Datarättsvetenskapen – Återskapa filer av filen carving med främst

Den datarättsvetenskapen Det är en av de discipliner som jag älskar, och har inte pratat på blogg på detta förgrena sig av den datasäkerhet hur den förtjänar; så idag får vi se Hur återställa raderade filer med tekniken Fil carving med hjälp av Främst.

foremostt

Stämmer att det finns många fler program att utföra denna uppgift, men detta verktyg och Skalpell är de som jag gillar, och som jag använt när en gång av misstag har jag raderat som inte bör; två har hjälpt mig att sänka procentuella sannolikheten för alopeci, eller hjärtinfarkt i tidig ålder.

För följande praxis, Vi behöver en flash-enhet, och vissa filer i olika format.

format

Vad vi gör med detta USB-minne, Det skulle göra det på samma sätt i något annat lagringsmedium; den enda skillnaden är att du ska göra det på hårddiskar, Vi måste öppna vår stationära dator; att ha en port eSata; eller har en USB-värdstyrenhet för IDE/PATA/SATA.

conexionesdiscos

Jag föredrar alternativet controller, Eftersom det tillåter oss att arbeta med alla typer av hårddiskar; om de är nya eller gamla, för 2,5″ eller 3,5″, Det är ganska sparsam och just denna modell upp till två diskar kan du samtidigt.

disk controller

Controller multi-skiva.

Filer

Som tidigare kommenterat, Vi kommer att behöva några filer att återvinna, Jag har kopierat mitt i en pendrive.

Innehållet i vårt lager stöd.

Krävs paket

Vi måste genomföra denna praxis Främst, så låt oss se detta paket installeras för den här mjukvaran, Lyckligtvis är tillgängligt i de officiella arkiven, så vi kommer bara att använda verktyget apt.

usuario@maquina:~$ sudo apt-get install foremost

Ta bort innehåll

Första låt oss radera våra filer, och för att göra detta kommer vi använda kommandot RM med argumentet -r att göra rekursiva borttagning och -f att tvinga borttagning; Välj slutligen som mål * dvs., Vi kommer att informera dig som tar bort alla filer i vår pendrive eller hårddisk.

#Nos movemos al directorio donde se ha montado nuestro soporte de almacenamiento.
usuario@maquina:~$ cd /media/ruta-del-disco

#Borramos todo el contenido.
usuario@maquina:~$ sudo rm -rf *

#Listamos el contenido para comprobar que ya no queda nada.
usuario@maquina:~$ ls
usuario@maquina:~$

Det är främst, och hur det fungerar internt

Främst kriminaltekniska verktyg Det är ett verktyg för att återskapa filer som från början utvecklades av avdelningen för särskilda utredningar av flygvapen av armén av Amerikas förenta stater.

Vi måste hålla i åtanke att när du tar bort en fil, Det enda vi gör är dölja det med tanke på användaren, märkning som gratis den Cluster upptas av den; i hopp om att utrymme krävs, då skriva över det..

Förstå din väg att återvinna filer är ganska enkelt, vad den gör är att ta disken försöker tolka filer vid strukturera av den headers och den sidfötter i format hexadecimalt varje filtyp, Sedan dessa de är generiska.

Konfigurera främst till vår smak

Så här konfigurerar du Främst på ett anpassat sätt, du behöver bara redigera konfigurationsfilen /etc/foremost.conf och avkommentera de filformat som du vill söka; göra Detta är inte nödvändigt, erbjuder inställningar som standard för alla format, men vi kan ändra den header och den sidfot hexadecimalt värde om vi vill, e även lägga till olika filtyper.

usuario@maquina:~$ sudo nano /etc/foremost.conf

Då kan du se en prov av en del av innehållet konfigurationsfilen, i betong rader som refererar till format som vi kommer att återhämta sig; Om vi ville ändra bör någon parameter endast avkommentera linjen förbundet med det önskade utsträckande, till slut ändra dessa värden.

#---------------------------------------------------------------------
# GIF and JPG files (very common)
# (NOTE THESE FORMATS HAVE BUILTIN EXTRACTION FUNCTION)
# gif y 155000000 \x47\x49\x46\x38\x37\x61 \x00\x3b
# gif y 155000000 \x47\x49\x46\x38\x39\x61 \x00\x00\x3b
# jpg y 20000000 \xff\xd8\xff\xe0\x00\x10 \xff\xd9
# jpg y 20000000 \xff\xd8\xff\xe1 \xff\xd9
# jpg y 20000000 \xff\xd8 \xff\xd9
#
# PNG (used in web pages)
# (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
# png y 200000 \x50\x4e\x47? \xff\xfc\xfd\xfe
#
#---------------------------------------------------------------------
# ADOBE PDF (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
#---------------------------------------------------------------------
#
# pdf y 5000000 %PDF- %EOF
#
#---------------------------------------------------------------------
# (NOTE THIS FORMAT HAS BUILTIN EXTRACTION FUNCTION)
# zip y 10000000 PK\x03\x04 \x3c\xac
#---------------------------------------------------------------------

Återställa våra filer med främst

Återställa filer med Främst är verkligen lätt, Vi ska bara köra det med önskade alternativ; Jag kommer sedan att förklara att jag har valt.

v Aktiverar verbose-läge, främsta display mer processinformation är samtidigt att ta ut.

t anger vilken typ av fil att hämta.

