Computação forense – Recuperando arquivos por arquivo escultura com primeiro

O computação forense É uma das disciplinas que eu amo, e não falei no blog sobre este ramo do segurança informática como ele merece.; Então, hoje vamos ver Como recuperar arquivos apagados com a técnica de escultura de arquivo usando Acima de tudo.

foremostt

É verdade que existem muitas mais aplicações para realizar esta tarefa, Mas esta ferramenta e Bisturi são as que eu gosto, e que eu usei quando uma vez por engano apaguei o que não deve; os dois me ajudaram a reduzir o percentual de probabilidade de alopecia, ou ataques cardíacos em idade precoce.

Para a prática de seguir, Vamos precisar de um pen drive, e alguns arquivos em formatos diferentes.

formatos de

O que fazemos com o pen drive, Fá-lo-ia da mesma forma em qualquer outra mídia de armazenamento; a única diferença é que você fazê-lo em discos rígidos, Devemos abrir nosso PC desktop; tendo um porto eSata; ou ter um Controlador de host USB para IDE/PATA/SATA.

conexionesdiscos

Eu prefiro a opção de controlador, Desde que nos permite trabalhar com todos os tipos de discos rígidos; Se eles são novos ou velhos, de 2,5″ ou 3,5″, É bastante econômico e este modelo em particular dois discos podem ser até você ao mesmo tempo.

controlador de disco

Multi-disco controlador.

Arquivos

Como já comentado, Vamos precisar de alguns arquivos para recuperar, Eu copiei meu em um pendrive.

Conteúdo de nosso suporte de armazenamento.

Pacotes necessários

Temos que realizar esta prática Acima de tudo, Então vamos ver o que o pacote deve ser instalado para este software, Felizmente, está disponível nos repositórios oficiais, Então só temos de usar a ferramenta apt.

usuario@maquina:~$ sudo apt-get install foremost

Exclusão de conteúdo

Primeiro vamos apagar nossos arquivos, e para isso usaremos o comando RM com o argumento -r para fazer a exclusão de recursiva e -f para forçar a exclusão; Finalmente, como alvo, selecione * ou seja, Iremos informá-lo que exclui todos os arquivos dentro de nosso pendrive ou disco rígido.

#Nos movemos al directorio donde se ha montado nuestro soporte de almacenamiento.
usuario@maquina:~$ cd /media/ruta-del-disco

#Borramos todo el contenido.
usuario@maquina:~$ sudo rm -rf *

#Listamos el contenido para comprobar que ya no queda nada.
usuario@maquina:~$ ls
usuario@maquina:~$

É o primeiro, e como ele funciona internamente

Ferramenta forense acima de tudo É uma ferramenta para recuperar arquivos inicialmente desenvolvidos pelo departamento de investigações especiais da força aérea do exército dos Estados Unidos da América.

Temos que manter em mente que quando você excluir um arquivo, a única coisa que fazemos é escondê-lo tendo em conta o usuário, livre de marcação a cluster de ocupado pela; na esperança de que o espaço é necessário, Então substituí-lo.

Entendo a sua maneira de recuperar arquivos é bastante simples, o que ele faz é levar o disco tentando reconhecer arquivos pela estrutura do cabeçalhos e o rodapés em formato hexadecimal cada tipo de arquivo, Uma vez que estes Eles são genéricos.

Configurar o primeiro ao nosso gosto

Para configurar Acima de tudo de uma forma personalizada, Você só precisa editar seu arquivo de configuração /etc/foremost.conf e descomente os formatos de arquivo que você deseja pesquisar; fazer Isso não é necessário, oferece configurações por padrão para todos os formatos, Mas nós podemos mudar o cabeçalho e o rodapé hexadecimal, se desejamos, e até mesmo adicionar diferentes tipos de arquivo.

usuario@maquina:~$ sudo nano /etc/foremost.conf

Em seguida, você pode ver um amostra de parte do conteúdo o arquivo de configuração, em concreto, as linhas que se referem os formatos que vamos recuperar; Se queríamos mudar algum parâmetro só deve descomentar a linha associada com a extensão desejada, Finalmente, alterar esses valores.

#---------------------------------------------------------------------
# GIF and JPG files (very common)
# (NOTE THESE FORMATS HAVE BUILTIN EXTRACTION FUNCTION)
# gif y 155000000 \x47\x49\x46\x38\x37\x61 \x00\x3b
# gif y 155000000 \x47\x49\x46\x38\x39\x61 \x00\x00\x3b
# jpg y 20000000 \xff\xd8\xff\xe0\x00\x10 \xff\xd9
# jpg y 20000000 \xff\xd8\xff\xe1 \xff\xd9
# jpg y 20000000 \xff\xd8 \xff\xd9
#
# PNG (used in web pages)
# (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
# png y 200000 \x50\x4e\x47? \xff\xfc\xfd\xfe
#
#---------------------------------------------------------------------
# ADOBE PDF (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
#---------------------------------------------------------------------
#
# pdf y 5000000 %PDF- %EOF
#
#---------------------------------------------------------------------
# (NOTE THIS FORMAT HAS BUILTIN EXTRACTION FUNCTION)
# zip y 10000000 PK\x03\x04 \x3c\xac
#---------------------------------------------------------------------

Recuperar nossos arquivos com primeiro

Recuperar arquivos com Acima de tudo é muito fácil, Nós devemos apenas executá-lo com as opções desejadas; Então vou explicar que eu escolhi.

v ativa o modo verboso, acima de tudo exibir mais informações do processo estão tomando-o para fora.

t indica o tipo de arquivo para recuperar.

