Criminalistica

Unelte de sculptură în fișiere

Unelte de sculptură în fișiere
În calculatoare, sculptură în fișiere constă în recuperarea și reconstruirea, reconstituirea sau reasamblarea fișierelor fragmentate după ce un disc a fost formatat, sistemul de fișiere sau partiția sa a fost corupt sau deteriorat sau metadatele unui fișier eliminate. Toate fișierele conțin metadate, metadatele înseamnă: „date care oferă informații despre alte date”. Printre mai multe informații, metadatele fișierelor conțin locația și structura unui fișier în cadrul sistemului de fișiere și a blocurilor fizice.  File Carving constă în readucerea fișierelor chiar dacă metadatele lor cu informațiile despre locația lor în sistemul de fișiere nu sunt disponibile.

Acest articol descrie unele dintre cele mai populare instrumente de sculptură a fișierelor disponibile pentru Linux, inclusiv PhotoRec, Scalpel, Bulk Extractor with Record Carving, Foremost și TestDisk.

Instrumentul de sculptură PhotoRec

Photorec vă permite să recuperați suporturi media, documente și fișiere de pe hard disk-uri, discuri optice sau memorii ale camerei. PhotoRec încearcă să găsească blocul de date de fișiere din superbloc pentru sistemele de fișiere Linux sau din înregistrarea de încărcare a volumului pentru sistemele de fișiere WIndows. Dacă nu este posibil, software-ul va verifica blocul, comparându-l cu baza de date PhotoRec. Verifică toate blocurile, în timp ce alte instrumente verifică doar începutul sau sfârșitul unui antet, de aceea performanța PhotoRec nu este cea mai bună în comparație cu instrumentele care utilizează diferite metode de sculptură, cum ar fi căutarea antetului de blocuri, totuși PhotoRec este probabil instrumentul de sculptură a fișierelor cu rezultate mai bune în această listă, dacă timpul nu este o problemă, PhotoRec este prima recomandare.

Dacă PhotoRec reușește să adune dimensiunea fișierului din antetul fișierului, acesta va compara rezultatul fișierelor recuperate cu antetul care aruncă fișierele incomplete. Cu toate acestea, PhotoRec va lăsa fișiere recuperate parțial atunci când este posibil, de exemplu în cazul fișierelor media.

PhotoRec este Open Source și este disponibil pentru Linux, DOS, Windows și MacOS, îl puteți descărca gratuit de pe site-ul său oficial de la https: // www.cgsecuritate.org /.

Instrument pentru sculptură în bisturiu:

Scalpelul este o altă alternativă pentru sculptarea fișierelor, disponibilă atât pentru Linux, cât și pentru sistemul de operare Windows. Bisturiu face parte din trusa Sleuth descrisă la  Instrumente criminalistice live articol. Este mai rapid decât PhotoRec și se numără printre instrumentele mai rapide de sculptură a fișierelor, dar fără aceeași performanță ca PhotoRec. Se caută pe blocuri sau clustere de antet și de subsol. Printre caracteristicile sale se numără multithreading pentru procesoare multicore, I / O asincrone crescând performanța. Bisturiu este utilizat atât în ​​criminalistică profesională, cât și în recuperarea datelor, este compatibil cu toate sistemele de fișiere.

Puteți obține Scalpel pentru sculptarea fișierelor rulând în terminal:

# git clone https: // github.com / sleuthkit / scalpel.git

Introduceți directorul de instalare cu comanda CD (Schimba director):

# cd bisturiu

Pentru a-l instala, rulați:

# ./ bootstrap
#  ./ configurați
# face

Pe distribuțiile Linux bazate pe Debian, cum ar fi Ubuntu sau Kali, puteți instala scalpel din managerul de pachete apt executând:

# sudo apt install scalpel

Fișierele de configurare pot fi la / etc / scalpel / scalpel.conf 'sau / etc / scalpel.conf în funcție de distribuția Linux. Puteți găsi opțiunile Scalpel în pagina manuală sau online la https: // linux.a muri.net / man / 1 / bisturiu.

În concluzie, bisturiu este mai rapid decât PhotoRect, care are rezultate bette la recuperarea fișierelor, următorul instrument este BulkExtractor With Record Carving.

