Máy tính forensics – Phục hồi các tập tin của tập tin khắc với Foremost

Các máy tính forensics Đây là một trong những lĩnh vực mà tôi yêu thích, và không có nói trên blog trên này chi nhánh của các bảo mật máy tính làm thế nào nó xứng đáng; Vì vậy hôm nay chúng ta sẽ thấy Làm thế nào để phục hồi xóa các tập tin với kỹ thuật số tập tin khắc bằng cách sử dụng Quan trọng nhất.

foremostt

Đúng là có nhiều ứng dụng khác để thực hiện các nhiệm vụ này, nhưng công cụ này và Dao là những người mà tôi thích, và tôi được sử dụng khi một lần do sai lầm tôi đã xóa bỏ mà không nên; cả hai đã giúp tôi để hạ thấp tỷ lệ phần trăm của các khả năng của rụng tóc, hay cơn đau tim ở độ tuổi sớm.

Cho việc thực hành, Chúng tôi sẽ cần một ổ đĩa flash, và một số tập tin ở định dạng khác nhau.

định dạng

Những gì chúng tôi làm với ổ đĩa flash này, Nó sẽ làm như vậy theo cách tương tự trong bất kỳ phương tiện lưu trữ khác; khác biệt duy nhất là bạn làm điều đó trên ổ đĩa cứng, Chúng ta phải mở máy tính để bàn của chúng tôi; có một cảng eSata; hoặc có một Điều khiển máy chủ lưu trữ USB cho IDE/PATA/SATA.

conexionesdiscos

Tôi thích các tùy chọn điều khiển, Kể từ khi nó cho phép chúng tôi làm việc với tất cả các loại ổ đĩa cứng; dù là mới hay cũ, của 2,5″ hoặc 3,5″, Nó là khá tiết kiệm và mô hình đặc biệt này lên đến hai đĩa có thể là bạn cùng một lúc.

bộ điều khiển đĩa

Bộ điều khiển đa đĩa.

Tập tin

Như đã nhận xét, Chúng tôi sẽ cần một số tệp để khôi phục, Tôi đã sao chép tôi trong một pendrive.

Nội dung của chúng tôi hỗ trợ lí.

Yêu cầu các gói

Chúng ta cần phải thực hiện các thực hành này Quan trọng nhất, Vì vậy, hãy xem gói đó phải được cài đặt cho phần mềm này, May mắn thay, nó có sẵn trong kho chính thức, Vì vậy, chúng tôi sẽ chỉ cần có để sử dụng công cụ apt.

usuario@maquina:~$ sudo apt-get install foremost

Xoá nội dung

Đầu tiên hãy xóa các tập tin, và để làm điều này, chúng tôi sẽ sử dụng các lệnh RM với các đối số -r để thực hiện xóa bỏ đệ quy và -f để buộc xóa; Cuối cùng là mục tiêu chọn * tức là, Chúng tôi sẽ thông báo cho bạn rằng sẽ xóa tất cả các tập tin bên trong pendrive hoặc đĩa cứng của chúng tôi.

#Nos movemos al directorio donde se ha montado nuestro soporte de almacenamiento.
usuario@maquina:~$ cd /media/ruta-del-disco

#Borramos todo el contenido.
usuario@maquina:~$ sudo rm -rf *

#Listamos el contenido para comprobar que ya no queda nada.
usuario@maquina:~$ ls
usuario@maquina:~$

Nó là Foremost, và làm thế nào nó hoạt động trong nội bộ

Công cụ quan trọng nhất pháp y Nó là một công cụ khôi phục tập tin ban đầu được phát triển bởi bộ phận điều tra đặc biệt của không lực Lục quân Hoa Kỳ.

Chúng ta phải giữ trong tâm trí rằng khi bạn xoá bỏ một tệp, Điều duy nhất chúng tôi làm là giấu nó theo quan điểm của người dùng, đánh dấu là miễn phí các cụm bị chiếm đóng bởi các; Hy vọng rằng gian là bắt buộc, sau đó ghi đè lên nó.

Hiểu cách phục hồi tập tin của bạn là khá đơn giản, những gì nó là đưa đĩa đang cố gắng để nhận ra các tập tin bằng cấu trúc của các tiêu đề và các chân trang định dạng hệ thập lục phân mỗi loại tệp, Kể từ đây họ có chung.

