************************************************************
2869: 02437564.dll 51 KB 1248032768 10/20/2010 13:24:41
2870: 02437679.dll 79 KB 1248091648 10/20/2010 13:24:50
2871: 02437850.dll 68 KB 1248179200 10/20/2010 13:24:41
2872: 02438005.dll 358 KB 1248258560 02/24/2011 04:00:44
2873: 02438756.dll 51 KB 1248643072 10/20/2010 13:24:41
2874: 02438872.dll 79 KB 1248702464 10/20/2010 13:24:50
2875: 02439043.dll 68 KB 1248790016 10/20/2010 13:24:41
2876: 02439199.dll 358 KB 1248869888 02/24/2011 04:00:44 
|********************************************************************|

Finish: Sat Dec 27 13:09:06 2014

2974 FILES EXTRACTED

gif:= 347 
jpg:= 483
png:= 922
avi:= 119
pdf:= 278
zip:= 2
exe:= 132
dll:= 691
------------------------------------------------------------------ 

Het herstel heeft genomen een beetje minder dan een uur, Hoewel dit afhankelijk van de grootte van de partitie variëren zal, het bedrag van de formaten op te halen, en het team waarmee we taak uitvoeren; Ik heb de lijst met bestanden verkort, sinds ze meer dan 2900 bestanden in verschillende indelingen, en met datums uit 1998 tot nu toe.

Ik wil benadrukken dat de pendrive Ik kocht het in 2013, dus de andere gegevens moet een vakantiegift voor de SR. Kingston; maar ik niet-worden ondankbaar, I 'm gonna verwijderen.

srkingston

Mijnheer. Kingston.

Zodra de toepassing klaar is met haar taak, Gaan we naar de directory die is betiteld als “hersteld“, en binnen vindt u een map die is gekoppeld aan elke indeling; onder hen zijn bestanden die zijn hersteld, maar voordat we moeten de machtigingen toegang hebben tot deze mappen wijzigen.

usuario@maquina:~$ sudo chown usuario -R /home/usuario/Escritorio/recuperado_DíaSemana_Mes_DíaMes_Hora_Minuto_Segundo_Año

Nu toegang we al heeft tot de map die de bestanden bevat; elke één van hen met succes zijn teruggevonden, Laten we eens kijken in de map waarin de bestanden als voorbeeld PDF hersteld.

Herstelde PDF-bestanden.

Als je net als u me kunt volgen op Twitter, Facebook, Google +, LinkedIn, of het te delen met de knoppen onder deze publicatie, Als u vragen hebt of suggesties gelieve te niet aarzelen om commentaar te.

Help ons te bereiken meer lezers Share on LinkedInShare on FacebookTweet about this on TwitterShare on Google+Email this to someone

Laat een antwoord achter