電腦取證 – 恢復檔由檔雕刻與至上

電腦取證 它是我喜歡的學科之一, 有沒有提及的博客上的這個分支 電腦安全性 如何值得; 所以今天我們會看到 如何恢復已刪除的檔 與技術 檔雕刻 使用 首先是.

foremostt

確實是很多更多的應用程式,來執行這項任務, 但此工具和 手術刀 就是我喜歡的那些, 和我用時,一旦被我刪除了的錯誤,不應該的; 這兩個已經幫我脫髮的可能性的百分比降低, 或心臟病發作在早期的年齡.

為以下實踐, 我們將需要一個快閃記憶體磁碟機, 和 不同的格式中的某些檔.

格式

我們做什麼與此快閃記憶體磁碟機, 它會這樣做,在同樣的方式在任何其他存儲媒體; 唯一不同的是,你要在硬碟上, 我們必須打開我們桌面 PC; 有一個埠 eSata; 或有 USB 主機控制器IDE/太平洋亞洲旅遊協會/SATA.

conexionesdiscos

我更喜歡控制器選項, 因為它能讓我們的工作與所有類型的硬碟; 他們是新還是舊, 的 2,5″ 3,5″, 它是相當經濟和這個特殊的模型 兩個磁片可以有多達你在同一時間.

磁碟控制卡

控制器多盤.

如前所述,, 我們將需要一些檔來恢復, 複製我在彩色旋轉優盤.

我們存儲支援的內容.

所需的套裝程式

我們需要進行這種做法 首先是, 讓我們看看那包必須為此軟體安裝, 幸運的是,它是在官方的存儲庫中可用, 因此我們將只需要使用工具 apt.

usuario@maquina:~$ sudo apt-get install foremost

刪除內容

第一次讓我們抹去我們的檔, 為此我們將使用命令 RM 使用參數 -r 要使遞迴刪除和 -f 要強制刪除; 最後作為目標選擇 * 即, 我們將通知你,刪除裡面我們彩色旋轉優盤或硬碟上的所有檔.

#Nos movemos al directorio donde se ha montado nuestro soporte de almacenamiento.
usuario@maquina:~$ cd /media/ruta-del-disco

#Borramos todo el contenido.
usuario@maquina:~$ sudo rm -rf *

#Listamos el contenido para comprobar que ya no queda nada.
usuario@maquina:~$ ls
usuario@maquina:~$

它是至上, 和其內部工作方式

最重要的是法醫工具 它是最初由軍隊的美國空軍特別調查部的檔案修復工具.

我們必須保持在記住,當你刪除一個檔, 我們做的唯一事情是隱藏它針對使用者, 標記一樣自由 群集 被佔領; 在需要空間時希望, 屆時覆蓋它.

理解你恢復的檔的方式是很簡單, 它的作用是將該磁片插入試圖識別檔的結構 標題頁腳 在格式 十六進位 每個檔案類型, 因為這些 他們是通用的.

我們的喜好配置至上

若要配置 首先是 在自訂的方式, 你只需要編輯您的設定檔 /etc/foremost.conf 注釋,並取消您想要搜索的檔案格式; 這是不必要, 提供設置預設情況下,對於所有格式, 但我們可以改變 標題頁腳 如果我們希望的十六進位, e 即使添加不同的檔案類型.

usuario@maquina:~$ sudo nano /etc/foremost.conf

然後你可以看到 一個 樣品的部分內容 設定檔, 在具體的行是指我們要恢復的格式; 如果我們想要改變一些參數只應取消注釋所需的副檔名關聯的行, 最後更改這些值.

#---------------------------------------------------------------------
# GIF and JPG files (very common)
# (NOTE THESE FORMATS HAVE BUILTIN EXTRACTION FUNCTION)
# gif y 155000000 \x47\x49\x46\x38\x37\x61 \x00\x3b
# gif y 155000000 \x47\x49\x46\x38\x39\x61 \x00\x00\x3b
# jpg y 20000000 \xff\xd8\xff\xe0\x00\x10 \xff\xd9
# jpg y 20000000 \xff\xd8\xff\xe1 \xff\xd9
# jpg y 20000000 \xff\xd8 \xff\xd9
#
# PNG (used in web pages)
# (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
# png y 200000 \x50\x4e\x47? \xff\xfc\xfd\xfe
#
#---------------------------------------------------------------------
# ADOBE PDF (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
#---------------------------------------------------------------------
#
# pdf y 5000000 %PDF- %EOF
#
#---------------------------------------------------------------------
# (NOTE THIS FORMAT HAS BUILTIN EXTRACTION FUNCTION)
# zip y 10000000 PK\x03\x04 \x3c\xac
#---------------------------------------------------------------------

恢復我們與至上的檔

恢復檔 首先是 真的很容易, 我們只是應使用所需的選項來運行它; 我會向你解釋,我選擇了.

v 啟用詳細模式, 首先顯示進程的詳細資訊是同時把它拿出來.

t 指示要檢索檔的類型.

