Cara memulihkan fail yang dipadam dengan yang paling utama di linux

Cara memulihkan fail yang dipadam dengan yang paling utama di linux

Dalam artikel ini kita akan bercakap terpenting, Utiliti forensik sumber terbuka yang sangat berguna yang dapat memulihkan fail yang dipadam menggunakan teknik yang dipanggil ukiran data. Utiliti ini pada asalnya dibangunkan oleh Pejabat Penyiasatan Khas Angkatan Udara Amerika Syarikat, dan dapat memulihkan beberapa jenis fail (sokongan untuk jenis fail tertentu boleh ditambah oleh pengguna, melalui fail konfigurasi). Program ini juga boleh berfungsi pada imej partition yang dihasilkan oleh DD atau alat yang serupa.

Dalam tutorial ini anda akan belajar:

  • Cara memasang terpenting
  • Cara menggunakan yang paling utama untuk memulihkan fail yang dipadam
  • Cara menambah sokongan untuk jenis fail tertentu


Terutama adalah program pemulihan data forensik untuk Linux yang digunakan untuk memulihkan fail menggunakan tajuk, footer, dan struktur data mereka melalui proses yang dikenali sebagai ukiran fail.

Keperluan perisian dan konvensyen yang digunakan

Keperluan Perisian dan Konvensyen Talian Perintah Linux
Kategori Keperluan, konvensyen atau versi perisian yang digunakan
Sistem Pengedaran-bebas
Perisian Program "terpenting"
Yang lain Kebiasaan dengan antara muka baris arahan
Konvensyen # - Memerlukan arahan Linux yang diberikan untuk dilaksanakan dengan keistimewaan akar sama ada secara langsung sebagai pengguna root atau dengan menggunakan sudo perintah
$ - Memerlukan arahan Linux yang diberikan sebagai pengguna yang tidak layak

Pemasangan

Sejak terpenting sudah ada dalam semua repositori pengagihan linux utama, memasangnya adalah tugas yang sangat mudah. Yang harus kita lakukan ialah menggunakan Pengurus Pakej Pengedaran Kegemaran kami. Di Debian dan Ubuntu, kita boleh menggunakan Apt:

$ sudo apt pemasangan terpenting

Dalam versi terkini Fedora, kami menggunakan DNF pengurus pakej untuk memasang pakej, DNF adalah pengganti yum. Nama pakej adalah sama:

$ sudo DNF Pasang Terutama

Sekiranya kita menggunakan archlinux, kita boleh menggunakan Pacman untuk memasang terpenting. Program ini boleh didapati dalam repositori "komuniti" pengedaran:

$ sudo pacman -s terpenting


Penggunaan asas

Amaran
Tidak kira alat pemulihan fail atau proses mana yang akan anda gunakan untuk memulihkan fail anda, sebelum anda memulakannya, disyorkan untuk melakukan cakera keras peringkat rendah atau sandaran partition, oleh itu mengelakkan penggantian data yang tidak disengajakan !!! Dalam kes ini, anda boleh cuba memulihkan fail anda walaupun selepas percubaan pemulihan yang tidak berjaya. Semak panduan arahan DD berikut mengenai cara melakukan sandaran cakera keras atau partition tahap rendah.

The terpenting Utiliti cuba memulihkan dan membina semula fail di dasar tajuk, footer dan struktur data mereka, tanpa bergantung metadata sistem fail. Teknik forensik ini dikenali sebagai ukiran fail. Program ini menyokong pelbagai jenis fail, sebagai contoh:

  • JPG
  • gif
  • png
  • bmp
  • avi
  • exe
  • mpg
  • wav
  • riff
  • WMV
  • bergerak
  • pdf
  • ole
  • Dokumen
  • zip
  • rar
  • htm
  • CPP

Cara paling asas untuk digunakan terpenting dengan menyediakan sumber untuk mengimbas fail yang dipadam (ia boleh menjadi partition atau fail imej, seperti yang dihasilkan DD). Mari lihat contoh. Bayangkan kita mahu mengimbas /dev/sdb1 Partition: Sebelum kita memulakan, perkara yang sangat penting untuk diingati adalah untuk tidak pernah menyimpan data yang diambil pada partition yang sama yang kita ambil data dari, untuk mengelakkan penggantian memadam fail yang masih ada pada peranti blok. Perintah yang akan kami jalankan adalah:

$ sudo terkemuka -i /dev /sdb1

Secara lalai, program ini mewujudkan direktori yang dipanggil pengeluaran Di dalam direktori kami melancarkannya dan menggunakannya sebagai destinasi. Di dalam direktori ini, subdirektori untuk setiap jenis fail yang disokong yang kami cuba ambil dibuat. Setiap direktori akan memegang jenis fail yang sepadan yang diperoleh dari proses ukiran data:

Output ├── Audit.txt ├── avi ├── bmp ├── dll ├── doc ├── docx ├── exe ├── gif ├── htm ├── jar ├── jpg ├── mbd ├── mov ├ ── MP4 ├── mpg ├── ole ├── pdf ├── png ├── ppt ├── pptx ├── rar ├── rif ├── SDW ├── SXI ├── SXW ├── vis ├── WAV ├── WMV ├── xls ├── xlsx └── zip 

