Počítačové forenznú – Obnovenie súborov súbor carving bez predovšetkým

Na počítačové forenznú To je jeden z odborov, ktoré mám rád, a nehovoril na blogu na tento vedný odbor Počítačová bezpečnosť ako si zaslúži; dnes tak uvidíme Ako obnoviť zmazané súbory s technikou súbor carving pomocou Predovšetkým.

foremostt

Je pravda, že existuje mnoho viac aplikácií na vykonanie tejto úlohy, ale tento nástroj a Skalpel sú tie, ktoré mám rád, a ktoré som použil, keď raz omylom som odstránil, že by nemali; dva pomohol mi znížiť percento pravdepodobnosti alopécia, alebo srdcového infarktu v ranom veku.

Pre nasledujúce postupy, Budeme potrebovať flash disk, a niektoré súbory v rôznych formátoch.

formatos

Čo budeme robiť s tejto flash disk, By to rovnakým spôsobom v iných pamäťových médií; jediný rozdiel je, že vás to na pevné disky, Musíme otvoriť naše stolné PC; s port eSata; o disponer de una Hostiteľský radič USB pre IDE/PATA/SATA.

conexionesdiscos

Dávam prednosť voľba kontrolóra, ya que nos permite trabajar con todo tipo de discos duros; či sú nové alebo staré, z 2,5″ alebo 3,5″, es bastante económica y a este modelo en concreto až dva disky vám možno súčasne.

controladora discos

Radič multi-disk.

Súbory

Ako už poznamenal, Budeme potrebovať niektoré súbory obnoviť, yo he copiado los míos en un pendrive.

Obsah podpory našich batožín.

Požadované balíky

Para llevar a cabo esta práctica necesitamos Predovšetkým, Takže poďme sa pozrieť, že balík musí byť nainštalovaný tento softvér, Našťastie je k dispozícii v oficiálnych repozitároch, Takže máme len pomocou nástroja apt.

usuario@maquina:~$ sudo apt-get install foremost

Odstránenie obsahu

Prvé Poďme zmazať naše súbory, a k tomu budeme používať príkaz RM s tvrdením -r aby sa rekurzívne mazanie a -f chcete vynútiť jej odstránenie; Nakoniec, ako cieľ vybrať * t. j., Budeme informovať vás, že odstráni všetky súbory vo vnútri naše pendrive alebo pevný disk.

#Nos movemos al directorio donde se ha montado nuestro soporte de almacenamiento.
usuario@maquina:~$ cd /media/ruta-del-disco

#Borramos todo el contenido.
usuario@maquina:~$ sudo rm -rf *

#Listamos el contenido para comprobar que ya no queda nada.
usuario@maquina:~$ ls
usuario@maquina:~$

Je to predovšetkým, a ako to funguje, vnútorne

Predovšetkým forenznú nástroj es una herramienta de recuperación de archivos desarrollada inicialmente por el departamento de investigaciones especiales de las fuerzas aéreas del ejército de los Estados Unidos de América.

Debemos tener en cuenta que cuando borramos un archivo, Jediné, čo môžeme urobiť, je skryť z hľadiska používateľa, označenie ako voľný Hviezdokopa ocupados por el; v nádeji, že je potrebný priestor, potom ho prepísať.

Pochopiť váš spôsob obnovy súborov je jednoduchá, ya que lo que hace es recorrer el disco tratando de reconocer los archivos por la estructura de los hlavičky a päty vo formáte šestnástkové každý typ súboru, Pretože tieto son genéricos.

Configurar Foremost a nuestro gusto

Konfigurácia Predovšetkým vlastným spôsobom, solo tenemos que editar su archivo de configuración /etc/foremost.conf y descomentar los formatos de archivos que queremos buscar; robiť To nie je potrebné, ya que dispone de configuraciones por defecto para todos los formatos, ale môžeme zmeniť Hlavička a Päta šestnástkové ak chceme, e incluso añadir tipos de archivo distintos.

usuario@maquina:~$ sudo nano /etc/foremost.conf

Potom môžete vidieť a Ukážka časti obsahu del fichero de configuración, v konkrétne linky, ktoré odkazujú na formáty, ktoré sa chystáte obnoviť; Ak by sme chceli zmeniť niektoré parametre len mali odkomentovat riadok priradený požadované rozšírenie, konečne zmeniť tieto hodnoty.

#---------------------------------------------------------------------
# GIF and JPG files (very common)
# (NOTE THESE FORMATS HAVE BUILTIN EXTRACTION FUNCTION)
# gif y 155000000 \x47\x49\x46\x38\x37\x61 \x00\x3b
# gif y 155000000 \x47\x49\x46\x38\x39\x61 \x00\x00\x3b
# jpg y 20000000 \xff\xd8\xff\xe0\x00\x10 \xff\xd9
# jpg y 20000000 \xff\xd8\xff\xe1 \xff\xd9
# jpg y 20000000 \xff\xd8 \xff\xd9
#
# PNG (used in web pages)
# (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
# png y 200000 \x50\x4e\x47? \xff\xfc\xfd\xfe
#
#---------------------------------------------------------------------
# ADOBE PDF (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
#---------------------------------------------------------------------
#
# pdf y 5000000 %PDF- %EOF
#
#---------------------------------------------------------------------
# (NOTE THIS FORMAT HAS BUILTIN EXTRACTION FUNCTION)
# zip y 10000000 PK\x03\x04 \x3c\xac
#---------------------------------------------------------------------

Recuperar nuestros archivos con Foremost

Obnoviť súbory Predovšetkým je naozaj jednoduché, Mali by sme stačí spustiť s požadované možnosti; Potom sa vysvetliť, že som si vybral.

v umožňuje verbose režimu, para que foremost muestre mas información del proceso mientras lo está llevando a cabo.

t indica el tipo de archivo a recuperar.