T Lägga till datum i namnet på den katalog där data kommer att återvinnas, så vi inte får ändra namnet på varje gång du startar främst.

Jag Anger namnet på den partition där du vill återställa filer.

o Anger den katalog där vi vill främst Spara återskapade filer.

ES rekommenderas starkt Bläddra i handboken för att klara allt tvivel om.

usuario@maquina:~$ man foremost

Främst stöder många olika format, och inte för att upprepa detta ett vi kommer att ange om du vill hämta alla tillgängliga format med argumentet alla för alternativet -t; Det är möjligt så sen mest, men vi kommer att sluta arbeta, och vi kommer att gå för en kaffe eller utföra andra uppgifter under tidsperioden.

usuario@maquina:~$ sudo foremost -v -T -t all -i /dev/sdb1 -o /home/usuario/Escritorio/recuperado

[sudo] password for usuario:
Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus
Audit File

Foremost started at Sat Dec 27 12:13:03 2014
Invocation: foremost -v -T -t all /dev/sdb1 -o /home/usuario/Escritorio/recuperado
Output directory: /home/usuario/Escritorio/recuperado
Configuration file: /etc/foremost.conf
Processing: /dev/sdb1
|------------------------------------------------------------------|
File: /dev/sdb1
Start: Sat Dec 27 12:13:03 2014
Length: 7 GB (8010072064 bytes)
 
Num Name (bs=512) Size File Offset Comment 

*0: 00266344.png 74 KB 136368128 (297 x 222)
1: 00267240.png 2 MB 136826880 (2176 x 1915)
2: 00275456.png 22 KB 141033603 (181 x 256)
3: 00275520.png 21 KB 141066371 (181 x 256)
4: 00275664.png 87 KB 141139968 (1157 x 654)
5: 00275840.png 297 KB 141230080 (1023 x 635)
6: 00276480.png 255 KB 141557760 (1021 x 588)
7: 00276992.png 21 KB 141819904 (912 x 553)
8: 00277040.png 106 KB 141844480 (1308 x 701)
9: 00277256.png 10 KB 141955072 (797 x 114)
10: 00277280.png 49 KB 141967360 (519 x 485)
11: 00285584.png 21 KB 146219139 (181 x 256)

*********************************************************************
*********************************************************************
2869: 02437564.dll 51 KB 1248032768 10/20/2010 13:24:41
2870: 02437679.dll 79 KB 1248091648 10/20/2010 13:24:50
2871: 02437850.dll 68 KB 1248179200 10/20/2010 13:24:41
2872: 02438005.dll 358 KB 1248258560 02/24/2011 04:00:44
2873: 02438756.dll 51 KB 1248643072 10/20/2010 13:24:41
2874: 02438872.dll 79 KB 1248702464 10/20/2010 13:24:50
2875: 02439043.dll 68 KB 1248790016 10/20/2010 13:24:41
2876: 02439199.dll 358 KB 1248869888 02/24/2011 04:00:44 
|********************************************************************|

Finish: Sat Dec 27 13:09:06 2014

2974 FILES EXTRACTED

gif:= 347 
jpg:= 483
png:= 922
avi:= 119
pdf:= 278
zip:= 2
exe:= 132
dll:= 691
------------------------------------------------------------------ 

Återhämtningen har tagit lite mindre än en timme, Även om detta varierar beroende på storleken på partitionen, mängden format att hämta, och laget som vi utför uppgiften; Jag har förkortat listan över filer, eftersom de har varit mer än 2900 filer i olika format, och med datum från 1998 Fram till nu.

Jag vill betona att pendrive Jag köpte den i 2013, så andra data bör en semester gåva för den SR. Kingston; men jag icke-vara otacksam, Jag ska ta bort dem..

srkingston

Herr. Kingston.

När ansökan är klar dess uppgift, Vi kommer att gå till den katalog som har kallats “återhämtat sig“, och inuti hittar du en mapp som är associerade med varje format; bland dem är filer som har återvunnits, men innan vi behöver ändra behörighet att komma åt dessa kataloger.

usuario@maquina:~$ sudo chown usuario -R /home/usuario/Escritorio/recuperado_DíaSemana_Mes_DíaMes_Hora_Minuto_Segundo_Año

Nu kan vi redan tillgång till katalogen som innehåller dina filer; var och en av dem har återvunnits framgångsrikt, Låt oss titta inuti mappen som innehåller filer som exempel PDF återhämtat sig.

Återställda PDF filer.

Om du som du kan följa mig på Twitter, Facebook, Google +, LinkedIn, eller dela den med knapparna under denna publikation, Om du har några frågor eller förslag tveka inte att kommentera.

Hjälp oss att nå fler läsare Share on LinkedInShare on FacebookTweet about this on TwitterShare on Google+Email this to someone

Lämna svar