Computer criminalistica – Recuperarea fişierelor de fişier sculptură cu rând

The Computer criminalistica Este una dintre disciplinele care o iubesc, şi am vorbit pe blog-ul pe această ramură a securitatea calculatoarelor cum merită; aşa că astăzi vom vedea Cum de a recupera fişierele şterse cu tehnica de sculptură în fişier folosind În primul rând.

foremostt

Este adevărat că există multe mai multe aplicaţii pentru a efectua această sarcină, Dar acest instrument şi Bisturiu sunt cele care-mi place, şi pe care am folosit atunci când odată ce greşeală am şters ca să nu; cei doi au ajutat pentru a reduce procentul de probabilitatea de alopecie, sau atacuri de cord la o vârstă fragedă.

Pentru practica următoarele, Vom avea nevoie de o unitate flash, şi unele fişiere în formate diferite.

formate

Ce facem cu această unitate flash, Acest lucru ar face la fel în orice alte medii de stocare; Singura diferenţă este că ai să o faci pe hard disk-uri, Noi trebuie să se deschidă noastre PC desktop; având un port eSata; sau au un Un controler gazdă USB pentru IDE/PATA/SATA.

conexionesdiscos

Eu prefer opţiunea de controler, Deoarece ne permite să lucreze cu toate tipurile de hard disk-uri; dacă sunt noi sau vechi, de 2,5″ sau 3,5″, Este destul de economic şi acest model până la două discuri poate fi tu în acelaşi timp.

controler de disc

Controler multi-disc.

Fişiere

A comentat anterior, Vom avea nevoie de unele fişiere pentru a recupera, Am-am copiat a mea într-un pendrive.

Conţinut de sprijinul nostru de stocare.

Pachetele necesare

Avem nevoie pentru a efectua această practică În primul rând, Deci hai sa vedem acel pachet trebuie să fie instalat pentru this produse de plastic, Din fericire, este disponibilă în depozitele oficiale, Deci vom avea doar să utilizaţi instrumentul apt.

usuario@maquina:~$ sudo apt-get install foremost

Ştergerea conţinutului

Primul să ştergeţi fişierele noastre, şi pentru aceasta vom folosi comanda RM cu argumentul -radu pentru a face recursiv ştergere şi -f pentru a forţa ştergere; În cele din urmă ca ţintă selectaţi * adică, Va informăm că şterge toate fişierele din interiorul nostru pendrive sau hard disc.

#Nos movemos al directorio donde se ha montado nuestro soporte de almacenamiento.
usuario@maquina:~$ cd /media/ruta-del-disco

#Borramos todo el contenido.
usuario@maquina:~$ sudo rm -rf *

#Listamos el contenido para comprobar que ya no queda nada.
usuario@maquina:~$ ls
usuario@maquina:~$

Este mai, si cum functioneaza pe plan intern

Rând de medicină legală instrument Este un instrument pentru recuperarea fişierelor iniţial dezvoltat de către Departamentul de cercetări speciale forţelor aeriene a armatei Statelor Unite ale Americii.

Noi trebuie să păstreze în minte că atunci când ştergeţi un fişier, singurul lucru pe care o facem este ascunde-o ținând cont de utilizator, marcarea liberi Cluster ocupat de; în speranţa că spaţiul este necesară, apoi suprascrieţi.

Înţelege modul tau de a recuperarea fişierelor este destul de simplu, ce it does is ia discul încercarea de a recunoaşte fişierele de structura de anteturi şi subsoluri în format hexazecimal fiecare tip de fișier, Din acestea Acestea sunt generice.

Configuraţi rând placul nostru

Pentru a configura În primul rând într-un mod personalizat, Trebuie doar să editaţi fişierul de configurare /etc/foremost.conf şi decomentaţi formate de fişiere pe care doriţi să Căutaţi; face Acest lucru nu este necesar, oferă setări în mod implicit pentru toate formatele, dar putem schimba antet şi subsol hexazecimal dacă dorim, e Chiar adăuga tipuri de fişiere diferite.

usuario@maquina:~$ sudo nano /etc/foremost.conf

Apoi, puteţi vedea o eșantion de o parte a conţinutului fişierul de configurare, în liniile care se referă la formatele de care ne vom recupera de beton; Dacă am vrut să schimbe unele parametru numai ar trebui să decomentaţi linia asociate cu extensia dorita, pentru a schimba în cele din urmă aceste valori.

#---------------------------------------------------------------------
# GIF and JPG files (very common)
# (NOTE THESE FORMATS HAVE BUILTIN EXTRACTION FUNCTION)
# gif y 155000000 \x47\x49\x46\x38\x37\x61 \x00\x3b
# gif y 155000000 \x47\x49\x46\x38\x39\x61 \x00\x00\x3b
# jpg y 20000000 \xff\xd8\xff\xe0\x00\x10 \xff\xd9
# jpg y 20000000 \xff\xd8\xff\xe1 \xff\xd9
# jpg y 20000000 \xff\xd8 \xff\xd9
#
# PNG (used in web pages)
# (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
# png y 200000 \x50\x4e\x47? \xff\xfc\xfd\xfe
#
#---------------------------------------------------------------------
# ADOBE PDF (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
#---------------------------------------------------------------------
#
# pdf y 5000000 %PDF- %EOF
#
#---------------------------------------------------------------------
# (NOTE THIS FORMAT HAS BUILTIN EXTRACTION FUNCTION)
# zip y 10000000 PK\x03\x04 \x3c\xac
#---------------------------------------------------------------------

Recupera fişierele noastre cu toate

Recupera fişierele cu În primul rând este foarte usor, Noi ar trebui să ruleze doar ea cu opţiunile dorite; Apoi voi explica că am ales.

v Activează modul "vorbaret", în primul rând de afişare mai multe informaţii despre proces este luând-l.

t indică tipul de fişier pentru a prelua.

