Комп'ютерної криміналістиці – Відновлення файлів за файлом різьблення з Foremost

На комп'ютерної криміналістиці Це одна з дисциплін, які я люблю, і не говорять на блозі на цієї гілки на комп'ютерної безпеки як якого вона заслуговує; тому сьогодні ми побачимо Як відновити вилучені файли з технікою файл різьблення за допомогою Перш за все.

foremostt

Це правда, що там багато більше додатків для виконання цього завдання, але цей інструмент і Скальпель ті, що мені подобається, і що я використав при після того, як помилково, я видалив це не повинно; два допомогли мені знизити відсоток ймовірності облисіння, або серцевих нападів в ранньому віці.

Для таких практики, Нам знадобиться флеш-пам'ять, і деякі файли у різних форматах.

формати

Що нам робити з флеш-пам'яті, Вона буде робити це так само, як у будь-якого іншого носія; Єдина різниця в тому, що вам робити це на жорстких дисків, Ми повинні відкрити наші настільного ПК; Маючи порт eSata; Чи є на Хост-контролера USB для IDE/PATA/SATA.

conexionesdiscos

Я віддаю перевагу варіант контролера, З тих пір вона дозволяє користувачам працювати з усіма типами жорстких дисків; Чи є вони новий чи старий, з 2,5″ або 3,5″, Це досить економічно і Ця конкретна модель до двох дисків може бути ви в той же час.

контролер диска

Контролер багатодискових.

Файли

Як і раніше прокоментував, Нам буде потрібно деякі файли, щоб звільнити, Я скопіював мій у pendrive.

Зміст нашої підтримки зберігання.

Необхідних пакунків

Ми повинні виконувати цю практику Перш за все, так що давайте подивимося, що пакет має бути встановлено для цього програмного забезпечення, На щастя, вона доступна в офіційних репозиторіїв, Тому нам просто треба за допомогою інструмента apt.

usuario@maquina:~$ sudo apt-get install foremost

Видалення вмісту

Перший давайте стерти наші файли, і для цього ми будемо використовувати команду RM з аргументом -r щоб зробити рекурсивного видалення та -f щоб змусити видалення; Нарешті, як цільової виберіть * тобто, Ми проінформуємо вас, яка видаляє всі файли усередині нашого pendrive або жорсткого диска.

#Nos movemos al directorio donde se ha montado nuestro soporte de almacenamiento.
usuario@maquina:~$ cd /media/ruta-del-disco

#Borramos todo el contenido.
usuario@maquina:~$ sudo rm -rf *

#Listamos el contenido para comprobar que ya no queda nada.
usuario@maquina:~$ ls
usuario@maquina:~$

Це Foremost, і як він працює всередині

Перш за все судово-медичних інструмент Це інструмент для відновлення файлів, спочатку розроблених на кафедрі спеціальні вишукування військово-повітряних сил армії Сполучених Штатів Америки.

Ми повинні тримати в увазі, що при видаленні файлу, Єдине, що ми робимо це приховати це з урахуванням користувача, маркування як безкоштовна на Кластер зайнята до; в надії, що простір не потрібно, потім переписати його.

Розуміти ваш спосіб відновлення файлів є досить проста, те, що вона робить, це взяти диск, намагаючись розпізнати файли за структурою з заголовки і на нижні колонтитули у форматі шістнадцяткове Кожен тип файлу, Оскільки ці вони є загальний.

Настроювання Foremost по нутром

Щоб настроїти Перш за все Таким чином, Користувальницькі, Вам тільки потрібно відредагувати файл конфігурації /etc/foremost.conf і розкоментувати формати файлів, які потрібно виконати пошук; зробити Це не є необхідним, пропонує настройки за промовчанням для всіх форматів, але ми можемо змінити на верхній колонтитул і на нижній колонтитул шістнадцяткове якщо бажаємо, e навіть додати різними типами фалів.

usuario@maquina:~$ sudo nano /etc/foremost.conf

Потім ви можете бачити муніципалітет зразок частина вмісту файл конфігурації, у конструкції бетонні ліній, які посилаються на формати, які ми будемо відновлювати; Якщо ми хочемо змінити деякі параметр лише повинні розкоментувати лінії, пов'язані з розширенням бажаний, Щоб остаточно змінити ці значення.

#---------------------------------------------------------------------
# GIF and JPG files (very common)
# (NOTE THESE FORMATS HAVE BUILTIN EXTRACTION FUNCTION)
# gif y 155000000 \x47\x49\x46\x38\x37\x61 \x00\x3b
# gif y 155000000 \x47\x49\x46\x38\x39\x61 \x00\x00\x3b
# jpg y 20000000 \xff\xd8\xff\xe0\x00\x10 \xff\xd9
# jpg y 20000000 \xff\xd8\xff\xe1 \xff\xd9
# jpg y 20000000 \xff\xd8 \xff\xd9
#
# PNG (used in web pages)
# (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
# png y 200000 \x50\x4e\x47? \xff\xfc\xfd\xfe
#
#---------------------------------------------------------------------
# ADOBE PDF (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
#---------------------------------------------------------------------
#
# pdf y 5000000 %PDF- %EOF
#
#---------------------------------------------------------------------
# (NOTE THIS FORMAT HAS BUILTIN EXTRACTION FUNCTION)
# zip y 10000000 PK\x03\x04 \x3c\xac
#---------------------------------------------------------------------

Відновити наші файли з Foremost

Відновлення файлів з Перш за все дуже легко, Ми просто повинні запустити його з потрібні параметри; Я потім поясню, що вибрав.

v дозволяє детальному режимі, Перш за все дисплеї, додаткові відомості процес приймаючи його.

t Указує тип файлів, для отримання.

