Skalpelis: įrankis, skirtas atkurti ištrintus „Linux“ failus

Turinys

„Scalpel“ sistemos atkūrimo įrankis ištrynė failus ir aplankus „Linux“. Šis įrankis naudojamas sistemos failams atkurti, jis yra atviro kodo įrankis, skirtas „Linux“ operacinėms sistemoms. Norėdami atkurti ištrintus duomenis, tai visų pirma atnaujinta šakutė, nors greičiau ir efektyviau seka ir ieško failų modelių.

„Scalpel“ naudoja duomenų bazę, kurioje saugomi žinomi failų baitų modeliai, identifikuoti ištrinti failai ir juos nedelsiant atkurti. Daugeliu atvejų atsitinka taip, kad atsitiktinai ar sistemos klaidos informacija yra paprašoma iš svarbių failų ar aplankų. Skalpelis yra įrankis, leidžiantis atkurti informaciją, kurią galbūt ištrynėte. Kai ištriname informaciją, operacinė sistema paprastai pašalina tik failo metaduomenis, tokius kaip failo pavadinimas, savininkas ir vieta. Vartotojo duomenys lieka laikmenoje, kol jie perrašomi.

Skalpelis analizuoja diską ar saugojimo įrenginį, ieškodamas baitų modelių, kurie reaguoja į failų antraštes ir failų poraštes, tokiu būdu jis bandys atkurti failui priklausančius duomenis. Skalpelis gali aptikti įvairių tipų failus. Tam ji palaiko skirtingą disko struktūrą ir failų formatus, naudoja duomenų bazę su failų antraštėmis ir poraštėmis su išraiškos taisyklėmis, kad nustatytų, kokį formatą jis gali atkurti.

Daugelio platinimų saugyklose yra „Scalpel“, nors pravartu nuolat atnaujinti „Scalpel“ ir pridėti naujų reguliarių išraiškų failų antraštėms ir poraštėms. Skalpelis užtikrina greitą nuskaitymą, tikrinimo metu nuskaito failų formatų antraščių ir poraščių duomenų bazę ir iš įrenginio išskiria failus, atitinkančius apibrėžimų rinkinį ir reguliarias išraiškas.

Skalpelis palaiko diskų formatus iš FAT, NTFS, ext2 arba neapdorotų skaidinių. Tai naudinga tiek skaitmeniniam teismo medicinos tyrimui, tiek failų atkūrimui. Šis įrankis yra „Seulkit“ dalis, kuri integruojasi su autopsija, kurią matėme pamokoje apie kietųjų diskų ir skaidinių su autopsija teismo ekspertizę.

Norėdami jį įdiegti, galime eiti į terminalo langą ir parašyti šį kodą:

 sudo apt-get įdiegti skalpelį

Toliau privalome sukonfigūruoti skalpelį tam mes galime rasti diegimo failą naudodami šią komandą:

 kur skalpelis

Toliau atidarome failą naudodami teksto redaktorių, pvz., „Nano“ arba „vi“. Pagal numatytuosius nustatymus visos išraiškų eilutės yra komentuojamos su # konfigūracijos faile. Konfigūracijos faile skalpelis.konf, yra keletas eilučių, kuriose yra failų, kuriuos galime atkurti, tipų. Pavyzdžiui jpg.webp, png, doc ir kt.

DėmesioPrieš paleisdami skalpelį, turime atšaukti failo formatą, kurį norime atkurti.

Čia mes nekomentuojame failų plėtinių, kurių norime, kad „Scalpel“ ieškotų, jei jie nekomentuojami, šie failai bus ignoruojami.

Svarbus žingsnis, jei vykdydami randame klaidą, turime rankiniu būdu sukurti / et / skalpelis aplanką ir viduje nukopijuokite scalpel.conf failą.

Tada vykdome skalpelį iš jo aplanko, nurodome aplanką, kuriame išsaugomi atkurti failai.

 skalpelis -c /etc/scalpel/scalpel.conf /dev /sda -o testas

Paveikslėlyje matome, kaip tik 3% viso disko buvo atkurta 16 GB. -O parametras yra išvestis, jis nurodo išvesties katalogą, kuriame norite atkurti ištrintus failus. Prieš vykdydami bet kokią komandą turime patikrinti, ar šis katalogas tuščias, nes priešingu atveju mums bus pateikta klaida.

„Scalpel“ pradės nuskaitymo procesą ir priklausomai nuo disko ar įrenginio vietos, kurią bandote nuskaityti ir atkurti, todėl ištrintų failų atkūrimas gali užtrukti ilgai.

Jei norime atkurti duomenis iš „pendrive“ ar išorinio įrenginio, turime žinoti, kuris yra skaidinys per fdsik komandaJei tai yra „pendrive“ arba „flash“ atmintis, ji paprastai bus kaip sdb skaidinys.

 skalpelis -c /etc/scalpel/scalpel.conf /dev /sdb -o recu

Aplanko viduje išsaugomas failas, vadinamas audit.txt, kuriame yra informacija apie visą procesą ir atkurtus failus.

Šiuo atveju matome, kad png failai buvo atkurti iš „pendrive“ ir mes juos turime aplanke, kurį vadiname recu. Viena iš „Scalpel“ paslaugų yra nukopijuoti sugedusio ar sugedusio USB išorinio įrenginio turinį ir sukurti img arba dd disko vaizdą, kad galėtume jį pamatyti iš kitos programinės įrangos arba prijungti, disko atvaizdo generavimo kodas yra toks:

 skalpelis -c -c /etc/scalpel/scalpel.conf /dev /sdb -o susigrąžintas.dd
Skalpelis idealiai tinka serverio darbui su „Centos“ nuotoliniu būdu nuskaityti failus iš terminalo lango. „Scalpel“ veikia kituose į serverį orientuotuose „Linux“ platinimuose, įskaitant:
  • Raudona KEPURĖ
  • Fedora
  • Debian.

Vienas iš „Scalpel“ trūkumų yra tas, kad jūs turite labai gerai žinoti, kokia yra disko ar atminties įrenginio struktūra ir komandos, skirtos valdyti jo skaidinius, taip pat kaip veikia failų sistema.

Kiekvienas ištrintas failas lieka kažkur standžiajame diske. būdama operacinė sistema, kuri išlaiko žymeklį į saugojimo įrenginio, kuriame yra failų duomenys, blokų sąrašą,

Paprastai sistemoje „Windows“ turime daug labai paprastų įrankių, tokių kaip „Recuva“, kuri naudojama prarastiems duomenims atkurti, tačiau „Linux“ - tik keletas, jei norime juos naudoti serverio lygiu su saugumu.
Skalpelis eina per visą standųjį diską, labai gerai veikia su išoriniais saugojimo įrenginiais ir atkuria prarastus failus pagal įprastas išraiškas, todėl jis yra labai universalus.

Ar jums patiko ir padėjo ši pamoka?Galite apdovanoti autorių paspausdami šį mygtuką, kad suteiktumėte jam teigiamą tašką
wave wave wave wave wave