Cấu hình Foremost theo ý thích của chúng tôi

Để đặt cấu hình Quan trọng nhất theo cách tùy chỉnh, bạn chỉ phải chỉnh sửa tập tin cấu hình của bạn /etc/foremost.conf và bỏ ghi chú các định dạng tập tin mà bạn muốn tìm; làm Điều này là không cần thiết, cung cấp các cài đặt mặc định cho tất cả các định dạng, nhưng chúng tôi có thể thay đổi các tiêu đề và các chân trang hệ thập lục phân nếu chúng tôi muốn, e thậm chí có thể thêm các loại tập tin khác nhau.

usuario@maquina:~$ sudo nano /etc/foremost.conf

Sau đó bạn có thể nhìn thấy một mẫu của một phần của nội dung tập tin cấu hình, trong bê tông dòng đề cập đến các định dạng mà chúng tôi sẽ phục hồi; Nếu chúng ta muốn thay đổi một số tham số chỉ cần bỏ ghi chú dòng kết hợp với phần mở rộng mong muốn, cuối cùng thay đổi các giá trị.

#---------------------------------------------------------------------
# GIF and JPG files (very common)
# (NOTE THESE FORMATS HAVE BUILTIN EXTRACTION FUNCTION)
# gif y 155000000 \x47\x49\x46\x38\x37\x61 \x00\x3b
# gif y 155000000 \x47\x49\x46\x38\x39\x61 \x00\x00\x3b
# jpg y 20000000 \xff\xd8\xff\xe0\x00\x10 \xff\xd9
# jpg y 20000000 \xff\xd8\xff\xe1 \xff\xd9
# jpg y 20000000 \xff\xd8 \xff\xd9
#
# PNG (used in web pages)
# (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
# png y 200000 \x50\x4e\x47? \xff\xfc\xfd\xfe
#
#---------------------------------------------------------------------
# ADOBE PDF (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
#---------------------------------------------------------------------
#
# pdf y 5000000 %PDF- %EOF
#
#---------------------------------------------------------------------
# (NOTE THIS FORMAT HAS BUILTIN EXTRACTION FUNCTION)
# zip y 10000000 PK\x03\x04 \x3c\xac
#---------------------------------------------------------------------

Khôi phục tập tin của chúng tôi với Foremost

Khôi phục các tập tin với Quan trọng nhất thực sự dễ dàng, Chúng ta chỉ nên chạy nó với các tùy chọn mong muốn; Tôi sẽ giải thích sau đó rằng tôi đã chọn.

v cho phép chế độ verbose, quan trọng nhất Hiển thị thông tin quá trình là trong khi lấy nó ra.

t cho biết loại tệp để tải về.

T Thêm ngày vào tên thư mục nơi mà các dữ liệu sẽ được phục hồi, Vì vậy, chúng ta phải thay đổi tên thư mục mỗi khi bạn khởi động quan trọng nhất.

tôi chỉ ra tên của phân vùng mà bạn muốn khôi phục tập tin.

o chỉ ra thư mục nơi mà chúng tôi muốn quan trọng nhất lưu tập tin phục hồi.

ES cao được đề nghị Hướng dẫn sử dụng để xóa bất kỳ nghi ngờ về trình duyệt.

usuario@maquina:~$ man foremost

Quan trọng nhất hỗ trợ nhiều định dạng khác nhau, không để lặp lại thao tác một, chúng ta sẽ chỉ ra để lấy tất cả các định dạng có sẵn với các đối số Tất cả tùy chọn -t; Nó là có thể muộn nhất, nhưng chúng tôi sẽ bỏ làm việc, và chúng tôi sẽ đi cho một cà phê hoặc để thực hiện các nhiệm vụ khác trong khoảng thời gian.

usuario@maquina:~$ sudo foremost -v -T -t all -i /dev/sdb1 -o /home/usuario/Escritorio/recuperado

[sudo] password for usuario:
Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus
Audit File

Foremost started at Sat Dec 27 12:13:03 2014
Invocation: foremost -v -T -t all /dev/sdb1 -o /home/usuario/Escritorio/recuperado
Output directory: /home/usuario/Escritorio/recuperado
Configuration file: /etc/foremost.conf
Processing: /dev/sdb1
|------------------------------------------------------------------|
File: /dev/sdb1
Start: Sat Dec 27 12:13:03 2014
Length: 7 GB (8010072064 bytes)
 