T Додати дату назвою директорією де будуть відновлені дані, так ми не повинні змінювати реєстр ім'я кожного разу, коли ви запускаєте Перш за все.

я визначення імені розділ, де ви хочете відновити файли.

o Указує директорію, де ми хочемо, щоб Перш за все зберегти відновлені файли.

ES особливо рекомендується Перегляд керівництва, щоб очистити будь-які сумніви про.

usuario@maquina:~$ man foremost

Перш за все підтримує багато різних форматів, і щоб не повторити операцію по одному ми збираємося для позначення для отримання всіх доступних форматів з аргументом всі для параметра -t; Це можна так пізно більшість, але ми будемо кинув працювати, і ми підемо за чашкою кави або виконати інші завдання, протягом цього періоду часу.

usuario@maquina:~$ sudo foremost -v -T -t all -i /dev/sdb1 -o /home/usuario/Escritorio/recuperado

[sudo] password for usuario:
Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus
Audit File

Foremost started at Sat Dec 27 12:13:03 2014
Invocation: foremost -v -T -t all /dev/sdb1 -o /home/usuario/Escritorio/recuperado
Output directory: /home/usuario/Escritorio/recuperado
Configuration file: /etc/foremost.conf
Processing: /dev/sdb1
|------------------------------------------------------------------|
File: /dev/sdb1
Start: Sat Dec 27 12:13:03 2014
Length: 7 GB (8010072064 bytes)
 
Num Name (bs=512) Size File Offset Comment 

*0: 00266344.png 74 KB 136368128 (297 x 222)
1: 00267240.png 2 MB 136826880 (2176 x 1915)
2: 00275456.png 22 KB 141033603 (181 x 256)
3: 00275520.png 21 KB 141066371 (181 x 256)
4: 00275664.png 87 KB 141139968 (1157 x 654)
5: 00275840.png 297 KB 141230080 (1023 x 635)
6: 00276480.png 255 KB 141557760 (1021 x 588)
7: 00276992.png 21 KB 141819904 (912 x 553)
8: 00277040.png 106 KB 141844480 (1308 x 701)
9: 00277256.png 10 KB 141955072 (797 x 114)
10: 00277280.png 49 KB 141967360 (519 x 485)
11: 00285584.png 21 KB 146219139 (181 x 256)

*********************************************************************
*********************************************************************
2869: 02437564.dll 51 KB 1248032768 10/20/2010 13:24:41
2870: 02437679.dll 79 KB 1248091648 10/20/2010 13:24:50
2871: 02437850.dll 68 KB 1248179200 10/20/2010 13:24:41
2872: 02438005.dll 358 KB 1248258560 02/24/2011 04:00:44
2873: 02438756.dll 51 KB 1248643072 10/20/2010 13:24:41
2874: 02438872.dll 79 KB 1248702464 10/20/2010 13:24:50
2875: 02439043.dll 68 KB 1248790016 10/20/2010 13:24:41
2876: 02439199.dll 358 KB 1248869888 02/24/2011 04:00:44 
|********************************************************************|

Finish: Sat Dec 27 13:09:06 2014

2974 FILES EXTRACTED

gif:= 347 
jpg:= 483
png:= 922
avi:= 119
pdf:= 278
zip:= 2
exe:= 132
dll:= 691
------------------------------------------------------------------ 

Відновлення взяло трохи менш ніж за годину, Хоча це буде варіюватися залежно від розміру розділу, кількість форматів для отримання, та команда, з якою ми виконувати завдання; Я мати скорочено перелік файлів, так як вони були більш ніж 2900 файли в різних форматах, і з датами, що датуються 1998 До цих пір.

Я хочу підкреслити, що на pendrive Я купив її в 2013, так що інші дані повинні бути свято подарунок на SR. Кінгстон; але я non-невдячним, Я буду видалити їх.

srkingston

Г-н. Кінгстон.

Після того, як програма завершує своє завдання, Ми підемо з каталогу, який був названий “відновлені“, і всередині ви знайдете в папці, пов'язаній з кожним формат; Серед них такі файли, які було відновлено, Але перш ніж ми повинні змінити дозволи доступу до цих каталогів.

usuario@maquina:~$ sudo chown usuario -R /home/usuario/Escritorio/recuperado_DíaSemana_Mes_DíaMes_Hora_Minuto_Segundo_Año

Зараз ми вже можуть отримати доступ до каталогу, який містить ваші файли; Кожен один з них був видужав успішно, Давайте подивимося всередині папки, де містяться файли, як приклад PDF відновлені.

Відновлені файли PDF.

Якщо ви любите ви можете слідкувати за мене на Twitter, Facebook, Google +, LinkedIn, або поділитися ним з кнопок під цієї публікації, Якщо у вас виникли питання або пропозиції будь ласка, не соромтеся коментувати.

Допомогти нам досягти більше читачів Share on LinkedInShare on FacebookTweet about this on TwitterShare on Google+Email this to someone

One thought on “Комп'ютерної криміналістиці – Відновлення файлів за файлом різьблення з Foremost

Напишіть відгук