Dataetterforskning – Gjenopprette filer etter utskjæring med Foremost

Den dataetterforskning Det er en av disipliner som jeg elsker, og ikke har snakket på bloggen på denne grenen av den datasikkerhet hvordan det fortjener; så i dag vil vi se Hvordan å gjenopprette slettede filer med teknikken for filen carving bruke Fremst.

foremostt

Sant at det er mange flere programmer til å utføre denne oppgaven, men dette verktøyet og Skalpell er de som jeg liker, og som jeg brukte når når av feil jeg har slettet at ikke skal; to har hjulpet meg å redusere prosentandelen av sannsynligheten for alopecia, eller hjerteinfarkt i tidlig alder.

For følgende praksis, Vi trenger en flashdisk, og noen filer i ulike formater.

formater

Hva vi gjør med denne flashdisk, Det ville gjøre det på samme måte som i et annet lagringsmedium; den eneste forskjellen er at du kan gjøre det på harddisker, Vi må åpne våre stasjonær PC; har en port eSata; eller har en USB-vertskontroller for IDE/PATA/SATA.

conexionesdiscos

Jeg foretrekker alternativet kontroller, Siden det tillater oss å jobbe med alle typer harddisker; om de er nye eller gamle, av 2,5″ eller 3,5″, Det er helt økonomisk og denne modellen opptil to disker kan du samtidig.

diskkontrolleren

Kontroller multi-plate.

Filer

Som tidligere bemerket, Vi trenger noen filer for å gjenopprette, Jeg har kopiert min i en pendrive.

Innholdet i våre lagringsstøtte.

Nødvendige pakker

Vi trenger å utføre denne øvelsen Fremst, så la oss se at pakken må installeres for denne programvare, Heldigvis er det tilgjengelig i den offisielle samlinger, så vi bare må verktøyet apt.

usuario@maquina:~$ sudo apt-get install foremost

Innholdet slettes

Første la oss slette filene våre, Dette skal vi bruke kommandoen RM argumentet -r å gjøre rekursiv sletting og -f å tvinge sletting; Endelig som mål Velg * dvs., Vi vil informere deg som sletter alle filene i vår pendrive eller harddisk.

#Nos movemos al directorio donde se ha montado nuestro soporte de almacenamiento.
usuario@maquina:~$ cd /media/ruta-del-disco

#Borramos todo el contenido.
usuario@maquina:~$ sudo rm -rf *

#Listamos el contenido para comprobar que ya no queda nada.
usuario@maquina:~$ ls
usuario@maquina:~$

Det er Foremost, og hvordan det fungerer internt

Fremst rettsmedisinske verktøy Det er et verktøy for å gjenopprette filer opprinnelig utviklet av Institutt for spesielle undersøkelser av luftstyrker hær i USA.

Vi må holde i tankene som når du sletter en fil, Det eneste vi gjør er skjule det i lys av brukeren, merking gratis den klynge okkupert av det; i håp om at plass kreves, da overskrive den.

Forstå din måte å gjenopprette filer er ganske enkelt, hva den does er ta disken prøver å gjenkjenne filene av strukturen i den overskrifter og bunntekst i format heksadesimale hver filtype, Siden disse de er generisk.

Konfigurere Foremost å liking vår

Konfigurere Fremst på en tilpasset måte, du trenger bare å redigere konfigurasjonsfilen /etc/foremost.conf og uncomment filformatene du vil søke; gjøre Dette er ikke nødvendig, tilbyr innstillinger som standard for alle formater, men vi kan endre den topptekst og bunntekst heksadesimal hvis vi ønsker, e selv legge til forskjellige filtyper.

usuario@maquina:~$ sudo nano /etc/foremost.conf

Deretter kan du se en utvalg av deler av innholdet konfigurasjonsfilen, i betong linjene som refererer til formatene som vi skal komme; Hvis vi ønsket å endre bør noen parameter bare uncomment linjen forbundet med ønsket filtype, til slutt endre verdiene.

#---------------------------------------------------------------------
# GIF and JPG files (very common)
# (NOTE THESE FORMATS HAVE BUILTIN EXTRACTION FUNCTION)
# gif y 155000000 \x47\x49\x46\x38\x37\x61 \x00\x3b
# gif y 155000000 \x47\x49\x46\x38\x39\x61 \x00\x00\x3b
# jpg y 20000000 \xff\xd8\xff\xe0\x00\x10 \xff\xd9
# jpg y 20000000 \xff\xd8\xff\xe1 \xff\xd9
# jpg y 20000000 \xff\xd8 \xff\xd9
#
# PNG (used in web pages)
# (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
# png y 200000 \x50\x4e\x47? \xff\xfc\xfd\xfe
#
#---------------------------------------------------------------------
# ADOBE PDF (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
#---------------------------------------------------------------------
#
# pdf y 5000000 %PDF- %EOF
#
#---------------------------------------------------------------------
# (NOTE THIS FORMAT HAS BUILTIN EXTRACTION FUNCTION)
# zip y 10000000 PK\x03\x04 \x3c\xac
#---------------------------------------------------------------------

Gjenopprette filene våre med Foremost

Gjenopprette filer med Fremst veldig lett, Vi skal bare kjøre den med valg; Jeg vil deretter forklare at jeg har valgt.

v muliggjør detaljert modus, fremste skjermen mer prosessinformasjon er å ta den ut.

t Angir filtypen til å hente.