Extractor în vrac cu instrument de sculptură a înregistrărilor:

La fel ca instrumentele menționate anterior Bulk Extractor cu Record Carving este multi thread, este o îmbunătățire a versiunii anterioare „Bulk Extractor”. Permite recuperarea oricărui tip de date din sisteme de fișiere, discuri și memorie. Bulk Extractor cu Record Carving poate fi utilizat pentru a dezvolta alte scanere de recuperare a fișierelor. Acesta acceptă pluginuri suplimentare care pot fi utilizate pentru sculptură, dar nu și pentru analiză. Acest instrument este disponibil atât în ​​modul text pentru a fi utilizat de la terminal, cât și de pe o interfață grafică ușor de utilizat.

Bulk Extractor with Record Carving poate fi descărcat de pe site-ul său oficial de la https: // www.kazamiya.net / ro / bulk_extractor-rec.

Cel mai important instrument de sculptură:

Foremost este poate, împreună cu PhotoRect, unul dintre cele mai populare instrumente de sculptură disponibile pentru Linux și pe piață în general, o curiozitate este că a fost inițial dezvoltat de Forțele Aeriene ale SUA. Foremost are o performanță mai rapidă în comparație cu PhotoRect, dar PhotoRec recuperează mai bine fișierele. Nu există un mediu grafic pentru Cel mai important, este utilizat de la terminal și caută pe anteturi, subsoluri și structura de date.  Este compatibil cu imaginile altor instrumente, cum ar fi dd sau Encase pentru Windows.

Foremost acceptă orice tip de sculptură a fișierelor, inclusiv jpg, gif, png, bmp, avi, exe, mpg, wav, riff, wmv, mov, pdf, ole, doc, fermoar, rar, htm, și cpp. Foremost vine în mod implicit în distribuțiile criminalistice și orientate spre securitate, cum ar fi Kali Linux, cu o suită pentru instrumente criminalistice.

Pe sistemele debian Foremost poate fi instalat folosind managerul de pachete APT, pe Debian sau pe baza unei distribuții Linux bazate pe:

# sudo apt instalați în primul rând

Odată instalat verificați pagina de manual pentru opțiunile disponibile sau verificați online la https: // linux.a muri.net / man / 1 / foremost.
În ciuda faptului că este un program în modul text, Foremost este simplu de utilizat pentru sculptarea fișierelor.

TestDisk:

TestDisk face parte din PhotoRec, poate repara și recupera partiții, sectoare de încărcare FAT32, poate repara sistemele de fișiere NTFS și Linux ext2, ext3, ext3 și poate restaura fișiere din toate aceste tipuri de partiții. TestDisk poate fi utilizat atât de experți, cât și de utilizatori noi, facilitând procesul de recuperare a fișierelor pentru utilizatorii domestici, este disponibil pentru Linux, Unix (BSD și OS), MacOS, Microsoft Windows în toate versiunile sale și DOS.

TestDisk poate fi descărcat de pe site-ul său oficial (cel al PhotoRec) de la https: // www.cgsecuritate.org / wiki / TestDisk.

PhotoRect are un mediu de testare pentru a practica sculptura în fișiere, la care puteți accesa https: // www.cgsecuritate.org / wiki / TestDisk_and_PhotoRec_in_various_digital_forensics_testcase # Test_your_knowledge.

Majoritatea instrumentelor enumerate mai sus sunt incluse în cele mai populare distribuții Linux axate pe criminalistica computerelor, cum ar fi instrumentul criminalistic live Deft / Deft Zero, instrumentul criminalistic live CAINE și probabil și pe Santoku live criminalist, consultați această listă pentru mai multe informații https: // linuxhint.com / live_forensics_tools /.

Sper că ați găsit util acest tutorial despre Instrumentele pentru sculptură în fișiere. Continuați să urmăriți LinuxHint pentru mai multe sfaturi și actualizări despre Linux și rețea.

Șoarece How to change Mouse pointer and cursor size, color & scheme on Windows 10
How to change Mouse pointer and cursor size, color & scheme on Windows 10
The mouse pointer and cursor in Windows 10 are very important aspects of the operating system. This can be said for other operating systems as well, s...
Jocuri Motoare de jocuri gratuite și open source pentru dezvoltarea jocurilor Linux
Motoare de jocuri gratuite și open source pentru dezvoltarea jocurilor Linux
Acest articol va acoperi o listă de motoare de jocuri gratuite și open source care pot fi utilizate pentru dezvoltarea jocurilor 2D și 3D pe Linux. Ex...
Jocuri Tutorial Shadow of the Tomb Raider pentru Linux
Tutorial Shadow of the Tomb Raider pentru Linux
Shadow of the Tomb Raider este a douăsprezecea completare a seriei Tomb Raider - o franciză de jocuri de acțiune-aventură creată de Eidos Montreal. Jo...