Računalniške forenzike – Obnavljanje datotek z datoteko carving s predvsem

Na računalniške forenzike To je ena izmed disciplin, ki jo ljubim, in ne govorili na blog na ta veja je računalniško varnost como se merece; Torej, danes bomo videli Kako v zopet prejeti izbrisati pila s tehniko datoteke rezbar utilizando Predvsem.

foremostt

Je res, da obstaja veliko več vlog za opravljanje te naloge, pero esta herramienta y Skalpelom son las que mas me gustan, in kar sem rabil ko ko pomotoma, jaz izbrisati to ne bi; las dos me han ayudado a bajar el porcentaje de probabilidad de sufrir alopecia, ali srčni napad v zgodnji mladosti.

Za naslednja praksa, Bomo potrebovali pogon, in nekatere datoteke v različnih formatih.

formatos

Kaj naredimo s tem trenutek voziti, To bi stori enako v drug pomnilniški medij; Edina razlika je, da vam na trde diske, Smo odprli naše pult PC; ob pristanišču eSata; o disponer de una USB gostiteljski krmilnik za IDE/LETALNA KOŽICA NETOPIRJEV/SATAN.

conexionesdiscos

Raje krmilnik možnost, ya que nos permite trabajar con todo tipo de discos duros; ali so nove ali stare, od 2,5″ ali 3,5″, es bastante económica y a este modelo en concreto do dveh diskov lahko vam hkrati.

controladora discos

Več-diskovni krmilnik.

Datoteke

Kot je že komentiral, Bomo morali nekaj datotek, da izterja, yo he copiado los míos en un pendrive.

Vsebine naše podpore skladiščenju.

Potrebni paketi

Para llevar a cabo esta práctica necesitamos Predvsem, Torej, da vidimo, da je paket mora biti nameščen za to programsko opremo, Na srečo, je na voljo v uradnih zbirkah, tako smo morali z orodjem apt.

usuario@maquina:~$ sudo apt-get install foremost

Brisanje vsebine

Prvi poglejmo izbrisati svoj pila, in za to bomo uporabili ukaz RM z argumentom -r da bi izbris rekurzivni in -f za nasilno brisanje; Končno cilj izberite * tj, Obveščamo vas, da izbriše vse datoteke znotraj naše poglavar ali trdi disk.

#Nos movemos al directorio donde se ha montado nuestro soporte de almacenamiento.
usuario@maquina:~$ cd /media/ruta-del-disco

#Borramos todo el contenido.
usuario@maquina:~$ sudo rm -rf *

#Listamos el contenido para comprobar que ya no queda nada.
usuario@maquina:~$ ls
usuario@maquina:~$

To je predvsem, in kako deluje interno

Predvsem forenzične orodje es una herramienta de recuperación de archivos desarrollada inicialmente por el departamento de investigaciones especiales de las fuerzas aéreas del ejército de los Estados Unidos de América.

Debemos tener en cuenta que cuando borramos un archivo, Edina stvar, ki mi je skriti glede na uporabnika, označevanje kot prosta v gruče ocupados por el; v upanju, da prostora je potrebno, do takrat prepisati.

Razumem vaš način za obnovitev datotek je preprosta, ya que lo que hace es recorrer el disco tratando de reconocer los archivos por la estructura de los glave in noge v obliki šestnajstiško Vsaka vrsta datoteke, Saj je to son genéricos.

Configurar Foremost a nuestro gusto

Nastaviti Predvsem meri način, solo tenemos que editar su archivo de configuración /etc/foremost.conf y descomentar los formatos de archivos que queremos buscar; ali To ni potrebno, ya que dispone de configuraciones por defecto para todos los formatos, vendar lahko spremenimo v Glava in noga šestnajstiško, če želimo, e incluso añadir tipos de archivo distintos.

usuario@maquina:~$ sudo nano /etc/foremost.conf

Nato si lahko ogledate a vzorec del vsebine del fichero de configuración, v konkretnih linij, ki se nanašajo na oblike, da bomo za izterjavo; Če smo želeli zamenjati nekaj parameter le naj odkomentirate vrstico, ki je povezana z želeno razširitev, končno spremeniti te vrednosti.

#---------------------------------------------------------------------
# GIF and JPG files (very common)
# (NOTE THESE FORMATS HAVE BUILTIN EXTRACTION FUNCTION)
# gif y 155000000 \x47\x49\x46\x38\x37\x61 \x00\x3b
# gif y 155000000 \x47\x49\x46\x38\x39\x61 \x00\x00\x3b
# jpg y 20000000 \xff\xd8\xff\xe0\x00\x10 \xff\xd9
# jpg y 20000000 \xff\xd8\xff\xe1 \xff\xd9
# jpg y 20000000 \xff\xd8 \xff\xd9
#
# PNG (used in web pages)
# (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
# png y 200000 \x50\x4e\x47? \xff\xfc\xfd\xfe
#
#---------------------------------------------------------------------
# ADOBE PDF (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
#---------------------------------------------------------------------
#
# pdf y 5000000 %PDF- %EOF
#
#---------------------------------------------------------------------
# (NOTE THIS FORMAT HAS BUILTIN EXTRACTION FUNCTION)
# zip y 10000000 PK\x03\x04 \x3c\xac
#---------------------------------------------------------------------

Recuperar nuestros archivos con Foremost

Zopet prejeti pila s Predvsem je res enostavno, Da bi morala samo teči z želene možnosti; Nato bom razložiti, da sem izbral.

v omogoči podroben način, para que foremost muestre mas información del proceso mientras lo está llevando a cabo.

t indica el tipo de archivo a recuperar.

