计算机取证 – 恢复文件由文件雕刻与至上

计算机取证 它是我喜欢的学科之一, 有没有提及的博客上的这个分支 计算机安全 como se merece; 所以今天我们会看到 如何恢复已删除的文件 与技术 文件雕刻 utilizando 首先是.

foremostt

确实是很多更多的应用程序,来执行这项任务, pero esta herramienta y 手术刀 son las que mas me gustan, 和我用时,一旦被我删除了的错误,不应该的; las dos me han ayudado a bajar el porcentaje de probabilidad de sufrir alopecia, 或心脏病发作在早期的年龄.

为以下实践, 我们将需要一个闪存驱动器, 和 不同的格式中的某些文件.

formatos

我们做什么与此闪存驱动器, 它会这样做,在同样的方式在任何其他存储媒体; 唯一不同的是,你要在硬盘上, 我们必须打开我们桌面 PC; 有一个端口 eSata; o disponer de una USB 主机控制器IDE/太平洋亚洲旅游协会/SATA.

conexionesdiscos

我更喜欢控制器选项, ya que nos permite trabajar con todo tipo de discos duros; 他们是新还是旧, 的 2,5″ 3,5″, es bastante económica y a este modelo en concreto 两个磁盘可以有多达你在同一时间.

controladora discos

控制器多盘.

文件

如前所述,, 我们将需要一些文件来恢复, yo he copiado los míos en un pendrive.

我们存储支持的内容.

所需的程序包

Para llevar a cabo esta práctica necesitamos 首先是, 让我们看看那包必须为此软件安装, 幸运的是,它是在官方的存储库中可用, 因此我们将只需要使用工具 apt.

usuario@maquina:~$ sudo apt-get install foremost

删除内容

第一次让我们抹去我们的文件, 为此我们将使用命令 RM 使用参数 -r 要使递归删除和 -f 要强制删除; 最后作为目标选择 * 即, 我们将通知你,删除里面我们彩色旋转优盘或硬盘上的所有文件.

#Nos movemos al directorio donde se ha montado nuestro soporte de almacenamiento.
usuario@maquina:~$ cd /media/ruta-del-disco

#Borramos todo el contenido.
usuario@maquina:~$ sudo rm -rf *

#Listamos el contenido para comprobar que ya no queda nada.
usuario@maquina:~$ ls
usuario@maquina:~$

它是至上, 和其内部工作方式

最重要的是法医工具 es una herramienta de recuperación de archivos desarrollada inicialmente por el departamento de investigaciones especiales de las fuerzas aéreas del ejército de los Estados Unidos de América.

Debemos tener en cuenta que cuando borramos un archivo, 我们做的唯一事情是隐藏它针对用户, 标记一样自由 群集 ocupados por el; 在需要空间时希望, 届时覆盖它.

了解你的恢复文件的方式是很简单, ya que lo que hace es recorrer el disco tratando de reconocer los archivos por la estructura de los 标题页脚 在格式 十六进制 每个文件类型, 因为这些 son genéricos.

Configurar Foremost a nuestro gusto

若要配置 首先是 在自定义的方式, solo tenemos que editar su archivo de configuración /etc/foremost.conf y descomentar los formatos de archivos que queremos buscar; 这是不必要, ya que dispone de configuraciones por defecto para todos los formatos, 但我们可以改变 标题页脚 如果我们希望的十六进制, e incluso añadir tipos de archivo distintos.

usuario@maquina:~$ sudo nano /etc/foremost.conf

然后你可以看到 一个 样品的部分内容 del fichero de configuración, 在具体的行是指我们要恢复的格式; 如果我们想要改变一些参数只应取消注释所需的扩展名关联的行, 最后更改这些值.

#---------------------------------------------------------------------
# GIF and JPG files (very common)
# (NOTE THESE FORMATS HAVE BUILTIN EXTRACTION FUNCTION)
# gif y 155000000 \x47\x49\x46\x38\x37\x61 \x00\x3b
# gif y 155000000 \x47\x49\x46\x38\x39\x61 \x00\x00\x3b
# jpg y 20000000 \xff\xd8\xff\xe0\x00\x10 \xff\xd9
# jpg y 20000000 \xff\xd8\xff\xe1 \xff\xd9
# jpg y 20000000 \xff\xd8 \xff\xd9
#
# PNG (used in web pages)
# (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
# png y 200000 \x50\x4e\x47? \xff\xfc\xfd\xfe
#
#---------------------------------------------------------------------
# ADOBE PDF (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
#---------------------------------------------------------------------
#
# pdf y 5000000 %PDF- %EOF
#
#---------------------------------------------------------------------
# (NOTE THIS FORMAT HAS BUILTIN EXTRACTION FUNCTION)
# zip y 10000000 PK\x03\x04 \x3c\xac
#---------------------------------------------------------------------

Recuperar nuestros archivos con Foremost

恢复文件 首先是 真的很容易, 我们只是应使用所需的选项来运行它; 我会向你解释,我选择了.

v 启用详细模式, para que foremost muestre mas información del proceso mientras lo está llevando a cabo.

t indica el tipo de archivo a recuperar.

