Počítačové forenznú – Obnovenie súborov súbor carving bez predovšetkým

Na počítačové forenznú To je jeden z odborov, ktoré mám rád, a nehovoril na blogu na tento vedný odbor Počítačová bezpečnosť ako si zaslúži; dnes tak uvidíme Ako obnoviť zmazané súbory s technikou súbor carving pomocou Predovšetkým.

foremostt

Je pravda, že existuje mnoho viac aplikácií na vykonanie tejto úlohy, ale tento nástroj a Skalpel sú tie, ktoré mám rád, a ktoré som použil, keď raz omylom som odstránil, že by nemali; dva pomohol mi znížiť percento pravdepodobnosti alopécia, alebo srdcového infarktu v ranom veku.

Pre nasledujúce postupy, Budeme potrebovať flash disk, a niektoré súbory v rôznych formátoch.

formáty

Čo budeme robiť s tejto flash disk, By to rovnakým spôsobom v iných pamäťových médií; jediný rozdiel je, že vás to na pevné disky, Musíme otvoriť naše stolné PC; s port eSata; alebo majú Hostiteľský radič USB pre IDE/PATA/SATA.

conexionesdiscos

Dávam prednosť voľba kontrolóra, Pretože to umožňuje pracovať so všetkými typmi pevných diskov; či sú nové alebo staré, z 2,5″ alebo 3,5″, Je to docela úsporné a tento konkrétny model až dva disky vám možno súčasne.

radič disku

Radič multi-disk.

Súbory

Ako už poznamenal, Budeme potrebovať niektoré súbory obnoviť, Ste skopírovali bane v pendrive.

Obsah podpory našich batožín.

Požadované balíky

Potrebujeme vykonať túto prax Predovšetkým, Takže poďme sa pozrieť, že balík musí byť nainštalovaný tento softvér, Našťastie je k dispozícii v oficiálnych repozitároch, Takže máme len pomocou nástroja apt.

usuario@maquina:~$ sudo apt-get install foremost

Odstránenie obsahu

Prvé Poďme zmazať naše súbory, a k tomu budeme používať príkaz RM s tvrdením -r aby sa rekurzívne mazanie a -f chcete vynútiť jej odstránenie; Nakoniec, ako cieľ vybrať * t. j., Budeme informovať vás, že odstráni všetky súbory vo vnútri naše pendrive alebo pevný disk.

#Nos movemos al directorio donde se ha montado nuestro soporte de almacenamiento.
usuario@maquina:~$ cd /media/ruta-del-disco

#Borramos todo el contenido.
usuario@maquina:~$ sudo rm -rf *

#Listamos el contenido para comprobar que ya no queda nada.
usuario@maquina:~$ ls
usuario@maquina:~$

Je to predovšetkým, a ako to funguje, vnútorne

Predovšetkým forenznú nástroj Je to nástroj pre obnovu súborov, pôvodne vyvinutý na katedre špeciálne vyšetrovanie leteckých síl armády Spojených štátov amerických.

Musíme mať na pamäti, že keď odstránite súbor, Jediné, čo môžeme urobiť, je skryť z hľadiska používateľa, označenie ako voľný Hviezdokopa obsadený; v nádeji, že je potrebný priestor, potom ho prepísať.

Pochopiť váš spôsob obnovy súborov je jednoduchá, to, čo sa snažia rozpoznať súbory podľa štruktúry disku hlavičky a päty vo formáte šestnástkové každý typ súboru, Pretože tieto sú generické.

Konfigurovať predovšetkým podľa našich predstáv

Konfigurácia Predovšetkým vlastným spôsobom, musíte upraviť konfiguračný súbor /etc/foremost.conf a odkomentujte formáty súborov, ktoré chcete hľadať; robiť To nie je potrebné, ponúka nastavenia predvolené pre všetky formáty, ale môžeme zmeniť Hlavička a Päta šestnástkové ak chceme, e pridať aj rôzne typy súborov.

usuario@maquina:~$ sudo nano /etc/foremost.conf

Potom môžete vidieť a Ukážka časti obsahu konfiguračný súbor, v konkrétne linky, ktoré odkazujú na formáty, ktoré sa chystáte obnoviť; Ak by sme chceli zmeniť niektoré parametre len mali odkomentovat riadok priradený požadované rozšírenie, konečne zmeniť tieto hodnoty.

#---------------------------------------------------------------------
# GIF and JPG files (very common)
# (NOTE THESE FORMATS HAVE BUILTIN EXTRACTION FUNCTION)
# gif y 155000000 \x47\x49\x46\x38\x37\x61 \x00\x3b
# gif y 155000000 \x47\x49\x46\x38\x39\x61 \x00\x00\x3b
# jpg y 20000000 \xff\xd8\xff\xe0\x00\x10 \xff\xd9
# jpg y 20000000 \xff\xd8\xff\xe1 \xff\xd9
# jpg y 20000000 \xff\xd8 \xff\xd9
#
# PNG (used in web pages)
# (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
# png y 200000 \x50\x4e\x47? \xff\xfc\xfd\xfe
#
#---------------------------------------------------------------------
# ADOBE PDF (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
#---------------------------------------------------------------------
#
# pdf y 5000000 %PDF- %EOF
#
#---------------------------------------------------------------------
# (NOTE THIS FORMAT HAS BUILTIN EXTRACTION FUNCTION)
# zip y 10000000 PK\x03\x04 \x3c\xac
#---------------------------------------------------------------------

Obnoviť naše súbory s predovšetkým

Obnoviť súbory Predovšetkým je naozaj jednoduché, Mali by sme stačí spustiť s požadované možnosti; Potom sa vysvetliť, že som si vybral.

v umožňuje verbose režimu, predovšetkým displej ďalšie spracovanie informácií je pri jeho užívaní.

t Určuje typ súboru, načítať.