T Adauga data cu numele de Director în cazul în care datele vor fi recuperate, Deci, noi nu trebuie să schimbe numele directorului ori de câte ori lansaţi în primul rând.

am indică numele partiţiei unde doriţi să recupera fişierele.

oana indică directorul unde vrem să în primul rând salvaţi fişierele recuperate.

ES foarte recomandat Cautarea manualului pentru a elimina orice dubiu despre.

usuario@maquina:~$ man foremost

În primul rând suportă multe formate diferite, şi să nu repetaţi operaţiunea unul câte unul am de gând să indice pentru a prelua toate formatele disponibile cu argumentul toate pentru opţiunea -t; Este cea mai mare parte posibilă atât de târziu, dar am de gând să renunţe la lucru, şi vom merge pentru o cafea sau pentru a efectua alte sarcini în acea perioadă de timp.

usuario@maquina:~$ sudo foremost -v -T -t all -i /dev/sdb1 -o /home/usuario/Escritorio/recuperado

[sudo] password for usuario:
Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus
Audit File

Foremost started at Sat Dec 27 12:13:03 2014
Invocation: foremost -v -T -t all /dev/sdb1 -o /home/usuario/Escritorio/recuperado
Output directory: /home/usuario/Escritorio/recuperado
Configuration file: /etc/foremost.conf
Processing: /dev/sdb1
|------------------------------------------------------------------|
File: /dev/sdb1
Start: Sat Dec 27 12:13:03 2014
Length: 7 GB (8010072064 bytes)
 
Num Name (bs=512) Size File Offset Comment 

*0: 00266344.png 74 KB 136368128 (297 x 222)
1: 00267240.png 2 MB 136826880 (2176 x 1915)
2: 00275456.png 22 KB 141033603 (181 x 256)
3: 00275520.png 21 KB 141066371 (181 x 256)
4: 00275664.png 87 KB 141139968 (1157 x 654)
5: 00275840.png 297 KB 141230080 (1023 x 635)
6: 00276480.png 255 KB 141557760 (1021 x 588)
7: 00276992.png 21 KB 141819904 (912 x 553)
8: 00277040.png 106 KB 141844480 (1308 x 701)
9: 00277256.png 10 KB 141955072 (797 x 114)
10: 00277280.png 49 KB 141967360 (519 x 485)
11: 00285584.png 21 KB 146219139 (181 x 256)

*********************************************************************
*********************************************************************
2869: 02437564.dll 51 KB 1248032768 10/20/2010 13:24:41
2870: 02437679.dll 79 KB 1248091648 10/20/2010 13:24:50
2871: 02437850.dll 68 KB 1248179200 10/20/2010 13:24:41
2872: 02438005.dll 358 KB 1248258560 02/24/2011 04:00:44
2873: 02438756.dll 51 KB 1248643072 10/20/2010 13:24:41
2874: 02438872.dll 79 KB 1248702464 10/20/2010 13:24:50
2875: 02439043.dll 68 KB 1248790016 10/20/2010 13:24:41
2876: 02439199.dll 358 KB 1248869888 02/24/2011 04:00:44 
|********************************************************************|

Finish: Sat Dec 27 13:09:06 2014

2974 FILES EXTRACTED

gif:= 347 
jpg:= 483
png:= 922
avi:= 119
pdf:= 278
zip:= 2
exe:= 132
dll:= 691
------------------------------------------------------------------ 

Recuperare a luat un pic mai puţin de o oră, Deşi acest lucru va varia în funcţie de mărimea partiţiei, cantitatea de formate pentru a prelua, si echipa cu care putem îndeplini sarcina; Eu am scurtat lista de fişiere, din moment ce acestea au fost mai mult 2900 fişiere în formate diferite, şi cu datele din 1998 Până în prezent.

Vreau să subliniez că pendrive Am cumpărat-o 2013, Deci alte date ar trebui să fie un cadou de vacanţă a SR. Kingston; dar am non-fi nerecunoscător, Am de gând să le şterge.

srkingston

Domnul. Kingston.

După ce aplicația se termină sarcina lor, Vom merge la directorul in care a fost numit “recuperate“, şi în interiorul veţi găsi un folder asociat cu fiecare format; Printre acestea sunt fişiere care au fost recuperate, Dar înainte de am nevoie pentru a schimba permisiunea de a accesa aceste directoare.

usuario@maquina:~$ sudo chown usuario -R /home/usuario/Escritorio/recuperado_DíaSemana_Mes_DíaMes_Hora_Minuto_Segundo_Año

Acum putem accesa deja în directorul care conţine fişierele; fiecare dintre ele au fost recuperate cu succes, Să ne uităm în interiorul folderul care conţine fişierele de exemplu PDF recuperate.

PDF fişierele recuperate.

Dacă vă place să urmaţi-mă pe Stare de nervozitate, Facebook, Google +, LinkedIn, sau partajaţi-l cu butoanele de sub această publicaţie, Dacă aveţi orice întrebări sau sugestii vă rugăm să nu ezitaţi să comenteze.

Să ne ajute să ajungă la mai mult de cititori Share on LinkedIn
LinkedIn
Share on Facebook
Facebook
Tweet about this on Twitter
Stare de nervozitate
Share on Google+
Google +
Email this to someone
e-mail

"Un gând pe"Computer criminalistica – Recuperarea fişierelor de fişier sculptură cu rând

lasă un răspuns

Adresa ta de email nu va fi publicat. Câmpurile necesare sunt marcate *

*