T 将日期添加到将恢复数据的目录的名称, 所以我们必须不会更改目录名称,每当您启动 首先是.

indica el nombre de la partición de donde queremos recuperar los archivos.

o 指示的目录我们想去的地方 首先是 保存恢复的文件.

ES 强烈推荐 ojear el manual para despejar cualquier duda al respecto.

usuario@maquina:~$ man foremost

首先是 支持许多不同的格式, 和不来重复操作一个接一个我们要用来检索所有可用的格式与该参数指示 all 选项 -t; 它是可能太晚了, 但是我们打算辞掉工作, 我们将去喝杯咖啡或执行其他任务,在这段时期.

usuario@maquina:~$ sudo foremost -v -T -t all -i /dev/sdb1 -o /home/usuario/Escritorio/recuperado

[sudo] password for usuario:
Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus
Audit File

Foremost started at Sat Dec 27 12:13:03 2014
Invocation: foremost -v -T -t all /dev/sdb1 -o /home/usuario/Escritorio/recuperado
Output directory: /home/usuario/Escritorio/recuperado
Configuration file: /etc/foremost.conf
Processing: /dev/sdb1
|------------------------------------------------------------------|
File: /dev/sdb1
Start: Sat Dec 27 12:13:03 2014
Length: 7 GB (8010072064 bytes)
 
Num Name (bs=512) Size File Offset Comment 

*0: 00266344.png 74 KB 136368128 (297 x 222)
1: 00267240.png 2 MB 136826880 (2176 x 1915)
2: 00275456.png 22 KB 141033603 (181 x 256)
3: 00275520.png 21 KB 141066371 (181 x 256)
4: 00275664.png 87 KB 141139968 (1157 x 654)
5: 00275840.png 297 KB 141230080 (1023 x 635)
6: 00276480.png 255 KB 141557760 (1021 x 588)
7: 00276992.png 21 KB 141819904 (912 x 553)
8: 00277040.png 106 KB 141844480 (1308 x 701)
9: 00277256.png 10 KB 141955072 (797 x 114)
10: 00277280.png 49 KB 141967360 (519 x 485)
11: 00285584.png 21 KB 146219139 (181 x 256)

*********************************************************************
*********************************************************************
2869: 02437564.dll 51 KB 1248032768 10/20/2010 13:24:41
2870: 02437679.dll 79 KB 1248091648 10/20/2010 13:24:50
2871: 02437850.dll 68 KB 1248179200 10/20/2010 13:24:41
2872: 02438005.dll 358 KB 1248258560 02/24/2011 04:00:44
2873: 02438756.dll 51 KB 1248643072 10/20/2010 13:24:41
2874: 02438872.dll 79 KB 1248702464 10/20/2010 13:24:50
2875: 02439043.dll 68 KB 1248790016 10/20/2010 13:24:41
2876: 02439199.dll 358 KB 1248869888 02/24/2011 04:00:44 
|********************************************************************|

Finish: Sat Dec 27 13:09:06 2014

2974 FILES EXTRACTED

gif:= 347 
jpg:= 483
png:= 922
avi:= 119
pdf:= 278
zip:= 2
exe:= 132
dll:= 691
------------------------------------------------------------------ 

La recuperación ha tardado poco menos de una hora, 虽然这将取决于分区的大小, 格式来检索量, 和团队,我们执行这项任务; 我有缩短的文件的列表, 因为他们已经 更多 2900 archivos recuperados en diferentes formatos, 与日期可追溯到 1998 hasta ahora.

Quiero recalcar que el pendrive 我在买的 2013, 所以应节日礼物的其他数据。 Sr. 金斯敦; 但我非-不领情, 我要去删除它们.

srkingston

先生. 金斯敦.

一旦应用程序完成它的任务, 我们将去被称为目录 “恢复“, 里面你会发现与每种格式关联的文件夹; 它们当中已恢复的文件, pero antes debemos cambiar los permisos para poder acceder a estos directorios.

usuario@maquina:~$ sudo chown usuario -R /home/usuario/Escritorio/recuperado_DíaSemana_Mes_DíaMes_Hora_Minuto_Segundo_Año

现在我们已经可以访问到包含您的文件的目录; 成功地恢复了其中的每一个人, 让我们看里面的文件夹包含的文件为例 PDF 恢复.

恢复的 PDF 文件.

如果你愿意,你可以跟着我 推特, Facebook, 谷歌 +, LinkedIn, 或它分享这份出版物下方的按钮, 如果您有任何疑问或建议,请不要犹豫,置评.

帮助我们达成更多的读者 Share on LinkedInShare on FacebookTweet about this on TwitterShare on Google+Email this to someone

留言