Главная » Восстановление » Восстановление файлов с помощью Scalpel
Scalpel восстановления файлов

Восстановление файлов с помощью Scalpel

Scalpel — профессиональная утилита для восстановления файлов по их заголовкам, окончаниям и внутренним структурам, основанная на коде Foremost. Позволяет восстанавливать файлы размером больше 4 Гб. В дистрибутиве имеется уже готовая версия для Windows. Поддерживает FATx, NTFS, ext2/3, HFS+.

Читателям, которым повезло быть назначенными в службу техподдержки своей семьи, могут знать о склонности своих близких хранить то, что мы образно говоря называем данными Шредингера. Этот термин используется для таких личных файлов, как фотографии, календари и документы, которые, по видимому, абсолютно необходимы для семейного благополучия, но, как это ни парадоксально, недостаточно важны для резервного копирования. В итоге — если важнейший файл случайно удаляется, то, похоже, нет простого способа его восстановить.

На самом деле, как знают ИТ-грамотные люди, многие компьютеры стирают файлы не полностью, и многие из них удается восстановить с помощью специальных инструментов даже через значительное время после очистки корзины. Один из таких инструментов, одинаково любимый и гуру техподдержки, и правоохранительными органами, называется Scalpel.

Scalpel — это утилита командной строки, которая для восстановления удаленных данных с образа, раздела или всего диска использует метод под названием «вырезание файлов (file carving)». В этой статье мы попробуем овладеть его основами.

Scalpel очень надежен и работает практически с любым типом устройства или файловой системы. Во время тестирования мы смогли восстановить удаленные файлы PNG и PDF как с флэш-накопителя на 512 МБ, так и с VDI (виртуальный образ диска) VirtualBox.

Однако если файлы, которые вы хотите восстановить, находятся непосредственно на жестком диске вашей системы, рекомендуем загрузить ваш компьютер с live DVD. Для этой статьи мы использовали Live Ubuntu 17.04.

Scalpel: хирургически точно

Хотя Скальпель — точный инструмент, он не затрагивает файловые системы, а последовательно анализирует блоки данных на диске, образе диска или в файлах подкачки. Вкратце, однако, достаточно знать, что Scalpel основан на прежнем инструменте восстановления данных Foremost, который был разработан для расследований правоохранительных органов. Как и его предшественник, Скальпель использует выделение однородных массивов данных для простого восстановления данных.

Этот метод включает использование встроенной базы данных заголовков и окончаний для конкретных типов файлов, таких как изображений PNG или файлов PDF. Заголовки и окончания состоят из строк байтов, предсказуемо отстоящих от начала, и файлы можно извлекать или вырезать прямо из образов дисков, не затрагивая имеющуюся файловую систему. Scalpel создан, чтобы делать это гораздо эффективнее, чем Foremost.

Scalpel— один из многих инструментов, доступных как часть The Sleuth Kit. Это набор утилит, предназначенных для криминалистического анализа компьютеров. Если вы обнаружите, что Scalpel не может восстановить данные, вам может больше повезти с другими инструментами, способными анализировать данные на более глубоком уровне, например, на уровне файловой системы.

Все инструменты запускаются и из командной строки, поэтому для начала перейдите на сайт и следуйте инструкциям по компиляции и запуску из документа INSTALL. Поскольку каждый инструмент разработан для определенной цели, это может оказаться нудным, поэтому проект TSK рекомендует применять инструменты в сочетании с криминалистическим браузером Autopsy, обеспечивающим простой интерфейс «наведи-и-щелкни» для большинства обычных задач.

Версия Autopsy (v2) для Linux больше не поддерживается, но ее можно загрузить с сайта. Альтернатива— загрузив последнюю версию Kali Linux, вы найдете готовый браузер Autopsy в секции Forensics раздела Applications. Scalpel тоже установлен.

Autopsy разработан с ориентацией на правоохранительные органы и требует сначала создать образ диска раздела, который вы хотите проанализировать, чтобы в дальнейшем не вызвать обвинения в фальсификации.

Работа в Scalpel

При первом запуске Scalpel проверяет свой файл настройки, который обычно находится в:

/etc/scalpel/scalpel.conf

По умолчанию не выбрано ни одного файла, но вы можете следовать пошаговой инструкции внизу страницы, чтобы отредактировать этот файл, что позволяет… указать, какой тип вы хотите восстановить. Затем Scalpel выполнит два последовательных прохода по исследуемому диску, обрабатывая данные порциями по 10 МБ. В каждой порции сначала ищутся заголовки файлов.

После этого второй проход будет искать соответствующие им окончания. Scalpel также создает набор очередей работ, которые регламентируют операции вырезания файлов.

Все восстановленные файлы вместе с журналом работы Scalpel помещаются в указанный вами выходной каталог.

