Informatyka śledcza – Odzyskiwanie plików przez plik rzeźba z przewodzi

The informatyka śledcza Jest to jedna z dyscyplin, które uwielbiam, i nie mówiłem na blogu na ten oddział bezpieczeństwo komputera jak na to zasługuje; więc dziś zobaczymy Jak odzyskać usunięte pliki z techniką Rzeźba w pliku za pomocą Przede wszystkim.

foremostt

Jest prawdą, że istnieje wiele więcej aplikacji do realizacji tego zadania, ale to narzędzie i Skalpel są te, które lubię, i które są wykorzystywane podczas gdy przez pomyłkę, które zostały usunięte, nie powinny; dwa pomogły mi obniżyć procent prawdopodobieństwa łysienie, lub zawału serca w młodym wieku.

Dla następujących praktyki, Będziemy potrzebować pewien błysk przejażdżka, i niektóre pliki w różnych formatach.

formaty

Co robimy z dysku flash, To zrobi tak samo w innych nośników; Jedyną różnicą jest to, że można to zrobić na dyski twarde, Musimy otworzyć nasz pulpit PC; o porcie eSata; lub mieć Kontroler hosta USB dla IDE/PATA/SATA.

conexionesdiscos

Wolę opcję kontroler, Ponieważ pozwala nam pracować na wszystkich typach dysków twardych; Czy one są nowe lub stare, z 2,5″ lub 3,5″, To jest dość ekonomiczny i ten konkretny model do dwóch dysków mogą być ci w tym samym czasie.

kontroler dysku

Kontroler wielotarczowe.

Pliki

Jak wcześniej skomentował, Będziemy potrzebować niektóre pliki odzyskac, Już skopiowane kopalni w pendrive.

Zawartość naszej obsługi magazynu.

Pakiety wymagane

Musimy przeprowadzić tę praktykę Przede wszystkim, Zobaczmy więc, że pakiet musi być zainstalowane oprogramowanie, Na szczęście jest dostępne w oficjalnych repozytoriach, więc po prostu trzeba będzie użyć narzędzia apt.

usuario@maquina:~$ sudo apt-get install foremost

Usuwanie zawartości

Pierwszy Let's usunąć nasze pliki, i do tego będziemy używać polecenia RM z argumentem -r do usunięcia cykliczne i -f Aby wymusić usunięcie; Wreszcie jako cel wybierz * czyli, Poinformujemy Cię, który usuwa wszystkie pliki wewnątrz naszego pendrive lub dysku twardego.

#Nos movemos al directorio donde se ha montado nuestro soporte de almacenamiento.
usuario@maquina:~$ cd /media/ruta-del-disco

#Borramos todo el contenido.
usuario@maquina:~$ sudo rm -rf *

#Listamos el contenido para comprobar que ya no queda nada.
usuario@maquina:~$ ls
usuario@maquina:~$

To jest przewodzi, i jak to działa

Przede wszystkim kryminalistycznych narzędzie Jest to narzędzie do odzyskiwania plików, pierwotnie opracowany przez dział badań specjalnych sił powietrznych armii Stanów Zjednoczonych.

Musimy pamiętać, że po usunięciu pliku, Jedyne, co możemy zrobić jest ukrywać się ono wobec użytkownika, oznakowanie jako wolna klastra zajęte przez; w nadziei, że miejsce jest wymagane, wtedy go zastąpić.

Rozumiem, że twój sposób na odzyskanie plików jest bardzo proste, Co to jest dysk próbuje rozpoznać pliki przez struktury nagłówki i stopki w formacie szesnastkowa Każdy typ pliku, Ponieważ te są to ogólne.

Skonfigurować przewodzi do naszych potrzeb

Aby skonfigurować Przede wszystkim w niestandardowy sposób, tylko musisz edytować plik konfiguracyjny /etc/Foremost.conf i odkomentować formatów plików, które chcesz przeszukać; Czy Nie jest to konieczne, oferuje ustawienia domyślnie do wszystkich formatów, ale możemy zmienić nagłówek i Stopka szesnastkowy, jeśli chcemy, e jeszcze dodać różnych typów plików.

usuario@maquina:~$ sudo nano /etc/foremost.conf

Następnie można zobaczyć a próbki części zawartości plik konfiguracyjny, w konkretnych linii, które odnoszą się do formatów, które mamy zamiar odzyskać; Jeśli chcemy zmienić jakiś parametr tylko powinien uncomment ten specjalność skojarzony z rozszerzeniem pożądanych, Wreszcie zmienić te wartości.

#---------------------------------------------------------------------
# GIF and JPG files (very common)
# (NOTE THESE FORMATS HAVE BUILTIN EXTRACTION FUNCTION)
# gif y 155000000 \x47\x49\x46\x38\x37\x61 \x00\x3b
# gif y 155000000 \x47\x49\x46\x38\x39\x61 \x00\x00\x3b
# jpg y 20000000 \xff\xd8\xff\xe0\x00\x10 \xff\xd9
# jpg y 20000000 \xff\xd8\xff\xe1 \xff\xd9
# jpg y 20000000 \xff\xd8 \xff\xd9
#
# PNG (used in web pages)
# (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
# png y 200000 \x50\x4e\x47? \xff\xfc\xfd\xfe
#
#---------------------------------------------------------------------
# ADOBE PDF (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
#---------------------------------------------------------------------
#
# pdf y 5000000 %PDF- %EOF
#
#---------------------------------------------------------------------
# (NOTE THIS FORMAT HAS BUILTIN EXTRACTION FUNCTION)
# zip y 10000000 PK\x03\x04 \x3c\xac
#---------------------------------------------------------------------

Odzyskać nasze pliki z przewodzi

Odzyskiwanie plików z Przede wszystkim to naprawdę proste, Po prostu należy go uruchomić z żądanymi opcjami; Będzie to wyjaśnić, że wybrałam.

v Włącza tryb informacji pełnej, przede wszystkim ekran więcej informacji proces jest jednocześnie biorąc go.

t wskazuje typ pliku do pobrania.