T Ime imenika, kjer bo mogoče izterjati podatkov dodate datum, tako smo morajo ne spremenite ime imenika, ko zaženete predvsem.

sem indica el nombre de la partición de donde queremos recuperar los archivos.

o imenik, kjer želimo predvsem shranite obnovljene datoteke.

ES zelo priporočljivo ojear el manual para despejar cualquier duda al respecto.

usuario@maquina:~$ man foremost

Predvsem podpira veliko različnih oblik, in da ne ponovimo enega bomo kažejo pridobiti vse oblike, ki so na voljo z argumentom all za možnost -t; To je mogoče tako pozno večino, vendar bomo nehal dela, in bomo šli za kavo ali za izvajanje drugih opravil v tem časovnem obdobju.

usuario@maquina:~$ sudo foremost -v -T -t all -i /dev/sdb1 -o /home/usuario/Escritorio/recuperado

[sudo] password for usuario:
Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus
Audit File

Foremost started at Sat Dec 27 12:13:03 2014
Invocation: foremost -v -T -t all /dev/sdb1 -o /home/usuario/Escritorio/recuperado
Output directory: /home/usuario/Escritorio/recuperado
Configuration file: /etc/foremost.conf
Processing: /dev/sdb1
|------------------------------------------------------------------|
File: /dev/sdb1
Start: Sat Dec 27 12:13:03 2014
Length: 7 GB (8010072064 bytes)
 
Num Name (bs=512) Size File Offset Comment 

*0: 00266344.png 74 KB 136368128 (297 x 222)
1: 00267240.png 2 MB 136826880 (2176 x 1915)
2: 00275456.png 22 KB 141033603 (181 x 256)
3: 00275520.png 21 KB 141066371 (181 x 256)
4: 00275664.png 87 KB 141139968 (1157 x 654)
5: 00275840.png 297 KB 141230080 (1023 x 635)
6: 00276480.png 255 KB 141557760 (1021 x 588)
7: 00276992.png 21 KB 141819904 (912 x 553)
8: 00277040.png 106 KB 141844480 (1308 x 701)
9: 00277256.png 10 KB 141955072 (797 x 114)
10: 00277280.png 49 KB 141967360 (519 x 485)
11: 00285584.png 21 KB 146219139 (181 x 256)

*********************************************************************
*********************************************************************
2869: 02437564.dll 51 KB 1248032768 10/20/2010 13:24:41
2870: 02437679.dll 79 KB 1248091648 10/20/2010 13:24:50
2871: 02437850.dll 68 KB 1248179200 10/20/2010 13:24:41
2872: 02438005.dll 358 KB 1248258560 02/24/2011 04:00:44
2873: 02438756.dll 51 KB 1248643072 10/20/2010 13:24:41
2874: 02438872.dll 79 KB 1248702464 10/20/2010 13:24:50
2875: 02439043.dll 68 KB 1248790016 10/20/2010 13:24:41
2876: 02439199.dll 358 KB 1248869888 02/24/2011 04:00:44 
|********************************************************************|

Finish: Sat Dec 27 13:09:06 2014

2974 FILES EXTRACTED

gif:= 347 
jpg:= 483
png:= 922
avi:= 119
pdf:= 278
zip:= 2
exe:= 132
dll:= 691
------------------------------------------------------------------ 

La recuperación ha tardado poco menos de una hora, Čeprav to je odvisna od velikosti particije, znesek oblik pridobiti, in ekipa, s katero izvajamo naloge; Imajo skrajšan seznam datotek, ker so bili več kot 2900 archivos recuperados en diferentes formatos, in z datumi, iz 1998 hasta ahora.

Quiero recalcar que el pendrive Sem ga kupil v 2013, tako drugi podatki morajo biti počitnice darilo je Sr. Kingston; vendar ne-obstati nehvaležen, Bom zbrisati.

srkingston

G.. Kingston.

Ko program konča svojo nalogo, Bomo iti v imeniku, ki je bil imenovan “izterjati“, in v tebi našli mape, povezane z vsako obliko; med njimi so datoteke, ki so bili izterjani, pero antes debemos cambiar los permisos para poder acceder a estos directorios.

usuario@maquina:~$ sudo chown usuario -R /home/usuario/Escritorio/recuperado_DíaSemana_Mes_DíaMes_Hora_Minuto_Segundo_Año

Zdaj smo lahko že dostop do imenika, ki vsebuje vaše datoteke; vsak izmed njih so bili izterjani uspešno, Poglejmo v mapi, ki vsebuje datoteke, na primer PDF izterjati.

Zopet prejeti PDF pila.

Če želite lahko sledite mi na Cvrkutati, Facebook, Google +, LinkedIn, ali delite z gumbi pod to objavo, Če imate kakršnakoli vprašanja ali predloge prosim ne oklevajte in pripombe.

Pomagajte nam, da dosežejo več bralcev Share on LinkedInShare on FacebookTweet about this on TwitterShare on Google+Email this to someone

pusti odgovor