T Pridať dátum, názov adresára, kde dáta budú vrátené, Takže sa nesmieme zmeniť názov adresára pri každom spustení predovšetkým.

som udáva názov oblasti, kam chcete obnoviť súbory.

o Určuje adresár, kde chceme predovšetkým Uložiť obnovené súbory.

ES Vrelo odporúčam Prehľadávať manuálne vymazať akékoľvek pochybnosti o.

usuario@maquina:~$ man foremost

Predovšetkým podporuje veľa rôznych formátov, a sa opakuje po jednom budeme označovať získať všetky dostupné formáty s argumentom Všetky pre možnosť -t; Je možné tak neskoro väčšinu, ale budeme sa prestal pracovať, a pôjdeme na kávu alebo vykonávať iné úlohy v tomto časovom období.

usuario@maquina:~$ sudo foremost -v -T -t all -i /dev/sdb1 -o /home/usuario/Escritorio/recuperado

[sudo] password for usuario:
Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus
Audit File

Foremost started at Sat Dec 27 12:13:03 2014
Invocation: foremost -v -T -t all /dev/sdb1 -o /home/usuario/Escritorio/recuperado
Output directory: /home/usuario/Escritorio/recuperado
Configuration file: /etc/foremost.conf
Processing: /dev/sdb1
|------------------------------------------------------------------|
File: /dev/sdb1
Start: Sat Dec 27 12:13:03 2014
Length: 7 GB (8010072064 bytes)
 
Num Name (bs=512) Size File Offset Comment 

*0: 00266344.png 74 KB 136368128 (297 x 222)
1: 00267240.png 2 MB 136826880 (2176 x 1915)
2: 00275456.png 22 KB 141033603 (181 x 256)
3: 00275520.png 21 KB 141066371 (181 x 256)
4: 00275664.png 87 KB 141139968 (1157 x 654)
5: 00275840.png 297 KB 141230080 (1023 x 635)
6: 00276480.png 255 KB 141557760 (1021 x 588)
7: 00276992.png 21 KB 141819904 (912 x 553)
8: 00277040.png 106 KB 141844480 (1308 x 701)
9: 00277256.png 10 KB 141955072 (797 x 114)
10: 00277280.png 49 KB 141967360 (519 x 485)
11: 00285584.png 21 KB 146219139 (181 x 256)

*********************************************************************
*********************************************************************
2869: 02437564.dll 51 KB 1248032768 10/20/2010 13:24:41
2870: 02437679.dll 79 KB 1248091648 10/20/2010 13:24:50
2871: 02437850.dll 68 KB 1248179200 10/20/2010 13:24:41
2872: 02438005.dll 358 KB 1248258560 02/24/2011 04:00:44
2873: 02438756.dll 51 KB 1248643072 10/20/2010 13:24:41
2874: 02438872.dll 79 KB 1248702464 10/20/2010 13:24:50
2875: 02439043.dll 68 KB 1248790016 10/20/2010 13:24:41
2876: 02439199.dll 358 KB 1248869888 02/24/2011 04:00:44 
|********************************************************************|

Finish: Sat Dec 27 13:09:06 2014

2974 FILES EXTRACTED

gif:= 347 
jpg:= 483
png:= 922
avi:= 119
pdf:= 278
zip:= 2
exe:= 132
dll:= 691
------------------------------------------------------------------ 

Vymáhanie vzal trochu menej ako hodinu, Aj keď to sa bude líšiť v závislosti na veľkosti oddielu, množstvo formátov na získavanie, a tím, s ktorým budeme plniť úlohu; Majú skrátiť, Zoznam súborov, Vzhľadom k tomu, že boli viac ako 2900 súbory v rôznych formátoch, a s dátami od 1998 Až teraz.

Chcem zdôrazniť, že pendrive Kúpil som ju v 2013, Takže ďalšie údaje mali dovolenku dar SR. Kingston; ale non-byť nevďačný, Ja som chcel zmazať.

srkingston

Pán. Kingston.

Akonáhle sa aplikácia skončí svoju úlohu, Pôjdeme do adresára, ktorý sa nazýva “späť“, a vnútri nájdete priečinok priradený každý formát; medzi nimi sú súbory, ktoré boli vrátené, ale skôr, ako budeme musieť zmeniť povolenia na prístup tieto adresáre.

usuario@maquina:~$ sudo chown usuario -R /home/usuario/Escritorio/recuperado_DíaSemana_Mes_DíaMes_Hora_Minuto_Segundo_Año

Teraz sme už prístup do adresára, ktorý obsahuje súbory; každý jeden z nich boli vrátené úspešne, Poďme sa pozrieť v priečinku, ktorý obsahuje súbory, ako napríklad PDF späť.

Obnovené súbory PDF.

Ak by ste za mnou na Twitter, Facebook, Google +, LinkedIn, alebo zdieľať pomocou tlačidiel podľa Táto publikácia, Ak máte akékoľvek otázky, alebo návrhy prosím neváhajte komentár.

Pomôžte nám osloviť viac čitateľov Share on LinkedInShare on FacebookTweet about this on TwitterShare on Google+Email this to someone

nechať odpoveď