T Adicionar a data para o nome do diretório onde os dados serão recuperados, Então nós não deve mudar o nome do diretório sempre que você iniciar acima de tudo.

Eu indica o nome da partição onde você deseja recuperar arquivos.

o indica o diretório onde queremos acima de tudo salvar os arquivos recuperados.

ES altamente recomendado Consultar o manual para esclarecer qualquer dúvida sobre.

usuario@maquina:~$ man foremost

Acima de tudo suporta diversos formatos, e para não repetir a operação, um por um, vamos indicar para recuperar todos os formatos disponíveis, com o argumento todos os para a opção -t; É possível mais tarde, Mas vamos parar de trabalhar, e nós vamos para um café ou para executar outras tarefas durante esse período de tempo.

usuario@maquina:~$ sudo foremost -v -T -t all -i /dev/sdb1 -o /home/usuario/Escritorio/recuperado

[sudo] password for usuario:
Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus
Audit File

Foremost started at Sat Dec 27 12:13:03 2014
Invocation: foremost -v -T -t all /dev/sdb1 -o /home/usuario/Escritorio/recuperado
Output directory: /home/usuario/Escritorio/recuperado
Configuration file: /etc/foremost.conf
Processing: /dev/sdb1
|------------------------------------------------------------------|
File: /dev/sdb1
Start: Sat Dec 27 12:13:03 2014
Length: 7 GB (8010072064 bytes)
 
Num Name (bs=512) Size File Offset Comment 

*0: 00266344.png 74 KB 136368128 (297 x 222)
1: 00267240.png 2 MB 136826880 (2176 x 1915)
2: 00275456.png 22 KB 141033603 (181 x 256)
3: 00275520.png 21 KB 141066371 (181 x 256)
4: 00275664.png 87 KB 141139968 (1157 x 654)
5: 00275840.png 297 KB 141230080 (1023 x 635)
6: 00276480.png 255 KB 141557760 (1021 x 588)
7: 00276992.png 21 KB 141819904 (912 x 553)
8: 00277040.png 106 KB 141844480 (1308 x 701)
9: 00277256.png 10 KB 141955072 (797 x 114)
10: 00277280.png 49 KB 141967360 (519 x 485)
11: 00285584.png 21 KB 146219139 (181 x 256)

*********************************************************************
*********************************************************************
2869: 02437564.dll 51 KB 1248032768 10/20/2010 13:24:41
2870: 02437679.dll 79 KB 1248091648 10/20/2010 13:24:50
2871: 02437850.dll 68 KB 1248179200 10/20/2010 13:24:41
2872: 02438005.dll 358 KB 1248258560 02/24/2011 04:00:44
2873: 02438756.dll 51 KB 1248643072 10/20/2010 13:24:41
2874: 02438872.dll 79 KB 1248702464 10/20/2010 13:24:50
2875: 02439043.dll 68 KB 1248790016 10/20/2010 13:24:41
2876: 02439199.dll 358 KB 1248869888 02/24/2011 04:00:44 
|********************************************************************|

Finish: Sat Dec 27 13:09:06 2014

2974 FILES EXTRACTED

gif:= 347 
jpg:= 483
png:= 922
avi:= 119
pdf:= 278
zip:= 2
exe:= 132
dll:= 691
------------------------------------------------------------------ 

A recuperação tem levado um pouco menos de uma hora, Embora isto pode variar dependendo do tamanho da partição, a quantidade de formatos para recuperar, e a equipe com a qual realizamos a tarefa; Eu ter encurtado a lista de arquivos, uma vez que eles foram mais do que 2900 arquivos em formatos diferentes, e com datas de 1998 até agora.

Quero enfatizar que o pendrive Comprei-o 2013, assim os outros dados devem ser um presente de Natal da SR. Kingston; Mas eu não-ser ingrato, Vou apagá-los.

srkingston

Senhor deputado. Kingston.

Uma vez que o aplicativo termina sua tarefa, Nós iremos para o diretório que foi chamado “recuperado“, e dentro você encontrará uma pasta associada com cada formato; entre eles são arquivos que foram recuperados, Mas antes de que precisamos mudar as permissões para acessar esses diretórios.

usuario@maquina:~$ sudo chown usuario -R /home/usuario/Escritorio/recuperado_DíaSemana_Mes_DíaMes_Hora_Minuto_Segundo_Año

Agora já podemos acessar o diretório que contém seus arquivos; cada um deles foram recuperados com sucesso, Vamos olhar dentro da pasta que contém os arquivos de exemplo PDF recuperado.

Arquivos PDF recuperados.

Se você gosta você pode me seguir no Twitter, Facebook, Google +, LinkedIn, ou compartilhá-lo com os botões sob esta publicação, Se você tiver dúvidas ou sugestões não hesite em comentar.

Ajude-na alcançar mais leitores Share on LinkedIn
LinkedIn
Share on Facebook
Facebook
Tweet about this on Twitter
Twitter
Share on Google+
Google +
Email this to someone
Email

"Um pensamento sobre"Computação forense – Recuperando arquivos por arquivo escultura com primeiro

Deixar uma resposta