计算机取证 – 恢复文件由文件雕刻与至上

计算机取证 它是我喜欢的学科之一, 有没有提及的博客上的这个分支 计算机安全 如何值得; 所以今天我们会看到 如何恢复已删除的文件 与技术 文件雕刻 使用 首先是.

foremostt

确实是很多更多的应用程序,来执行这项任务, 但此工具和 手术刀 就是我喜欢的那些, 和我用时,一旦被我删除了的错误,不应该的; 这两个已经帮我脱发的可能性的百分比降低, 或心脏病发作在早期的年龄.

为以下实践, 我们将需要一个闪存驱动器, 和 不同的格式中的某些文件.

格式

我们做什么与此闪存驱动器, 它会这样做,在同样的方式在任何其他存储媒体; 唯一不同的是,你要在硬盘上, 我们必须打开我们桌面 PC; 有一个端口 eSata; 或有 USB 主机控制器IDE/太平洋亚洲旅游协会/SATA.

conexionesdiscos

我更喜欢控制器选项, 因为它能让我们的工作与所有类型的硬盘; 他们是新还是旧, 的 2,5″ 3,5″, 它是相当经济和这个特殊的模型 两个磁盘可以有多达你在同一时间.

磁盘控制器

控制器多盘.

文件

如前所述,, 我们将需要一些文件来恢复, 复制我在彩色旋转优盘.

我们存储支持的内容.

所需的程序包

我们需要进行这种做法 首先是, 让我们看看那包必须为此软件安装, 幸运的是,它是在官方的存储库中可用, 因此我们将只需要使用工具 apt.

usuario@maquina:~$ sudo apt-get install foremost

删除内容

第一次让我们抹去我们的文件, 为此我们将使用命令 RM 使用参数 -r 要使递归删除和 -f 要强制删除; 最后作为目标选择 * 即, 我们将通知你,删除里面我们彩色旋转优盘或硬盘上的所有文件.

#Nos movemos al directorio donde se ha montado nuestro soporte de almacenamiento.
usuario@maquina:~$ cd /media/ruta-del-disco

#Borramos todo el contenido.
usuario@maquina:~$ sudo rm -rf *

#Listamos el contenido para comprobar que ya no queda nada.
usuario@maquina:~$ ls
usuario@maquina:~$

它是至上, 和其内部工作方式

最重要的是法医工具 它是最初由军队的美国空军特别调查部的文件恢复工具.

我们必须保持在记住,当你删除一个文件, 我们做的唯一事情是隐藏它针对用户, 标记一样自由 群集 被占领; 在需要空间时希望, 届时覆盖它.

了解你的恢复文件的方式是很简单, 它的作用是将该磁盘插入试图识别文件的结构 标题页脚 在格式 十六进制 每个文件类型, 因为这些 他们是通用的.

我们的喜好配置至上

若要配置 首先是 在自定义的方式, 你只需要编辑您的配置文件 /etc/foremost.conf 注释,并取消您想要搜索的文件格式; 这是不必要, 提供设置默认情况下,对于所有格式, 但我们可以改变 标题页脚 如果我们希望的十六进制, e 即使添加不同的文件类型.

usuario@maquina:~$ sudo nano /etc/foremost.conf

然后你可以看到 一个 样品的部分内容 配置文件, 在具体的行是指我们要恢复的格式; 如果我们想要改变一些参数只应取消注释所需的扩展名关联的行, 最后更改这些值.

#---------------------------------------------------------------------
# GIF and JPG files (very common)
# (NOTE THESE FORMATS HAVE BUILTIN EXTRACTION FUNCTION)
# gif y 155000000 \x47\x49\x46\x38\x37\x61 \x00\x3b
# gif y 155000000 \x47\x49\x46\x38\x39\x61 \x00\x00\x3b
# jpg y 20000000 \xff\xd8\xff\xe0\x00\x10 \xff\xd9
# jpg y 20000000 \xff\xd8\xff\xe1 \xff\xd9
# jpg y 20000000 \xff\xd8 \xff\xd9
#
# PNG (used in web pages)
# (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
# png y 200000 \x50\x4e\x47? \xff\xfc\xfd\xfe
#
#---------------------------------------------------------------------
# ADOBE PDF (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
#---------------------------------------------------------------------
#
# pdf y 5000000 %PDF- %EOF
#
#---------------------------------------------------------------------
# (NOTE THIS FORMAT HAS BUILTIN EXTRACTION FUNCTION)
# zip y 10000000 PK\x03\x04 \x3c\xac
#---------------------------------------------------------------------

恢复我们与至上的文件

恢复文件 首先是 真的很容易, 我们只是应使用所需的选项来运行它; 我会向你解释,我选择了.

v 启用详细模式, 首先显示进程的详细信息是同时把它拿出来.

t 指示要检索文件的类型.