T Dodaj daty na nazwę katalogu, gdzie będzie można odzyskać dane, Tak więc nie musimy zmienić nazwę katalogu przy każdym uruchomieniu przede wszystkim.

ja wskazuje nazwę partycji gdzie chcesz odzyskać pliki.

o wskazuje katalog, w którym chcemy przede wszystkim zapisać odzyskane pliki.

ES gorąco polecam Przeglądanie instrukcji aby wyczyścić wszelkie wątpliwości dotyczące.

usuario@maquina:~$ man foremost

Przede wszystkim obsługuje wiele różnych formatów, i nie, aby powtórzyć operację po jednym zamierzamy wskazać, aby pobrać wszystkie dostępne formaty z argumentem wszystkie dla opcji -t; Jest to możliwe, większość tak późno, ale mamy zamiar rzucić pracy, i idziemy na kawę lub wykonywania innych zadań w tym okresie czasu.

usuario@maquina:~$ sudo foremost -v -T -t all -i /dev/sdb1 -o /home/usuario/Escritorio/recuperado

[sudo] password for usuario:
Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus
Audit File

Foremost started at Sat Dec 27 12:13:03 2014
Invocation: foremost -v -T -t all /dev/sdb1 -o /home/usuario/Escritorio/recuperado
Output directory: /home/usuario/Escritorio/recuperado
Configuration file: /etc/foremost.conf
Processing: /dev/sdb1
|------------------------------------------------------------------|
File: /dev/sdb1
Start: Sat Dec 27 12:13:03 2014
Length: 7 GB (8010072064 bytes)
 
Num Name (bs=512) Size File Offset Comment 

*0: 00266344.png 74 KB 136368128 (297 x 222)
1: 00267240.png 2 MB 136826880 (2176 x 1915)
2: 00275456.png 22 KB 141033603 (181 x 256)
3: 00275520.png 21 KB 141066371 (181 x 256)
4: 00275664.png 87 KB 141139968 (1157 x 654)
5: 00275840.png 297 KB 141230080 (1023 x 635)
6: 00276480.png 255 KB 141557760 (1021 x 588)
7: 00276992.png 21 KB 141819904 (912 x 553)
8: 00277040.png 106 KB 141844480 (1308 x 701)
9: 00277256.png 10 KB 141955072 (797 x 114)
10: 00277280.png 49 KB 141967360 (519 x 485)
11: 00285584.png 21 KB 146219139 (181 x 256)

*********************************************************************
*********************************************************************
2869: 02437564.dll 51 KB 1248032768 10/20/2010 13:24:41
2870: 02437679.dll 79 KB 1248091648 10/20/2010 13:24:50
2871: 02437850.dll 68 KB 1248179200 10/20/2010 13:24:41
2872: 02438005.dll 358 KB 1248258560 02/24/2011 04:00:44
2873: 02438756.dll 51 KB 1248643072 10/20/2010 13:24:41
2874: 02438872.dll 79 KB 1248702464 10/20/2010 13:24:50
2875: 02439043.dll 68 KB 1248790016 10/20/2010 13:24:41
2876: 02439199.dll 358 KB 1248869888 02/24/2011 04:00:44 
|********************************************************************|

Finish: Sat Dec 27 13:09:06 2014

2974 FILES EXTRACTED

gif:= 347 
jpg:= 483
png:= 922
avi:= 119
pdf:= 278
zip:= 2
exe:= 132
dll:= 691
------------------------------------------------------------------ 

Odzyskanie miało trochę mniej niż godzinę, Mimo, że to będzie się różnić w zależności od rozmiaru partycji, ilość formatów do pobrania, i zespół z którym wykonujemy zadania; Mieć skrócony wykaz plików, ponieważ zostały one Więcej niż 2900 pliki w różnych formatach, i z daty randki z 1998 do tej pory.

Chcę podkreślić, że pendrive Kupiłem go 2013, innych danych powinno być prezent wakacje SR. Kingston; ale nie-być niewdzięczny, Mam zamiar je usunąć.

srkingston

Mr. Kingston.

Gdy aplikacja zakończy swoje zadanie, Idziemy do katalogu, który został nazwany “odzyskane“, wewnątrz znajdziesz folder związane z każdym formacie; wśród nich są pliki, które zostały odzyskane, ale zanim będziemy musieli zmienić uprawnienia do dostępu do tych katalogów.

usuario@maquina:~$ sudo chown usuario -R /home/usuario/Escritorio/recuperado_DíaSemana_Mes_DíaMes_Hora_Minuto_Segundo_Año

Teraz mamy już dostęp do katalogu, który zawiera Twoje pliki; każdy jeden z nich zostały pomyślnie odzyskane, Spójrzmy wewnątrz folderu, który zawiera pliki jako przykład PDF odzyskane.

Odzyskane pliki PDF.

Jeśli chcesz, możesz się do mnie na Twitter, Facebook, Google +, LinkedIn, lub podzielić się nim z przycisków w tej publikacji, Jeśli masz jakiekolwiek pytania lub sugestie prosimy o komentarz.

Pomóż nam dotrzeć do czytelników więcej Share on LinkedInShare on FacebookTweet about this on TwitterShare on Google+Email this to someone

Dodaj komentarz