Kompjuter forenziku – Oporavlja datoteke po datoteku rezbarenja sa Formosta

Na kompjuter forenziku To je jedna od disciplina koju volim, i prozborio na blogu na ovom granom u bezbednost računara como se merece; tako danas vidimo Oporavak izbrisanih datoteka je tehnikom rezbarija datoteka utilizando Najistaknutiji.

foremostt

Istina je da postoje mnoge više aplikacije da izvrši ovaj zadatak, pero esta herramienta y Skalpel son las que mas me gustan, i što sam tada jednom uzeo zabunom sam izbrisao koji bi trebalo da ne; las dos me han ayudado a bajar el porcentaje de probabilidad de sufrir alopecia, ili infarkta u ranim godinama.

Za sledeći praksu, Treba nam USB, i neke datoteke u različitim formatima.

formatos

Kako koristimo ovaj fleš disk, To i uraditi na isti način kao u bilo koji drugi medij za pohranu; Jedina razlika je u tome da to uradite na hard diskove, Moramo otvoriti nam površine PC; imaju port eSata; o disponer de una USB upravljački kontroler za IDE/PATA/SATA.

conexionesdiscos

Preferiram opciju kontroler, ya que nos permite trabajar con todo tipo de discos duros; Da li su novi ili stari, od 2,5″ ili 3,5″, es bastante económica y a este modelo en concreto do dva diska može biti ti u isto vreme.

controladora discos

Multi disk kontroler.

Datoteka

Kao što je prethodno komentarisao, Treba nam neke datoteke za oporavak, yo he copiado los míos en un pendrive.

Sadržaj za našu podršku za skladištenje.

Potrebni paketi

Para llevar a cabo esta práctica necesitamos Najistaknutiji, da vidimo taj paket mora da bude instaliran za ovaj softver, Na sreću, to je dostupan u zvaničnoj depoa, Tako da samo moramo koristiti alat prikladna.

usuario@maquina:~$ sudo apt-get install foremost

Brisanje sadržaja

Prvo Daj da obriљemo dokumentima, a da biste to učinili smo će koristiti komandu RM uz argument -r da bi rekurzivna brisanja i -f prisilimo li brisanje; Napokon kao metu izaberite * t.j., Obavestiжemo vas, to će izbrisati sve datoteke unutar naš USB disk ili čvrsti disk.

#Nos movemos al directorio donde se ha montado nuestro soporte de almacenamiento.
usuario@maquina:~$ cd /media/ruta-del-disco

#Borramos todo el contenido.
usuario@maquina:~$ sudo rm -rf *

#Listamos el contenido para comprobar que ya no queda nada.
usuario@maquina:~$ ls
usuario@maquina:~$

To je Formosta, i kako to radi interno

Pre svega forenzički alat es una herramienta de recuperación de archivos desarrollada inicialmente por el departamento de investigaciones especiales de las fuerzas aéreas del ejército de los Estados Unidos de América.

Debemos tener en cuenta que cuando borramos un archivo, Jedina stvar koju radimo je sakriti imajući u vidu korisnika, Označavanje kao slobodno na klastera ocupados por el; u nadi da se prostor zahteva, do tada ga zamenite.

Razumem tvoj način da se oporavlja datoteke je vrlo jednostavno, ya que lo que hace es recorrer el disco tratando de reconocer los archivos por la estructura de los zaglavlja i na podnožja u formatu heksadecimalni Svaki tip datoteke, Od ovih son genéricos.

Configurar Foremost a nuestro gusto

Da biste konfigurisali Najistaknutiji na prilagođen način, solo tenemos que editar su archivo de configuración /etc/foremost.conf y descomentar los formatos de archivos que queremos buscar; radim Ovo nije neophodno, ya que dispone de configuraciones por defecto para todos los formatos, Ali možemo promeniti u Zaglavlje i na podnožje stranice heksadecimalni ako želimo, e incluso añadir tipos de archivo distintos.

usuario@maquina:~$ sudo nano /etc/foremost.conf

Zatim možete videti na uzorak deo sadržaja del fichero de configuración, u betonski redove koji se odnose na formate koji idemo da se oporavi; Da smo hteli da promenite neki parametar samo trebao Opozovi komentar redu koji je povezan sa željenog tipa, promijeniti te vrednosti.

#---------------------------------------------------------------------
# GIF and JPG files (very common)
# (NOTE THESE FORMATS HAVE BUILTIN EXTRACTION FUNCTION)
# gif y 155000000 \x47\x49\x46\x38\x37\x61 \x00\x3b
# gif y 155000000 \x47\x49\x46\x38\x39\x61 \x00\x00\x3b
# jpg y 20000000 \xff\xd8\xff\xe0\x00\x10 \xff\xd9
# jpg y 20000000 \xff\xd8\xff\xe1 \xff\xd9
# jpg y 20000000 \xff\xd8 \xff\xd9
#
# PNG (used in web pages)
# (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
# png y 200000 \x50\x4e\x47? \xff\xfc\xfd\xfe
#
#---------------------------------------------------------------------
# ADOBE PDF (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
#---------------------------------------------------------------------
#
# pdf y 5000000 %PDF- %EOF
#
#---------------------------------------------------------------------
# (NOTE THIS FORMAT HAS BUILTIN EXTRACTION FUNCTION)
# zip y 10000000 PK\x03\x04 \x3c\xac
#---------------------------------------------------------------------

Recuperar nuestros archivos con Foremost

Spašavanje datoteka sa Najistaknutiji lako je, Samo to moramo bjezati sa željene opcije; Onda ću objasniti da sam izabrala.

v omogućava detaljno režim, para que foremost muestre mas información del proceso mientras lo está llevando a cabo.

t indica el tipo de archivo a recuperar.