Двойной подход

Когда агенты правоохранительных органов изымают диск для криминалистического анализа, они обычно делают образ диска — в основном, чтобы избежать обвинений в подтасовке улик после изъятия диска. Но это также означает, что если в процессе восстановления что-то засбоит, можно сделать еще одну копию накопителя и повторить попытку. Когда доходит до попыток восстановить данные, также существует риск, что, если вы толком не знаете, что делаете, можно не только не преуспеть в восстановлении своих файлов, но и усложнить это занятие даже для профессионала.

linux scalpel

У Linux, как всегда, есть пара грамотных решений. Во-первых, используйте встроенную дисковую утилиту для создания образа целевого диска, такого как USB-накопитель. Это поблочная копия всех данных в разделе. Scalpel анализирует образы так же легко, как и сами диски: просто запустите scalpel <имя-образа>, например:

scalpel /root/Desktop/lmage1.img

Второй вариант — использовать дистрибутив Kali Linux, разработанный с учетом работы в криминалистике. Мало того, что Kali поставляется с предустановленным Scalpel, но при первой загрузке вы можете выбрать загрузку в режиме Forensic (Аналитический), что не позволит ОС монтировать жесткий диск и автоматически монтировать съемные носители, такие как USB-накопители.

Неудачные операции

Если вы сделали копию разделов или томов для анализа, то Scalpel мало что может испортить. Способность инструмента восстанавливать файлы зависит от ряда факторов, в том числе от типа файловой системы, используемой вашим целевым диском. Системы с журналированием нередко сохраняют копии одних и тех же данных в нескольких местах, делая восстановление файлов более осуществимым.

Если заголовки или окончания файлов были перезаписаны или целевой диск был зашифрован, возможно, вы не сможете восстановить удаленные файлы. Это, конечно, хорошая новость для тех читателей, которые ценят свою конфиденциальность, потому что теперь вы знаете, как ваши диски могут противостоять упрощенному криминалистическому анализу вроде этого. В наших тестах мы запускали команду shred на двух PDF, хранящихся на USB-на-копителе. Scalpel не смог восстановить ни один из них. Однако они могут быть восстановлены с помощью более продвинутых инструментов, доступных в наборе Sleuth Kit.

На этой статье основное внимание уделяется версии scalpel (1.6), доступной в репозиториях Ubuntu, но в установке самой свежей версии есть некоторые преимущества. Scalpel 2.0 включает поддержку многопоточности для ускорения работы на многоядерных процессорах, а также лучшее распознавание типов файлов, которые сами могут содержать файлы.

Вы можете легко загрузить и распаковать ZIP-файл с GitHub . Но для работы Scalpel потребуется установить библиотеку регулярных выражений tre.

Убедитесь, что у вас предустановлены инструменты

  • autoconf
  • automake
  • gettext
  • libtool
  • autopoint

Затем запустите скрипт autogen.sh в каталоге Scalpel-2.0-master/tre-0.7.5-win32.

Ну и запускайте ./configure, make, затем sudo make install — как для tre, так и для Scalpel 2.0

Настройка Scalpel

  1. Откройте терминал и запустите sudo apt-get install scalpel для установки scalpel.
  2. Затем запустите sudo nano /etc/scalpel/scalpel.conf.
  3. Прокрутите вниз до того типа файла, который вам требуется найти, и «раскомментируйте» строку, удалив # в ее начале.
  4. Повторите это для всех типов файлов, которые хотите восстановить, потом нажмите Ctrl+Х, Y, а затем Enter, чтобы сохраниться и выйти. Теперь scalpel должен быть готов к работе.

linux scalpel

Восстановление файлов

Основным синтаксисом команды для scalpel является:

scalpel -о , например, sudo scalpel /dev/sdb1 -о /home/nate/scalpel-files

Для сканирования диска надо будет использовать sudo, но анализировать образы дисков можно и из учетной записи обычного пользователя. Это занимает некоторое время, зависящее от размера тома и количества файлов.

linux scalpel

По завершении откройте выходной каталог в файловом менеджере.

Анализ восстановленных файлов

Выходной каталог содержит подробный список восстановленных файлов. Есть также отдельная папка для каждого типа файла, которые вы пытались восстановить. Откройте их, чтобы узнать, удалось ли Scalpel выкроить ваши файлы.

linux scalpel

Скопируйте все восстановленные файлы на отдельный диск, затем попробуйте их открыть.

Если файлы окажутся испорченными, потребуются более сложные криминалистические методы.

Скачать Scalpel вы можете с Гитаба или с файлообменика.

Scalpel также доступен в репозиториях Ubuntu, и его можно установить через терминал с минимумом усилий.

2 комментария

  1. 59Si

    Отличный инструмент. На linux работает хорошо, а вот на windows не пошла.

    p.s. сайт хороший, только побольше бы обзоров на программы форензики.

    • 555555

      Как ты установил на линукс?

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *