Skalpel: Værktøj til at gendanne slettede Linux -filer

Indholdsfortegnelse

Skalpel systemgendannelsesværktøj slettede filer og mapper på Linux. Dette værktøj bruges til at gendanne systemfiler, det er et open source -værktøj til Linux -operativsystemer. Til gendannelse af slettede data er det først og fremmest en opdateret gaffel, selvom den er hurtigere og mere effektiv til at spore og søge efter filmønstre.

Scalpel bruger en database, der gemmer kendte filbyte -mønstre og identificerer slettede filer og genopretter dem med det samme. Mange gange sker det, at der ved et uheld eller systemfejl anmodes om oplysninger fra filer eller mapper, der er vigtige. Skalpel er et værktøj, der giver os mulighed for at gendanne oplysninger, som du muligvis har slettet. Når vi sletter oplysninger, fjerner operativsystemet normalt kun filens metadata, f.eks. Filnavn, ejer og placering. Brugerdata forbliver på lagermediet, indtil det overskrives.

Scalpel analyserer en disk eller en lagerenhed på udkig efter byte -mønstre, der reagerer på filoverskrifterne og filfødderne, på denne måde vil den forsøge at gendanne de data, der tilhører filen. Scalpel kan registrere forskellige typer filer. Det understøtter forskellige diskstrukturer og filformater til dette, det bruger en database med sidehoveder og sidefødder på filer med udtryksregler til at registrere hvilket format det kan gendanne.

Mange distributioner har Scalpel i deres lagre, selvom det er en god idé at holde Scalpel opdateret for at tilføje nye regulære udtryk til filhoveder og sidefødder. Scalpel leverer højhastigheds scanning, under crawl læser den en header og footer -database med filformater og udtrækker filer, der matcher mellem et sæt definitioner og regulære udtryk fra en enhed.

Scalpel understøtter diskformater fra FAT, NTFS, ext2 eller rå partitioner. Det er nyttigt til både digital retsmedicinsk undersøgelse og filgendannelse. Dette værktøj er en del af Seulkit, der integreres med Autopsy, som vi så i selvstudiet om retsmedicinsk analyse af harddiske og partitioner med Autopsy.

For at installere det kan vi gå til et terminalvindue og skrive følgende kode:

 sudo apt-get installer skalpel

Dernæst skal vi konfigurer skalpel til dette kan vi finde installationsfilen ved hjælp af følgende kommando:

 hvor er skalpel

Dernæst åbner vi filen med et tekstredigeringsprogram som f.eks. Nano eller vi. Som standard kommenteres alle udtrykslinjer med # i konfigurationsfilen. I konfigurationsfilen skalpel.konf, der er nogle linjer, der indeholder de typer filer, vi kan gendanne. For eksempel jpg.webp, png, doc osv.

OpmærksomhedInden vi kører Scalpel, skal vi fjerne den filformat, som vi vil have Scalpel til at gendanne.

Her frakommenterer vi filudvidelserne, som vi vil have Scalpel til at søge efter, hvis de ikke kommenteres, ignoreres disse filer.

Et vigtigt trin, hvis vi finder en fejl under udførelsen, skal vi manuelt oprette / et / skalpelmappe og indvendig kopi af scalpel.conf -fil.

Dernæst udfører vi skalpel fra mappen, vi angiver den mappe, hvor de gendannede filer gemmes.

 skalpel -c /etc/scalpel/scalpel.conf /dev /sda -o test

På billedet kan vi se, hvordan 16 GB er blevet genoprettet på kun 3% af den samlede disk. Parameteren -o er output, den angiver en outputmappe, hvor du vil gendanne de slettede filer. Vi skal kontrollere, at dette bibliotek er tomt, før vi udfører en kommando, ellers giver det os en fejl.

Scalpel starter scanningsprocessen, og afhængigt af disken eller enhedspladsen, du forsøger at scanne og gendanne, så det kan tage lang tid at gendanne de slettede filer.

Hvis vi vil gendanne data fra en pendrive eller en ekstern enhed, skal vi vide, hvilken partition der er gennem fdsik kommandoHvis det er en pendrive eller flash -hukommelse, vil den generelt være placeret som en sdb -partition.

 skalpel -c /etc/scalpel/scalpel.conf /dev /sdb -o recu

Inde i mappen gemmes en fil kaldet audit.txt, som indeholder oplysninger om hele processen og de gendannede filer.

I dette tilfælde kan vi se, at png -filer er blevet gendannet fra pendrive, og vi har dem tilgængelige i den mappe, vi kalder recu. Et af Scalpels værktøjer er at kopiere indholdet af en ødelagt eller defekt USB ekstern enhed og oprette et img- eller dd -diskbillede, så vi kan se det fra anden software eller montere det, koden til generering af diskbilledet er følgende:

 skalpel -c -c /etc/scalpel/scalpel.conf /dev /sdb -o genoprettet.dd
Scalpel er ideel til serverarbejde med Centos for at hente filer fra terminalvinduet eksternt. Scalpel fungerer på andre serverorienterede Linux-distributioner, herunder:
  • Rød hat
  • Fedora
  • Debian.

En af ulemperne ved Scalpel er, at du meget godt skal vide, hvordan strukturen på en disk eller en lagerenhed er og kommandoerne til at styre dens partitioner, samt hvordan filsystemet fungerer.

Hver slettede fil forbliver et sted på din harddisk. er operativsystemet det, der opretholder en markør til listen over blokke på lagerenheden, der indeholder filernes data,

Normalt i Windows har vi mange meget enkle værktøjer at bruge, såsom Recuva, der bruges til at gendanne tabte data, men i Linux kun få, hvis vi vil bruge det på serverniveau med sikkerhed.
Scalpel kører gennem hele harddisken, fungerer meget godt med eksterne lagerenheder og gendanner tabte filer i henhold til regulære udtryk, hvilket gør den meget alsidig.

Kan du lide og hjælpe denne vejledning?Du kan belønne forfatteren ved at trykke på denne knap for at give ham et positivt punkt
wave wave wave wave wave