Содержание
Scalpel — профессиональный инструмент для восстановления файлов. Позволяет восстанавливать файлы размером больше 4 Гб. Поддерживает FATx, NTFS, ext2/3, HFS+. В этой статье я покажу, как использовать Scalpel для восстановления данных.
На самом деле, как знают ИТ-грамотные люди, многие компьютеры удаляют файлы не полностью, и многие из них удается восстановить с помощью специальных инструментов даже через значительное время после очистки корзины. Один из таких инструментов, одинаково любимый и гуру техподдержки, и правоохранительными органами, называется Scalpel.
Восстановление файлов с помощью Scalpel
Скальпель был создан как улучшение Foremost 0.69 (см. Восстановление данных на Linux с помощью Foremost). Это хороший инструментт восстановления данных, который работает практически с любыми устройствами и файловыми системами.
Скальпель использует выделение однородных массивов данных для простого восстановления данных. Этот метод включает использование встроенной базы данных заголовков и окончаний для конкретных типов файлов, таких как изображений PNG или файлов PDF. Заголовки и окончания состоят из строк байтов, предсказуемо отстоящих от начала, и файлы можно извлекать или вырезать прямо из образов дисков, не затрагивая имеющуюся файловую систему. Scalpel создан, чтобы делать это гораздо эффективнее, чем Foremost.
Скальпель предустановлен в Kali Linux, но для запуска восстановления необходимо указать типы файлов, которые нужно восстановить. Это необходимо делать перед каждым использованием Scalpel.
Настройка Scalpel на Kali Linux
Файл конфигурации находится в:
|
1 |
/etc/scalpel/scalpel.conf |
Откройте его с помощью команды:
|
1 |
sudo mousepad /etc/scalpel/scalpel.conf |
Или:
|
1 |
sudo nano /etc/scalpel/scalpel.conf |
Если прокрутить вниз, вы увидите множество различных типов файлов.
В файле настройки каждая строка начинается с символа #, который используется для исключения типа файлов. Если удалить #, строка будет раскомментирована. Раскомментируйте строки, тем самым выбрав необходимый типы файлов для восстановления.
Для примера, буду восстанавливать удаленные изображения формата gif и jpg:
После изменения файла настроек, закройте редактор, нажав сочетание клавиш Ctrl+S.
Использование Scalpel для восстановления файлов на Kali Linux
Для начала открываем справку:
|
1 |
scalpel -h |
Итак, у нас есть флешка, которая до форматирования содержала изображения в формате gif и jpg. Теперь попробуем восстановить эти файлы.
Когда правоохранительные органы изымают диск для криминалистического анализа, они обычно делают образ диска — в основном, чтобы избежать обвинений в подтасовке улик после изъятия диска. Но это также означает, что если в процессе восстановления что-то засбоит, можно сделать еще одну копию накопителя и повторить попытку.
Когда доходит до попыток восстановить данные, также существует риск, что, если вы толком не знаете, что делаете, можно не только не преуспеть в восстановлении своих файлов, но и усложнить это занятие даже для профессионала.
У Linux, как всегда, есть пара грамотных решений. Во-первых, используйте встроенную дисковую утилиту для создания образа целевого диска или флешки. Scalpel анализирует образы так же легко, как и сами диски
Второй вариант — использовать дистрибутив Kali Linux, разработанный с учетом работы в криминалистике. Мало того, что Kali поставляется с предустановленным Scalpel, но при первой загрузке вы можете выбрать загрузку в режиме Forensic (Аналитический), что не позволит ОС монтировать жесткий диск и автоматически монтировать съемные носители, такие как USB-накопители.
Для создания точной копии (образа) флешки или диска на Kali Linux, подойдет инструмент Guymager.
Итак, на рабочем столе лежит образ флешки в формате dd.
Запускаем Scalpel для восстановления изображений GIF и JPG:
|
1 |
scalpel -o recovered/ KaliLinuxIn.dd |
С помощью дериктивы -o мы указали выходную папку сохранения восстановленных файлов и после завершения процесса восстановления, на рабочем столе появилась папка recovered.
Теперь мы можем зайти в папку и проверить наши восстановленные файлы. В этой статье для примера мы восстановили только файлы изображений.
В каталоге восстановленных файлов recovered видим файл audit.txt, в котором хранится информация о восстановленных файлах.
Скачать Scalpel вы можете с GitHub. Scalpel также доступен в репозиториях Ubuntu.
Заключение
К сожалению, имена файлов, возвращаемые обоими инструментами, не являются исходными именами файлов, и в некоторых случаях могут быть дубликаты восстановленных файлов, поскольку многие файлы могут быть фрагментированы и выглядеть как отдельные файлы.
Если сравнивать Scalpel и Foremost, то первый смог восстановить больше файлов и сделал это намного быстрее. Но Foremost имеет одно преимущество — он лучше восстанавливает поврежденные файлы.
ПОЛЕЗНЫЕ ССЫЛКИ:
Отличный инструмент. На linux работает хорошо, а вот на windows не пошла.
p.s. сайт хороший, только побольше бы обзоров на программы форензики.
Как ты установил на линукс?
Было два раздела. Переустановил линукс, но неаккуратно и естественно снёс второй раздел. Надо восстановить ВСЕ файлы с того раздела. Что написать или не написать в conf-файле по поводу расширений файлов?