T Pridať dátum, názov adresára, kde dáta budú vrátené, Takže sa nesmieme zmeniť názov adresára pri každom spustení predovšetkým.

som indica el nombre de la partición de donde queremos recuperar los archivos.

o Určuje adresár, kde chceme predovšetkým Uložiť obnovené súbory.

ES Vrelo odporúčam ojear el manual para despejar cualquier duda al respecto.

usuario@maquina:~$ man foremost

Predovšetkým podporuje veľa rôznych formátov, a sa opakuje po jednom budeme označovať získať všetky dostupné formáty s argumentom all pre možnosť -t; Je možné tak neskoro väčšinu, ale budeme sa prestal pracovať, a pôjdeme na kávu alebo vykonávať iné úlohy v tomto časovom období.

usuario@maquina:~$ sudo foremost -v -T -t all -i /dev/sdb1 -o /home/usuario/Escritorio/recuperado

[sudo] password for usuario:
Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus
Audit File

Foremost started at Sat Dec 27 12:13:03 2014
Invocation: foremost -v -T -t all /dev/sdb1 -o /home/usuario/Escritorio/recuperado
Output directory: /home/usuario/Escritorio/recuperado
Configuration file: /etc/foremost.conf
Processing: /dev/sdb1
|------------------------------------------------------------------|
File: /dev/sdb1
Start: Sat Dec 27 12:13:03 2014
Length: 7 GB (8010072064 bytes)
 
Num Name (bs=512) Size File Offset Comment 

*0: 00266344.png 74 KB 136368128 (297 x 222)
1: 00267240.png 2 MB 136826880 (2176 x 1915)
2: 00275456.png 22 KB 141033603 (181 x 256)
3: 00275520.png 21 KB 141066371 (181 x 256)
4: 00275664.png 87 KB 141139968 (1157 x 654)
5: 00275840.png 297 KB 141230080 (1023 x 635)
6: 00276480.png 255 KB 141557760 (1021 x 588)
7: 00276992.png 21 KB 141819904 (912 x 553)
8: 00277040.png 106 KB 141844480 (1308 x 701)
9: 00277256.png 10 KB 141955072 (797 x 114)
10: 00277280.png 49 KB 141967360 (519 x 485)
11: 00285584.png 21 KB 146219139 (181 x 256)

*********************************************************************
*********************************************************************
2869: 02437564.dll 51 KB 1248032768 10/20/2010 13:24:41
2870: 02437679.dll 79 KB 1248091648 10/20/2010 13:24:50
2871: 02437850.dll 68 KB 1248179200 10/20/2010 13:24:41
2872: 02438005.dll 358 KB 1248258560 02/24/2011 04:00:44
2873: 02438756.dll 51 KB 1248643072 10/20/2010 13:24:41
2874: 02438872.dll 79 KB 1248702464 10/20/2010 13:24:50
2875: 02439043.dll 68 KB 1248790016 10/20/2010 13:24:41
2876: 02439199.dll 358 KB 1248869888 02/24/2011 04:00:44 
|********************************************************************|

Finish: Sat Dec 27 13:09:06 2014

2974 FILES EXTRACTED

gif:= 347 
jpg:= 483
png:= 922
avi:= 119
pdf:= 278
zip:= 2
exe:= 132
dll:= 691
------------------------------------------------------------------ 

La recuperación ha tardado poco menos de una hora, Aj keď to sa bude líšiť v závislosti na veľkosti oddielu, množstvo formátov na získavanie, a tím, s ktorým budeme plniť úlohu; Majú skrátiť, Zoznam súborov, Vzhľadom k tomu, že boli viac ako 2900 archivos recuperados en diferentes formatos, a s dátami od 1998 hasta ahora.

Quiero recalcar que el pendrive Kúpil som ju v 2013, Takže ďalšie údaje mali dovolenku dar Sr. Kingston; ale non-byť nevďačný, Ja som chcel zmazať.

srkingston

Pán. Kingston.

Akonáhle sa aplikácia skončí svoju úlohu, Pôjdeme do adresára, ktorý sa nazýva “späť“, a vnútri nájdete priečinok priradený každý formát; medzi nimi sú súbory, ktoré boli vrátené, pero antes debemos cambiar los permisos para poder acceder a estos directorios.

usuario@maquina:~$ sudo chown usuario -R /home/usuario/Escritorio/recuperado_DíaSemana_Mes_DíaMes_Hora_Minuto_Segundo_Año

Teraz sme už prístup do adresára, ktorý obsahuje súbory; každý jeden z nich boli vrátené úspešne, Poďme sa pozrieť v priečinku, ktorý obsahuje súbory, ako napríklad PDF späť.

Obnovené súbory PDF.

Ak by ste za mnou na Twitter, Facebook, Google +, LinkedIn, alebo zdieľať pomocou tlačidiel podľa Táto publikácia, Ak máte akékoľvek otázky, alebo návrhy prosím neváhajte komentár.

Pomôžte nám osloviť viac čitateľov Share on LinkedInShare on FacebookTweet about this on TwitterShare on Google+Email this to someone

nechať odpoveď