Num Name (bs=512) Size File Offset Comment 

*0: 00266344.png 74 KB 136368128 (297 x 222)
1: 00267240.png 2 MB 136826880 (2176 x 1915)
2: 00275456.png 22 KB 141033603 (181 x 256)
3: 00275520.png 21 KB 141066371 (181 x 256)
4: 00275664.png 87 KB 141139968 (1157 x 654)
5: 00275840.png 297 KB 141230080 (1023 x 635)
6: 00276480.png 255 KB 141557760 (1021 x 588)
7: 00276992.png 21 KB 141819904 (912 x 553)
8: 00277040.png 106 KB 141844480 (1308 x 701)
9: 00277256.png 10 KB 141955072 (797 x 114)
10: 00277280.png 49 KB 141967360 (519 x 485)
11: 00285584.png 21 KB 146219139 (181 x 256)

*********************************************************************
*********************************************************************
2869: 02437564.dll 51 KB 1248032768 10/20/2010 13:24:41
2870: 02437679.dll 79 KB 1248091648 10/20/2010 13:24:50
2871: 02437850.dll 68 KB 1248179200 10/20/2010 13:24:41
2872: 02438005.dll 358 KB 1248258560 02/24/2011 04:00:44
2873: 02438756.dll 51 KB 1248643072 10/20/2010 13:24:41
2874: 02438872.dll 79 KB 1248702464 10/20/2010 13:24:50
2875: 02439043.dll 68 KB 1248790016 10/20/2010 13:24:41
2876: 02439199.dll 358 KB 1248869888 02/24/2011 04:00:44 
|********************************************************************|

Finish: Sat Dec 27 13:09:06 2014

2974 FILES EXTRACTED

gif:= 347 
jpg:= 483
png:= 922
avi:= 119
pdf:= 278
zip:= 2
exe:= 132
dll:= 691
------------------------------------------------------------------ 

Sự hồi phục đã thực hiện một chút ít hơn một giờ, Mặc dù điều này sẽ thay đổi tùy thuộc vào kích cỡ của phân vùng, số lượng các định dạng truy xuất, và các đội mà chúng tôi thực hiện các nhiệm vụ; Tôi đã rút ngắn danh sách các tập tin, kể từ khi họ có nhiều hơn 2900 các tập tin ở định dạng khác nhau, và với các ngày từ 1998 cho đến nay.

Tôi muốn nhấn mạnh rằng pendrive Tôi đã mua nó 2013, do đó, các dữ liệu khác nên là một món quà kỳ nghỉ của các SR. Kingston; nhưng tôi không-được vô ơn, Tôi sẽ xóa chúng.

srkingston

Mr. Kingston.

Khi các ứng dụng hoàn tất nhiệm vụ, Chúng ta sẽ đi vào thư mục đã được gọi là “phục hồi“, và bên trong, bạn sẽ thấy một thư mục liên kết với mỗi định dạng; trong số đó là các tập tin đã được phục hồi, nhưng trước khi chúng ta cần phải thay đổi quyền truy cập vào các thư mục.

usuario@maquina:~$ sudo chown usuario -R /home/usuario/Escritorio/recuperado_DíaSemana_Mes_DíaMes_Hora_Minuto_Segundo_Año

Bây giờ chúng tôi đã có thể truy cập vào thư mục chứa các tập tin của bạn; mỗi một trong số họ đã được phục hồi thành công, Chúng ta hãy nhìn vào bên trong thư mục chứa các tập tin như là một ví dụ PDF phục hồi.

Phục hồi các tập tin PDF.

Nếu bạn muốn bạn có thể theo tôi trên Twitter, Facebook, Google +, LinkedIn, hoặc chia sẻ nó với các nút trong ấn phẩm này, Nếu bạn có bất kỳ câu hỏi hoặc góp ý xin vui lòng đừng ngần ngại để bình luận.

Giúp chúng tôi để tiếp cận với nhiều người đọc Share on LinkedInShare on FacebookTweet about this on TwitterShare on Google+Email this to someone

Gửi phản hồi