นิติคอมพิวเตอร์ – กู้คืนไฟล์ โดยไฟล์ที่แกะสลักกับ Foremost

การ นิติคอมพิวเตอร์ สาขาวิชาที่ผมรักอย่างใดอย่างหนึ่ง, และไม่ได้พูดในบล็อกในสาขาของการ ความปลอดภัยคอมพิวเตอร์ วิธีมันสมควร; ดังนั้นวันนี้เราจะเห็น วิธีการกู้คืนไฟล์ที่ถูกลบ ด้วยเทคนิคของการ แกะสลักแฟ้ม โดยใช้ สำคัญที่สุด.

foremostt

เป็นจริงว่า มีการใช้งานเพิ่มเติมหลายการดำเนินงานนี้, แต่เครื่องมือนี้ และ Scalpel เป็นคนที่ชอบ, และ ที่ผมใช้เมื่อเมื่อ โดยความผิดพลาดมีลบ ที่ไม่ควร; ทั้งสองได้ช่วยในการลดโอกาสของผมร่วง, หรือการโจมตีหัวใจที่.

สำหรับแบบฝึกหัดต่อไปนี้, เราจะต้องใช้แฟลชไดรฟ์, และ แฟ้มบางแฟ้มในรูปแบบต่าง ๆ.

รูปแบบ

เราทำอะไรกับแฟลชไดรฟ์นี้, มันจะทำให้เหมือนกันในสื่อเก็บข้อมูลอื่น ๆ; เฉพาะที่แตกต่างคือที่คุณสามารถทำบนฮาร์ดดิสก์, เราต้องเปิดคอมพิวเตอร์ของเรา; มีพอร์ต eSata; หรือมีการ ตัวควบคุมโฮสต์ USB สำหรับ IDE/แมชชีนเนอรี่/SATA.

conexionesdiscos

ฉันต้องการเลือกตัวควบคุม, เพราะมันให้เราทำงานร่วมกับฮาร์ดดิสก์ทุกประเภท; ไม่ว่าจะใหม่ หรือเก่า, ของ 2,5″ หรือ 3,5″, มันจะค่อนข้างประหยัด และรุ่นนี้โดยเฉพาะ ดิสก์ที่สองสามารถถึงคุณในเวลาเดียวกัน.

ตัวควบคุมดิสก์

ตัวควบคุมดิสก์หลาย.

แฟ้ม

ความคิดเห็นก่อนหน้านี้, เราจะต้องใช้แฟ้มบางแฟ้มการกู้คืน, ผมได้คัดลอกเหมืองใน pendrive การ.

เนื้อหาของฝ่ายจัดเก็บ.

แพคเกจที่จำเป็น

เราจำเป็นต้องดำเนินการปฏิบัตินี้ สำคัญที่สุด, ลองดูแพคเกจที่ต้องติดตั้งซอฟต์แวร์นี้, โชคดี มีบริการในการเก็บข้อมูลอย่างเป็นทางการ, ดังนั้นเราจะมีการใช้เครื่องมือ อพาร์ทเมนท์.

usuario@maquina:~$ sudo apt-get install foremost

ลบเนื้อหา

ครั้งแรกลองลบไฟล์ของเรา, และการทำเช่นนี้ เราจะใช้คำสั่ง RM มีอาร์กิวเมนต์ -r ทำซ้ำการลบ และ -f การบังคับการลบ; ในที่สุดเป็นเป้าหมายที่ เลือก * เช่น, เราจะแจ้งให้คุณลบแฟ้มทั้งหมดใน pendrive หรือฮาร์ดดิสก์ของเรา.

#Nos movemos al directorio donde se ha montado nuestro soporte de almacenamiento.
usuario@maquina:~$ cd /media/ruta-del-disco

#Borramos todo el contenido.
usuario@maquina:~$ sudo rm -rf *

#Listamos el contenido para comprobar que ya no queda nada.
usuario@maquina:~$ ls
usuario@maquina:~$

เป็น Foremost, และวิธีการที่ทำงานภายใน

เครื่องมือทางกฎหมายที่สำคัญที่สุด มันเป็นเครื่องมือสำหรับการกู้คืนแฟ้มที่เริ่มพัฒนาขึ้น โดยกรมสืบสวนพิเศษของกองทัพอากาศของกองทัพสหรัฐอเมริกา.

เราต้องเก็บไว้ในใจว่าเมื่อคุณลบแฟ้ม, สิ่งที่เราทำเป็นซ่อนในมุมมองผู้ใช้, ทำเครื่องหมายเป็นฟรี คลัสเตอร์ ครอบครองโดยการ; ความหวังที่ว่า พื้นที่ที่จำเป็น, แล้วเขียนทับ.

