Компьютерной криминалистике – Восстановление файлов, файл, резьба с Foremost

В компьютерной криминалистике Это одна из дисциплин, которые я люблю, и не говорил на блоге на этот филиал Компьютерная безопасность как она заслуживает; Поэтому сегодня мы увидим Как восстановить удаленные файлы с техникой файл резьба Использование Прежде всего.

foremostt

Верно, что есть много больше приложений для выполнения этой задачи, но этот инструмент и Скальпель те, которые я люблю, и которое используется один раз по ошибке, что я удалил, не должно; они помогли мне снизить процент вероятности алопеция, или инфарктов в раннем возрасте.

Для следующих практики, Нам понадобится флэш-накопитель, и Некоторые файлы в различных форматах.

форматы

Что мы делаем с этой флэш-накопитель, Он сделает это таким же образом, в любых других носителей; Единственное отличие заключается в том, что вам делать это на жестких дисках, Мы должны открыть наши настольных ПК; наличие порта eSata; или у USB хост-контроллер для IDE/PATA/SATA.

conexionesdiscos

Я предпочитаю параметр контроллера, Так как это позволяет нам работать со всеми типами жестких дисков; вне зависимости от того, являются ли они новые или старые, из 2,5″ или 3,5″, Это очень экономично и эта конкретная модель до двух дисков может быть вам в то же время.

контроллер дисковода

Мульти-диск контроллер.

Файлы

Как ранее отметил, Нам понадобится несколько файлов для восстановления, Я скопировал мое в флешки.

Содержание нашей поддержки хранения.

Необходимые пакеты

Мы должны выполнять эту практику Прежде всего, так что давайте посмотрим, что этот пакет должен быть установлен для этого программного обеспечения, К счастью он доступен в официальных репозиториев, так что мы просто должны использовать инструмент APT.

usuario@maquina:~$ sudo apt-get install foremost

Удаление содержимого

Первый Давайте стереть наши файлы, и для этого мы будем использовать команду RM с аргументом -r чтобы сделать рекурсивное удаление и -f для принудительного удаления; Наконец, как выбрать целевой * т.е., Мы будем информировать вас, что удаляет все файлы внутри нашей флешки или жесткий диск.

#Nos movemos al directorio donde se ha montado nuestro soporte de almacenamiento.
usuario@maquina:~$ cd /media/ruta-del-disco

#Borramos todo el contenido.
usuario@maquina:~$ sudo rm -rf *

#Listamos el contenido para comprobar que ya no queda nada.
usuario@maquina:~$ ls
usuario@maquina:~$

Это Foremost, и как она работает внутри

Прежде всего судебно инструмент Это инструмент для восстановления файлов, первоначально разработанный Департаментом специальных расследований военно-воздушные силы армии Соединенных Штатов Америки.

Мы должны иметь в виду, что когда вы удаляете файл, Единственное, что мы делаем это скрыть это с учетом пользователя, Маркировка как свободные кластер оккупирован; в надежде на то, что требуется пространство, затем переписать его.

Понять, что ваш способ восстановления файлов очень проста, что она делает это принять диск, попытка признать файлы в структуре заголовки и нижние колонтитулы в формате шестнадцатеричное Каждый тип файла, Поскольку эти они являются общими.

Настройка Foremost в нашей душе

Для настройки Прежде всего любым способом, Вам только нужно отредактировать файл конфигурации /etc/Foremost.conf и раскомментировать форматов файлов, которые вы хотите для поиска; делать Это не является необходимым, предоставляет параметры по умолчанию для всех форматов, но мы можем изменить заголовок и Нижний колонтитул шестнадцатеричные, если мы хотим, e даже добавить различные типы файлов.

usuario@maquina:~$ sudo nano /etc/foremost.conf

Затем вы можете увидеть a пример части содержимого файл конфигурации, в конкретные строки, которые относятся к форматам, которые мы собираемся восстановить; Если бы мы хотели изменить некоторые параметры только следует раскомментируйте строку, связанные с расширением желаемого, чтобы окончательно изменить эти значения.

#---------------------------------------------------------------------
# GIF and JPG files (very common)
# (NOTE THESE FORMATS HAVE BUILTIN EXTRACTION FUNCTION)
# gif y 155000000 \x47\x49\x46\x38\x37\x61 \x00\x3b
# gif y 155000000 \x47\x49\x46\x38\x39\x61 \x00\x00\x3b
# jpg y 20000000 \xff\xd8\xff\xe0\x00\x10 \xff\xd9
# jpg y 20000000 \xff\xd8\xff\xe1 \xff\xd9
# jpg y 20000000 \xff\xd8 \xff\xd9
#
# PNG (used in web pages)
# (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
# png y 200000 \x50\x4e\x47? \xff\xfc\xfd\xfe
#
#---------------------------------------------------------------------
# ADOBE PDF (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
#---------------------------------------------------------------------
#
# pdf y 5000000 %PDF- %EOF
#
#---------------------------------------------------------------------
# (NOTE THIS FORMAT HAS BUILTIN EXTRACTION FUNCTION)
# zip y 10000000 PK\x03\x04 \x3c\xac
#---------------------------------------------------------------------

Восстановить наши файлы с Foremost

Восстановление файлов с Прежде всего очень легко, Мы просто должны запустить его с необходимыми опциями; Затем я объясню, что я выбрал.

v включает режим подробного протоколирования, Прежде всего дисплей больше информации процесса является пока принимающ.

t Указывает тип файла для извлечения.