T 將日期添加到將恢復資料的目錄的名稱, 所以我們必須不會更改目錄名稱,每當您啟動 首先是.

指示要恢復檔的分區的名稱.

o 指示的目錄我們想去的地方 首先是 保存恢復的檔.

ES 強烈推薦 流覽該手冊,以清除任何疑問關於.

usuario@maquina:~$ man foremost

首先是 支援許多不同的格式, 和不來重複操作一個接一個我們要用來檢索所有可用的格式與該參數指示 所有 選項 -t; 它是可能太晚了, 但是我們打算辭掉工作, 我們將去喝杯咖啡或執行其他任務,在這段時期.

usuario@maquina:~$ sudo foremost -v -T -t all -i /dev/sdb1 -o /home/usuario/Escritorio/recuperado

[sudo] password for usuario:
Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus
Audit File

Foremost started at Sat Dec 27 12:13:03 2014
Invocation: foremost -v -T -t all /dev/sdb1 -o /home/usuario/Escritorio/recuperado
Output directory: /home/usuario/Escritorio/recuperado
Configuration file: /etc/foremost.conf
Processing: /dev/sdb1
|------------------------------------------------------------------|
File: /dev/sdb1
Start: Sat Dec 27 12:13:03 2014
Length: 7 GB (8010072064 bytes)
 
Num Name (bs=512) Size File Offset Comment 

*0: 00266344.png 74 KB 136368128 (297 x 222)
1: 00267240.png 2 MB 136826880 (2176 x 1915)
2: 00275456.png 22 KB 141033603 (181 x 256)
3: 00275520.png 21 KB 141066371 (181 x 256)
4: 00275664.png 87 KB 141139968 (1157 x 654)
5: 00275840.png 297 KB 141230080 (1023 x 635)
6: 00276480.png 255 KB 141557760 (1021 x 588)
7: 00276992.png 21 KB 141819904 (912 x 553)
8: 00277040.png 106 KB 141844480 (1308 x 701)
9: 00277256.png 10 KB 141955072 (797 x 114)
10: 00277280.png 49 KB 141967360 (519 x 485)
11: 00285584.png 21 KB 146219139 (181 x 256)

*********************************************************************
*********************************************************************
2869: 02437564.dll 51 KB 1248032768 10/20/2010 13:24:41
2870: 02437679.dll 79 KB 1248091648 10/20/2010 13:24:50
2871: 02437850.dll 68 KB 1248179200 10/20/2010 13:24:41
2872: 02438005.dll 358 KB 1248258560 02/24/2011 04:00:44
2873: 02438756.dll 51 KB 1248643072 10/20/2010 13:24:41
2874: 02438872.dll 79 KB 1248702464 10/20/2010 13:24:50
2875: 02439043.dll 68 KB 1248790016 10/20/2010 13:24:41
2876: 02439199.dll 358 KB 1248869888 02/24/2011 04:00:44 
|********************************************************************|

Finish: Sat Dec 27 13:09:06 2014

2974 FILES EXTRACTED

gif:= 347 
jpg:= 483
png:= 922
avi:= 119
pdf:= 278
zip:= 2
exe:= 132
dll:= 691
------------------------------------------------------------------ 

經濟復蘇已經有點少於一小時, 雖然這將取決於分區的大小, 格式來檢索量, 和團隊,我們執行這項任務; 我有縮短的檔的清單, 因為他們已經 更多 2900 不同格式的檔, 與日期可追溯到 1998 到目前為止.

我想強調一下 ︰ 彩色旋轉優盤 我在買的 2013, 所以應節日禮物的其他資料。 SR. 京斯敦; 但我非-不領情, 我要去刪除它們.

srkingston

先生. 京斯敦.

一旦應用程式完成它的任務, 我們將去被稱為目錄 “恢復“, 裡面你會發現與每種格式關聯的資料夾; 它們當中已恢復的檔, 但之前我們需要更改訪問這些目錄的許可權.

usuario@maquina:~$ sudo chown usuario -R /home/usuario/Escritorio/recuperado_DíaSemana_Mes_DíaMes_Hora_Minuto_Segundo_Año

現在我們已經可以訪問到包含您的檔的目錄; 成功地恢復了其中的每一個人, 讓我們看裡面的資料夾包含的檔為例 PDF 恢復.

恢復的 PDF 檔.

如果你願意,你可以跟著我 推特, Facebook, 谷歌 +, LinkedIn, 或它分享這份出版物下方的按鈕, 如果您有任何疑問或建議,請不要猶豫,置評.

説明我們達成更多的讀者 Share on LinkedInShare on FacebookTweet about this on TwitterShare on Google+Email this to someone

留言