เข้าใจวิธีการกู้คืนแฟ้มของคุณจะค่อนข้างง่าย, ทำอะไรจะใช้ดิสก์พยายามรู้จักแฟ้ม โดยโครงสร้างของการ ส่วนหัว และการ ท้ายกระดาษ ในรูปแบบ เลขฐานสิบหก ไฟล์แต่ละประเภท, ตั้งแต่นี้ มีทั่วไป.

การตั้งค่าคอนฟิก Foremost ชื่นชอบของเรา

การกำหนดค่า สำคัญที่สุด แบบกำหนดเอง, คุณต้องแก้ไขแฟ้มการกำหนดค่าของคุณ /etc/foremost.conf และสำหรับรูปแบบแฟ้มที่คุณต้องการค้นหา; ทำอย่างไร ไม่จำเป็น, มีการตั้งค่าค่าเริ่มต้นสำหรับทุกรูปแบบ, แต่เราสามารถเปลี่ยนการ หัวข้อ และการ ส่วนท้าย เลขฐานสิบหกหากเราต้องการ, อี เพิ่มชนิดแฟ้มที่แตกต่างกัน.

usuario@maquina:~$ sudo nano /etc/foremost.conf

แล้ว คุณจะเห็น มี ตัวอย่างของส่วนของเนื้อหา แฟ้มการกำหนดค่า, ในคอนกรีตบรรทัดที่อ้างอิงถึงรูปแบบที่เราจะกู้คืน; ถ้าเราอยากเปลี่ยน พารามิเตอร์บางอย่างเท่านั้นควรสำหรับบรรทัดที่เกี่ยวข้องกับนามสกุลที่ต้องการ, การเปลี่ยนแปลงค่าเหล่านั้นในที่สุด.

#---------------------------------------------------------------------
# GIF and JPG files (very common)
# (NOTE THESE FORMATS HAVE BUILTIN EXTRACTION FUNCTION)
# gif y 155000000 \x47\x49\x46\x38\x37\x61 \x00\x3b
# gif y 155000000 \x47\x49\x46\x38\x39\x61 \x00\x00\x3b
# jpg y 20000000 \xff\xd8\xff\xe0\x00\x10 \xff\xd9
# jpg y 20000000 \xff\xd8\xff\xe1 \xff\xd9
# jpg y 20000000 \xff\xd8 \xff\xd9
#
# PNG (used in web pages)
# (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
# png y 200000 \x50\x4e\x47? \xff\xfc\xfd\xfe
#
#---------------------------------------------------------------------
# ADOBE PDF (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
#---------------------------------------------------------------------
#
# pdf y 5000000 %PDF- %EOF
#
#---------------------------------------------------------------------
# (NOTE THIS FORMAT HAS BUILTIN EXTRACTION FUNCTION)
# zip y 10000000 PK\x03\x04 \x3c\xac
#---------------------------------------------------------------------

กู้คืนไฟล์ของเรากับ Foremost

กู้คืนไฟล์ที่มี สำคัญที่สุด เป็นเรื่องง่าย, เราควรเพียงเรียกใช้กับตัวเลือกที่ต้องการ; ผมจะอธิบายแล้วเลือก.

v เปิดใช้งานโหมด verbose, จอแสดงผลที่สำคัญที่สุดคือกระบวนการเพิ่มเติมในขณะที่การออก.

t แสดงชนิดของการดึงข้อมูล.

T เพิ่มวันชื่อของไดเรกทอรีที่จะสามารถกู้คืนข้อมูล, ดังนั้นเราต้องเปลี่ยนชื่อไดเรกทอรีไม่ได้ทุกครั้งที่คุณเปิด สำคัญที่สุด.

ผม ระบุชื่อของพาร์ติชันที่คุณต้องการกู้คืนแฟ้ม.

o บ่งชี้ว่า ไดเรกทอรีที่เราต้องการ สำคัญที่สุด บันทึกแฟ้มกู้คืน.

ES ขอแนะนำ เรียกดูคู่มือการล้างข้อสงสัยใด ๆ เกี่ยวกับ.

usuario@maquina:~$ man foremost

สำคัญที่สุด สนับสนุนรูปแบบต่าง ๆ, และไม่ให้ทำซ้ำการดำเนินการหนึ่ง เราจะเรียกทุกรูปแบบพร้อมกับอาร์กิวเมนต์ระบุ ทั้งหมด สำหรับตัวเลือก -t; เป็นส่วนใหญ่ดังนั้นเวลาที่ได้, แต่เราจะไปปิดการทำงาน, และเราจะไปดื่มกาแฟ หรือ การทำงานอื่น ๆ ในระหว่างรอบระยะเวลา.

usuario@maquina:~$ sudo foremost -v -T -t all -i /dev/sdb1 -o /home/usuario/Escritorio/recuperado

[sudo] password for usuario:
Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus
Audit File