T Добавлять дату к имени каталога, где будут восстановлены данные, Поэтому мы не должны изменить имя каталога при запуске Прежде всего.

я Указывает имя раздела, где вы хотите восстановить файлы.

o Указывает каталог, где мы хотим Прежде всего Сохранение восстановленных файлов.

ES рекомендуется Просмотрите руководство, чтобы очистить любые сомнения о.

usuario@maquina:~$ man foremost

Прежде всего поддерживает много различных форматов, и чтобы не повторить операцию по одному мы собираемся указать, чтобы получить все доступные форматы с аргументом все для варианта -t; Это возможно так поздно большую, но мы собираемся бросил работать, и мы пойдем на чашечку кофе или для выполнения других задач во время этого периода времени.

usuario@maquina:~$ sudo foremost -v -T -t all -i /dev/sdb1 -o /home/usuario/Escritorio/recuperado

[sudo] password for usuario:
Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus
Audit File

Foremost started at Sat Dec 27 12:13:03 2014
Invocation: foremost -v -T -t all /dev/sdb1 -o /home/usuario/Escritorio/recuperado
Output directory: /home/usuario/Escritorio/recuperado
Configuration file: /etc/foremost.conf
Processing: /dev/sdb1
|------------------------------------------------------------------|
File: /dev/sdb1
Start: Sat Dec 27 12:13:03 2014
Length: 7 GB (8010072064 bytes)
 
Num Name (bs=512) Size File Offset Comment 

*0: 00266344.png 74 KB 136368128 (297 x 222)
1: 00267240.png 2 MB 136826880 (2176 x 1915)
2: 00275456.png 22 KB 141033603 (181 x 256)
3: 00275520.png 21 KB 141066371 (181 x 256)
4: 00275664.png 87 KB 141139968 (1157 x 654)
5: 00275840.png 297 KB 141230080 (1023 x 635)
6: 00276480.png 255 KB 141557760 (1021 x 588)
7: 00276992.png 21 KB 141819904 (912 x 553)
8: 00277040.png 106 KB 141844480 (1308 x 701)
9: 00277256.png 10 KB 141955072 (797 x 114)
10: 00277280.png 49 KB 141967360 (519 x 485)
11: 00285584.png 21 KB 146219139 (181 x 256)

*********************************************************************
*********************************************************************
2869: 02437564.dll 51 KB 1248032768 10/20/2010 13:24:41
2870: 02437679.dll 79 KB 1248091648 10/20/2010 13:24:50
2871: 02437850.dll 68 KB 1248179200 10/20/2010 13:24:41
2872: 02438005.dll 358 KB 1248258560 02/24/2011 04:00:44
2873: 02438756.dll 51 KB 1248643072 10/20/2010 13:24:41
2874: 02438872.dll 79 KB 1248702464 10/20/2010 13:24:50
2875: 02439043.dll 68 KB 1248790016 10/20/2010 13:24:41
2876: 02439199.dll 358 KB 1248869888 02/24/2011 04:00:44 
|********************************************************************|

Finish: Sat Dec 27 13:09:06 2014

2974 FILES EXTRACTED

gif:= 347 
jpg:= 483
png:= 922
avi:= 119
pdf:= 278
zip:= 2
exe:= 132
dll:= 691
------------------------------------------------------------------ 

Восстановления взяла немного меньше чем за час, Хотя это будет варьироваться в зависимости от размера раздела, количество форматов для получения, и команда, с которой мы выполняем задачу; Я сократил список файлов, так как они были более чем 2900 файлы в различных форматах, и с датами, начиная от 1998 пока что.

Я хочу подчеркнуть, что флешки Я купил его 2013, Поэтому другие данные должны быть подарок праздник SR. Кингстон; но я не-быть неблагодарным, Я собираюсь удалить их.

srkingston

Г-н. Кингстон.

После того как приложение завершит свою задачу, Мы будем идти в каталог, который был вызван “Восстановленные“, и внутри вы найдете папку, связанные с каждым форматом; среди них есть файлы, которые были найдены, Но прежде чем мы должны изменить разрешения на доступ к этим каталогам.

usuario@maquina:~$ sudo chown usuario -R /home/usuario/Escritorio/recuperado_DíaSemana_Mes_DíaMes_Hora_Minuto_Segundo_Año

Теперь мы уже можем получить доступ к каталогу, содержащему файлы; Каждый из них были восстановлены успешно, Давайте посмотрим внутри папки, содержащей файлы в качестве примера PDF Восстановленные.

Восстановленные файлы PDF.

Если вы хотите, вы можете следовать за мной Щебетать, Facebook, Google +, LinkedIn, или поделиться ею с помощью кнопок под этой публикации, Если у вас есть какие-либо вопросы или предложения, пожалуйста, не стесняйтесь комментировать.

Помогите нам достичь больше читателей Share on LinkedInShare on FacebookTweet about this on TwitterShare on Google+Email this to someone

Оставь ответ