Skalpel: Nástroj pro obnovu odstraněných souborů Linux

Skalpel: Nástroj pro obnovu odstraněných souborů Linux
Obsah

Nástroj pro obnovu systému Scalpel odstranil soubory a složky v systému Linux. Tento nástroj slouží k obnově systémových souborů, je to open source nástroj pro operační systémy Linux. Pro obnovu smazaných dat je to především aktualizovaná vidlice, i když rychlejší a efektivnější při sledování a vyhledávání vzorů souborů.

Scalpel používá databázi, která ukládá známé vzory bajtů souborů a identifikuje odstraněné soubory a okamžitě je obnovuje. Mnohokrát se stane, že omylem nebo informací o systémové chybě jsou požadovány důležité soubory nebo složky. Scalpel je nástroj, který nám umožňuje obnovit informace, které jste možná odstranili. Když odstraníme informace, operační systém obvykle odstraní pouze metadata souboru, například název souboru, vlastníka a umístění. Uživatelská data zůstávají na paměťovém médiu, dokud nejsou přepsána.

Scalpel analyzuje disk nebo úložné zařízení a hledá bajtové vzory, které reagují na záhlaví souborů a zápatí souborů, a tímto způsobem se pokusí obnovit data patřící do souboru. Scalpel dokáže detekovat různé typy souborů. K tomu podporuje různou strukturu disku a formáty souborů, pomocí databáze se záhlavími a zápatími souborů s pravidly výrazu zjišťuje, který formát dokáže obnovit.

Mnoho distribucí má ve svých úložištích Scalpel, i když je dobré udržovat Scalpel aktualizovaný a přidávat nové regulární výrazy pro záhlaví a zápatí souborů. Skalpel poskytuje vysokorychlostní skenovací výkon, během procházení čte databázi záhlaví a zápatí formátů souborů a extrahuje soubory, které se shodují mezi sadou definic a regulárními výrazy ze zařízení.

Scalpel podporuje diskové formáty z oddílů FAT, NTFS, ext2 nebo raw. Je to užitečné jak pro digitální forenzní vyšetřování, tak pro obnovu souborů. Tento nástroj je součástí Seulkit, který se integruje s Autopsy, který jsme viděli v tutoriálu o forenzní analýze pevných disků a oddílů s Autopsy.

Chcete -li jej nainstalovat, můžeme přejít do okna terminálu a napsat následující kód: 

 sudo apt-get install skalpel

Dále musíme konfigurovat skalpel za tímto účelem můžeme najít instalační soubor pomocí následujícího příkazu: 

 kde je skalpel

Dále soubor otevřeme pomocí textového editoru, jako je nano nebo vi. Standardně jsou všechny řádky výrazů v konfiguračním souboru okomentovány znakem #. V konfiguračním souboru skalpel.conf, existuje několik řádků, které obsahují typy souborů, které můžeme obnovit. Například jpg.webp, png, doc atd.

PozornostPřed spuštěním Scalpel musíme odkomentovat formát souboru, který chceme, aby Scalpel obnovil.

Zde odkomentujeme přípony souborů, které chceme, aby Scalpel vyhledával, pokud nejsou komentovány, budou tyto soubory ignorovány.

Důležitý krok, pokud při provádění zjistíme chybu, musíme ručně vytvořit soubor / et / skalpel a uvnitř zkopírujte soubor soubor scalpel.conf.

Dále spustíme skalpel z jeho složky, označíme složku, kam jsou uloženy obnovené soubory. 

 skalpel -c /etc/scalpel/scalpel.conf /dev /sda -o test

Na obrázku vidíme, jak bylo obnoveno 16 GB na pouhých 3% celkového disku. Parametr -o je výstup, označuje výstupní adresář, ve kterém chcete obnovit odstraněné soubory. Před provedením jakéhokoli příkazu musíme ověřit, že je tento adresář prázdný, jinak nám to způsobí chybu.

Skalpel zahájí proces skenování a v závislosti na disku nebo prostoru zařízení, které se pokoušíte skenovat a obnovit, může tedy obnovení odstraněných souborů trvat dlouho.

Pokud chceme obnovit data z pendrive nebo externího zařízení, musíme vědět, který je oddíl přes příkaz fdsikPokud se jedná o paměť pendrive nebo flash, bude obvykle umístěna jako oddíl sdb. 

 skalpel -c /etc/scalpel/scalpel.conf /dev /sdb -o recu

Uvnitř složky je uložen soubor s názvem audit.txt, který obsahuje informace o celém procesu a obnovených souborech.

V tomto případě vidíme, že soubory png byly obnoveny z pendrive a máme je k dispozici ve složce, kterou nazýváme recu. Jedním z nástrojů společnosti Scalpel je zkopírovat obsah rozbitého nebo vadného externího zařízení USB a vytvořit obraz disku img nebo dd, takže jej můžeme vidět z jiného softwaru nebo jej připojit, kód pro generování obrazu disku je následující: 

 skalpel -c -c /etc/scalpel/scalpel.conf /dev /sdb -o obnoven.dd
Skalpel je ideální pro serverovou práci s Centos pro vzdálené načítání souborů z okna terminálu. Scalpel funguje na jiných serverově orientovaných distribucích Linuxu, včetně:
  • Červená čepice
  • Fedora
  • Debian.

Jednou z nevýhod Scalpelu je, že musíte velmi dobře vědět, jaká je struktura disku nebo úložného zařízení a příkazy pro správu jeho oddílů a také to, jak funguje systém souborů.

Každý odstraněný soubor zůstane někde na vašem pevném disku. je to operační systém, který udržuje ukazatel na seznam bloků paměťového zařízení, který obsahuje data souborů,

Obvykle v systému Windows máme mnoho velmi jednoduchých nástrojů, jako je Recuva, který se používá k obnově ztracených dat, ale v Linuxu pouze několik, pokud je chceme používat na úrovni serveru se zabezpečením.
Scalpel prochází celým pevným diskem, funguje velmi dobře s externími úložnými zařízeními a obnovuje ztracené soubory podle regulárních výrazů, díky čemuž je velmi univerzální.

Líbil se vám tento návod a pomohl mu?Autora můžete odměnit stisknutím tohoto tlačítka, čímž mu dáte kladný bod

Vám pomůže rozvoji místa, sdílet stránku s přáteli

wave wave wave wave wave

Populární Příspěvky

wave
1
post-title
Jak vstoupit do aplikace Windows 8 PC Settings
2
post-title
▷ Jak nainstalovat ZIP UNZIP na Linux
3
post-title
Jak vytvořit zástupce webu na iPhone X
4
post-title
Jak vytvořit soubor txt robota
5
post-title
Jak chránit SSH pomocí fail2ban na CentOS

Doporučená

wave
- Sponsored Ad -

Redakce Choice

wave
- Sponsored Ad -