Foremost started at Sat Dec 27 12:13:03 2014
Invocation: foremost -v -T -t all /dev/sdb1 -o /home/usuario/Escritorio/recuperado
Output directory: /home/usuario/Escritorio/recuperado
Configuration file: /etc/foremost.conf
Processing: /dev/sdb1
|------------------------------------------------------------------|
File: /dev/sdb1
Start: Sat Dec 27 12:13:03 2014
Length: 7 GB (8010072064 bytes)
 
Num Name (bs=512) Size File Offset Comment 

*0: 00266344.png 74 KB 136368128 (297 x 222)
1: 00267240.png 2 MB 136826880 (2176 x 1915)
2: 00275456.png 22 KB 141033603 (181 x 256)
3: 00275520.png 21 KB 141066371 (181 x 256)
4: 00275664.png 87 KB 141139968 (1157 x 654)
5: 00275840.png 297 KB 141230080 (1023 x 635)
6: 00276480.png 255 KB 141557760 (1021 x 588)
7: 00276992.png 21 KB 141819904 (912 x 553)
8: 00277040.png 106 KB 141844480 (1308 x 701)
9: 00277256.png 10 KB 141955072 (797 x 114)
10: 00277280.png 49 KB 141967360 (519 x 485)
11: 00285584.png 21 KB 146219139 (181 x 256)

*********************************************************************
*********************************************************************
2869: 02437564.dll 51 KB 1248032768 10/20/2010 13:24:41
2870: 02437679.dll 79 KB 1248091648 10/20/2010 13:24:50
2871: 02437850.dll 68 KB 1248179200 10/20/2010 13:24:41
2872: 02438005.dll 358 KB 1248258560 02/24/2011 04:00:44
2873: 02438756.dll 51 KB 1248643072 10/20/2010 13:24:41
2874: 02438872.dll 79 KB 1248702464 10/20/2010 13:24:50
2875: 02439043.dll 68 KB 1248790016 10/20/2010 13:24:41
2876: 02439199.dll 358 KB 1248869888 02/24/2011 04:00:44 
|********************************************************************|

Finish: Sat Dec 27 13:09:06 2014

2974 FILES EXTRACTED

gif:= 347 
jpg:= 483
png:= 922
avi:= 119
pdf:= 278
zip:= 2
exe:= 132
dll:= 691
------------------------------------------------------------------ 

การกู้คืนได้เพียงเล็กน้อยน้อยกว่าหนึ่งชั่วโมง, แม้ว่านี้จะแตกต่างกันขึ้นอยู่กับขนาดของพาร์ติชัน, จำนวนของรูปแบบการเรียก, และทีมงานที่เราดำเนินงาน; ผมมีสั้นรายการแฟ้ม, ตั้งแต่พวกเขาได้ มากกว่า 2900 ไฟล์ในรูปแบบที่แตกต่างกัน, และวันที่จาก 1998 เพื่อให้ห่างไกล.

ต้องการเน้นที่เพนไดรว์ด้วย ผมซื้อใน 2013, ดังนั้นข้อมูลควรจะเป็นของขวัญวัน SR. Kingston; แต่ฉันไม่ใช่-จะไม่รู้จักคุณ, ฉันจะลบ.

srkingston

นาย. Kingston.

เมื่อโปรแกรมเสร็จสิ้นงานของตน, เราจะไปที่ไดเรกทอรีที่มีการเรียก “การกู้คืน“, และภายในคุณจะพบโฟลเดอร์ที่เกี่ยวข้องกับแต่ละรูปแบบ; ในหมู่พวกเขาเป็นไฟล์ที่ถูกกู้คืน, แต่ ก่อนที่เราต้องเปลี่ยนแปลงสิทธิ์การเข้าถึงเหล่านี้ไดเรกทอรี.

usuario@maquina:~$ sudo chown usuario -R /home/usuario/Escritorio/recuperado_DíaSemana_Mes_DíaMes_Hora_Minuto_Segundo_Año

ตอนนี้ เราสามารถแล้วเข้าถึงไดเรกทอรีที่ประกอบด้วยแฟ้มของคุณ; แต่ละคนของพวกเขาได้คืนมาเรียบร้อยแล้ว, ดูโฟลเดอร์ที่ประกอบด้วยแฟ้มตัวอย่างเช่น PDF การกู้คืน.

กู้คืนไฟล์ PDF.

ถ้าคุณชอบคุณสามารถทำตามฉันบน ทวิตเตอร์, Facebook, Google +, LinkedIn, หรือใช้ร่วมกับปุ่มภายใต้ประกาศนี้, ถ้าคุณมีคำถาม หรือข้อเสนอแนะโปรดอย่าลังเลที่จะแสดงความคิดเห็น.

ช่วยให้เราเข้าถึงผู้อ่านเพิ่มเติม Share on LinkedInShare on FacebookTweet about this on TwitterShare on Google+Email this to someone

ใส่ความเห็น