T Dodaj datum na ime direktorijuma gde će biti spasene podatke, Tako da mi ne morate da promenite ime direktorijuma svaki put kada se pokrene najistaknutiji.

Ja indica el nombre de la partición de donde queremos recuperar los archivos.

o označava direktorijum gde želimo da najistaknutiji Sačuvaj spasene datoteke.

ES Vrlo dobre preporuke ojear el manual para despejar cualquier duda al respecto.

usuario@maquina:~$ man foremost

Najistaknutiji podržava mnoge različite formate, i da ne ponovite operaciju, jedan po jedan da biste naznačili da biste preuzeli sve dostupne formate sa argumentom all za opciju -t; To je moguće tako kasno najviše, Ali mi idemo napusti posao, Idemo na kafu ili da obavlja i druge poslove u tom vremenskom periodu.

usuario@maquina:~$ sudo foremost -v -T -t all -i /dev/sdb1 -o /home/usuario/Escritorio/recuperado

[sudo] password for usuario:
Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus
Audit File

Foremost started at Sat Dec 27 12:13:03 2014
Invocation: foremost -v -T -t all /dev/sdb1 -o /home/usuario/Escritorio/recuperado
Output directory: /home/usuario/Escritorio/recuperado
Configuration file: /etc/foremost.conf
Processing: /dev/sdb1
|------------------------------------------------------------------|
File: /dev/sdb1
Start: Sat Dec 27 12:13:03 2014
Length: 7 GB (8010072064 bytes)
 
Num Name (bs=512) Size File Offset Comment 

*0: 00266344.png 74 KB 136368128 (297 x 222)
1: 00267240.png 2 MB 136826880 (2176 x 1915)
2: 00275456.png 22 KB 141033603 (181 x 256)
3: 00275520.png 21 KB 141066371 (181 x 256)
4: 00275664.png 87 KB 141139968 (1157 x 654)
5: 00275840.png 297 KB 141230080 (1023 x 635)
6: 00276480.png 255 KB 141557760 (1021 x 588)
7: 00276992.png 21 KB 141819904 (912 x 553)
8: 00277040.png 106 KB 141844480 (1308 x 701)
9: 00277256.png 10 KB 141955072 (797 x 114)
10: 00277280.png 49 KB 141967360 (519 x 485)
11: 00285584.png 21 KB 146219139 (181 x 256)

*********************************************************************
*********************************************************************
2869: 02437564.dll 51 KB 1248032768 10/20/2010 13:24:41
2870: 02437679.dll 79 KB 1248091648 10/20/2010 13:24:50
2871: 02437850.dll 68 KB 1248179200 10/20/2010 13:24:41
2872: 02438005.dll 358 KB 1248258560 02/24/2011 04:00:44
2873: 02438756.dll 51 KB 1248643072 10/20/2010 13:24:41
2874: 02438872.dll 79 KB 1248702464 10/20/2010 13:24:50
2875: 02439043.dll 68 KB 1248790016 10/20/2010 13:24:41
2876: 02439199.dll 358 KB 1248869888 02/24/2011 04:00:44 
|********************************************************************|

Finish: Sat Dec 27 13:09:06 2014

2974 FILES EXTRACTED

gif:= 347 
jpg:= 483
png:= 922
avi:= 119
pdf:= 278
zip:= 2
exe:= 132
dll:= 691
------------------------------------------------------------------ 

La recuperación ha tardado poco menos de una hora, Iako je ovo će se razlikovati u zavisnosti od veličine particije, iznos od formata za preuzimanje, i u tim sa kojim smo ispunite zadatak; Skratila sam spisak datoteka, s obzirom da su više od 2900 archivos recuperados en diferentes formatos, i to sa datumima koji datira iz 1998 hasta ahora.

Quiero recalcar que el pendrive Kupio sam ga 2013, tako ostale podatke bi trebalo praznični poklon od na Sr. Kingston; Ali ja ne-biti nezahvalna, Idem da ih izbrišete..

srkingston

G.. Kingston.

Jednom kada se aplikacija završi svoj zadatak, Idemo u direktorijum koji se zove “oporavio“, i u tebi ce naci fascikla povezana sa svakom formatu; Među njima su datoteke koje je otkriveno, pero antes debemos cambiar los permisos para poder acceder a estos directorios.

usuario@maquina:~$ sudo chown usuario -R /home/usuario/Escritorio/recuperado_DíaSemana_Mes_DíaMes_Hora_Minuto_Segundo_Año

Sada smo već možete pristupiti u direktorijum koji sadrži datoteke; Svako od njih je otkriveno uspješno, Pogledajmo unutra fasciklu koja sadrži datoteke kao primer PDF oporavio.

Spasene PDF datoteke.

Kao ti da pratite me Twitter-a, Facebook, Google +, LinkedIn, niti je deliti sa dugmadi ispod ove publikacije, Ako imate bilo kakvih pitanja ili sugestije ne oklevajte da komentariše.

Pomozi nam da dosegnemo više čitalaca Share on LinkedInShare on FacebookTweet about this on TwitterShare on Google+Email this to someone

Оставите одговор