T 将日期添加到将恢复数据的目录的名称, 所以我们必须不会更改目录名称,每当您启动 首先是.

指示要恢复文件的分区的名称.

o 指示的目录我们想去的地方 首先是 保存恢复的文件.

ES 强烈推荐 浏览该手册,以清除任何疑问关于.

usuario@maquina:~$ man foremost

首先是 支持许多不同的格式, 和不来重复操作一个接一个我们要用来检索所有可用的格式与该参数指示 所有 选项 -t; 它是可能太晚了, 但是我们打算辞掉工作, 我们将去喝杯咖啡或执行其他任务,在这段时期.

usuario@maquina:~$ sudo foremost -v -T -t all -i /dev/sdb1 -o /home/usuario/Escritorio/recuperado

[sudo] password for usuario:
Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus
Audit File

Foremost started at Sat Dec 27 12:13:03 2014
Invocation: foremost -v -T -t all /dev/sdb1 -o /home/usuario/Escritorio/recuperado
Output directory: /home/usuario/Escritorio/recuperado
Configuration file: /etc/foremost.conf
Processing: /dev/sdb1
|------------------------------------------------------------------|
File: /dev/sdb1
Start: Sat Dec 27 12:13:03 2014
Length: 7 GB (8010072064 bytes)
 
Num Name (bs=512) Size File Offset Comment 

*0: 00266344.png 74 KB 136368128 (297 x 222)
1: 00267240.png 2 MB 136826880 (2176 x 1915)
2: 00275456.png 22 KB 141033603 (181 x 256)
3: 00275520.png 21 KB 141066371 (181 x 256)
4: 00275664.png 87 KB 141139968 (1157 x 654)
5: 00275840.png 297 KB 141230080 (1023 x 635)
6: 00276480.png 255 KB 141557760 (1021 x 588)
7: 00276992.png 21 KB 141819904 (912 x 553)
8: 00277040.png 106 KB 141844480 (1308 x 701)
9: 00277256.png 10 KB 141955072 (797 x 114)
10: 00277280.png 49 KB 141967360 (519 x 485)
11: 00285584.png 21 KB 146219139 (181 x 256)

*********************************************************************
*********************************************************************
2869: 02437564.dll 51 KB 1248032768 10/20/2010 13:24:41
2870: 02437679.dll 79 KB 1248091648 10/20/2010 13:24:50
2871: 02437850.dll 68 KB 1248179200 10/20/2010 13:24:41
2872: 02438005.dll 358 KB 1248258560 02/24/2011 04:00:44
2873: 02438756.dll 51 KB 1248643072 10/20/2010 13:24:41
2874: 02438872.dll 79 KB 1248702464 10/20/2010 13:24:50
2875: 02439043.dll 68 KB 1248790016 10/20/2010 13:24:41
2876: 02439199.dll 358 KB 1248869888 02/24/2011 04:00:44 
|********************************************************************|

Finish: Sat Dec 27 13:09:06 2014

2974 FILES EXTRACTED

gif:= 347 
jpg:= 483
png:= 922
avi:= 119
pdf:= 278
zip:= 2
exe:= 132
dll:= 691
------------------------------------------------------------------ 

经济复苏已经有点少于一小时, 虽然这将取决于分区的大小, 格式来检索量, 和团队,我们执行这项任务; 我有缩短的文件的列表, 因为他们已经 更多 2900 不同格式的文件, 与日期可追溯到 1998 直到现在.

我想强调一下: 彩色旋转优盘 我在买的 2013, 所以应节日礼物的其他数据。 SR. 金斯敦; 但我非-不领情, 我要去删除它们.

srkingston

先生. 金斯敦.

一旦应用程序完成它的任务, 我们将去被称为目录 “恢复“, 里面你会发现与每种格式关联的文件夹; 它们当中已恢复的文件, 但之前我们需要更改访问这些目录的权限.

usuario@maquina:~$ sudo chown usuario -R /home/usuario/Escritorio/recuperado_DíaSemana_Mes_DíaMes_Hora_Minuto_Segundo_Año

现在我们已经可以访问到包含您的文件的目录; 成功地恢复了其中的每一个人, 让我们看里面的文件夹包含的文件为例 PDF 恢复.

恢复的 PDF 文件.

如果你愿意,你可以跟着我 推特, Facebook, 谷歌 +, LinkedIn, 或它分享这份出版物下方的按钮, 如果您有任何疑问或建议,请不要犹豫,置评.

帮助我们达成更多的读者 Share on LinkedInShare on FacebookTweet about this on TwitterShare on Google+Email this to someone

留言