T Legg inn navnet på mappen der dataene gjenopprettes, så vi ikke må endre mappenavnet når du starter fremst.

Jeg Angir navnet på partisjonen der du vil gjenopprette filer.

o angir mappen der vi ønsker å fremst Lagre gjenopprettede filer.

ES anbefales Bla gjennom manuelt for å fjerne tvil om.

usuario@maquina:~$ man foremost

Fremst støtter mange forskjellige formater, og ikke for å gjenta operasjonen ettall vi skal angi for å hente alle tilgjengelige formater med argumentet alle for alternativ -t; Det er mulig så sent mest, men vi skal slutte å jobbe, og vi vil gå for en kaffe eller utføre andre oppgaver i tidsperioden.

usuario@maquina:~$ sudo foremost -v -T -t all -i /dev/sdb1 -o /home/usuario/Escritorio/recuperado

[sudo] password for usuario:
Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus
Audit File

Foremost started at Sat Dec 27 12:13:03 2014
Invocation: foremost -v -T -t all /dev/sdb1 -o /home/usuario/Escritorio/recuperado
Output directory: /home/usuario/Escritorio/recuperado
Configuration file: /etc/foremost.conf
Processing: /dev/sdb1
|------------------------------------------------------------------|
File: /dev/sdb1
Start: Sat Dec 27 12:13:03 2014
Length: 7 GB (8010072064 bytes)
 
Num Name (bs=512) Size File Offset Comment 

*0: 00266344.png 74 KB 136368128 (297 x 222)
1: 00267240.png 2 MB 136826880 (2176 x 1915)
2: 00275456.png 22 KB 141033603 (181 x 256)
3: 00275520.png 21 KB 141066371 (181 x 256)
4: 00275664.png 87 KB 141139968 (1157 x 654)
5: 00275840.png 297 KB 141230080 (1023 x 635)
6: 00276480.png 255 KB 141557760 (1021 x 588)
7: 00276992.png 21 KB 141819904 (912 x 553)
8: 00277040.png 106 KB 141844480 (1308 x 701)
9: 00277256.png 10 KB 141955072 (797 x 114)
10: 00277280.png 49 KB 141967360 (519 x 485)
11: 00285584.png 21 KB 146219139 (181 x 256)

*********************************************************************
*********************************************************************
2869: 02437564.dll 51 KB 1248032768 10/20/2010 13:24:41
2870: 02437679.dll 79 KB 1248091648 10/20/2010 13:24:50
2871: 02437850.dll 68 KB 1248179200 10/20/2010 13:24:41
2872: 02438005.dll 358 KB 1248258560 02/24/2011 04:00:44
2873: 02438756.dll 51 KB 1248643072 10/20/2010 13:24:41
2874: 02438872.dll 79 KB 1248702464 10/20/2010 13:24:50
2875: 02439043.dll 68 KB 1248790016 10/20/2010 13:24:41
2876: 02439199.dll 358 KB 1248869888 02/24/2011 04:00:44 
|********************************************************************|

Finish: Sat Dec 27 13:09:06 2014

2974 FILES EXTRACTED

gif:= 347 
jpg:= 483
png:= 922
avi:= 119
pdf:= 278
zip:= 2
exe:= 132
dll:= 691
------------------------------------------------------------------ 

Gjenoppretting har tatt litt mindre enn en time, Selv om dette vil variere avhengig av partisjonen, mengden av formater hente, og team som vi utføre oppgaven; Jeg har forkortet fillisten, siden de er mer enn 2900 filer i ulike formater, og med datoer fra 1998 Inntil nå.

Jeg vil understreke at pendrive Jeg kjøpte den i 2013, så de andre dataene bør være en feriegave til SR. Kingston; men jeg ikke-være utakknemlig, Jeg skal slette dem..

srkingston

Mr. Kingston.

Når programmet er ferdig sin oppgave, Vi går til mappen som har blitt kalt “gjenopprettet“, inne finner du en mappe som er tilknyttet hvert format; blant dem er filer som er gjenopprettet, men før vi trenger å endre tillatelsene til disse katalogene.

usuario@maquina:~$ sudo chown usuario -R /home/usuario/Escritorio/recuperado_DíaSemana_Mes_DíaMes_Hora_Minuto_Segundo_Año

Nå har vi allerede tilgang til mappen som inneholder filene; hver og en av dem er gjenopprettet vellykket, La oss se i mappen som inneholder filene som et eksempel PDF gjenopprettet.

Gjenopprettede PDF-filer.

Hvis du liker du kan følge meg på Twitter, Facebook, Google +, LinkedIn, eller dele det med knappene under denne publikasjonen, Hvis du har spørsmål eller forslag ikke nøl med å kommentere.

Hjelp oss å nå flere lesere Share on LinkedIn
LinkedIn
Share on Facebook
Facebook
Tweet about this on Twitter
Twitter
Share on Google+
Google +
Email this to someone
e-post

"One thought on"Dataetterforskning – Gjenopprette filer etter utskjæring med Foremost

legg igjen et svar

Din epostadresse vil ikke bli publisert. Obligatoriske felt er merket *

*