Bila terpenting menyelesaikan tugasnya, direktori kosong dikeluarkan. Hanya yang mengandungi fail yang ditinggalkan di sistem fail: ini membolehkan kita mengetahui dengan segera jenis fail yang berjaya diambil. Secara lalai program cuba untuk mengambil semua jenis fail yang disokong; Untuk menyekat carian kami, kami boleh menggunakannya -t pilihan dan berikan senarai jenis fail yang ingin kami ambil, dipisahkan oleh koma. Dalam contoh di bawah, kita menyekat carian hanya untuk gif dan pdf Fail:

$ sudo utama -t gif, pdf -i /dev /sdb1
Dalam video ini, kami akan menguji program pemulihan data forensik Terpenting Untuk memulihkan satu png fail dari /dev/sdb1 partition diformat dengan Ext4 sistem fail.

Menentukan destinasi alternatif

Seperti yang telah kita katakan, jika destinasi tidak diisytiharkan secara eksplisit, terpenting mencipta pengeluaran Direktori di dalam kami cwd. Bagaimana jika kita mahu menentukan jalan alternatif? Yang harus kita lakukan hanyalah menggunakan -o pilihan dan memberikan laluan tersebut sebagai hujah. Jika direktori yang ditentukan tidak wujud, ia dibuat; Jika ia wujud tetapi ia tidak kosong, program ini melemparkan pengadu:

Ralat:/Laman Utama/Egdoc/Data tidak kosong Sila nyatakan direktori lain atau dijalankan dengan -t. 

Untuk menyelesaikan masalah ini, seperti yang dicadangkan oleh program itu sendiri, kita boleh menggunakan direktori lain atau melancarkan semula arahan dengan -T pilihan. Sekiranya kita menggunakan -T pilihan, direktori output yang ditentukan dengan -o Pilihan adalah timestamped. Ini memungkinkan untuk menjalankan program beberapa kali dengan destinasi yang sama. Dalam kes kami direktori yang akan digunakan untuk menyimpan fail yang diambil adalah:

/rumah/egdoc/data_thu_sep_12_16_32_38_2019

Fail konfigurasi

The terpenting Fail konfigurasi boleh digunakan untuk menentukan format fail yang tidak disokong secara asli oleh program. Di dalam fail kita dapat menemui beberapa contoh yang dikomentari yang menunjukkan sintaks yang harus digunakan untuk menyelesaikan tugas. Inilah contoh yang melibatkan png taip (baris dikomentari kerana jenis fail disokong secara lalai):

# Png (digunakan dalam laman web) # (Perhatikan format ini mempunyai fungsi pengekstrakan terbina) # png y 200000 \ x50 \ x4e \ x47? \ xff \ xfc \ xfd \ xfe 

Maklumat yang diberikan untuk menambah sokongan untuk jenis fail, dari kiri ke kanan, dipisahkan oleh watak tab: lanjutan fail (png Dalam kes ini), sama ada tajuk dan footer adalah kes sensitif (y), saiz fail maksimum dalam bait (200000), header (\ x50 \ x4e \ x47?) dan dan footer (\ xff \ xfc \ xfd \ xfe). Hanya yang terakhir adalah pilihan dan boleh ditinggalkan.

Sekiranya laluan fail konfigurasi itu tidak disediakan dengan jelas dengan -c pilihan, fail yang dinamakan terpenting.Conf dicari dan digunakan, jika ada, dalam direktori kerja semasa. Sekiranya tidak dijumpai fail konfigurasi lalai, /etc/terpenting.Conf digunakan sebaliknya.

Menambah sokongan untuk jenis fail

Dengan membaca contoh yang disediakan dalam fail konfigurasi, kami dapat dengan mudah menambah sokongan untuk jenis fail baru. Dalam contoh ini, kami akan menambah sokongan untuk flac fail audio. Flac (Kod Audio Lossless Percuma) adalah format audio tanpa lossless yang dapat menyediakan audio termampat tanpa kerugian kualiti. Pertama sekali, kita tahu bahawa pengepala jenis fail ini dalam bentuk heksadesimal adalah 66 4c 61 43 00 00 00 22 (flac di ASCII), dan kami dapat mengesahkannya dengan menggunakan program seperti Hexdump Pada fail FLAC:

$ hexdump -c buta_guardian_war_of_wrath.FLAC | HEAD 00000000 66 4C 61 43 00 00 00 22 12 00 12 00 00 00 00 0E 00 | Flac ... "... | 00000010 36 F2 0A C4 42 F0 00 4D 04 6D 0B 64 36 D7 BD |.'m.D6 ... | 00000020 3E 4C 0D 8B C1 46 B6 FE CD 42 04 00 03 DB 20 00 |> L ... F ... B ... | 00000030 00 00 72 65 66 65 72 65 6E 63 65 20 6C 69 62 46 | ... Rujukan Libf | 00000040 4c 41 43 20 31 2e 33 2e 31 20 32 30 31 34 31 31 | lac 1.3.1 201411 | 00000050 32 35 21 00 00 00 12 00 00 00 54 49 54 4c 45 3d | 25!... tajuk = | 00000060 57 61 72 20 6F 66 20 57 72 61 74 68 11 00 00 00 | Perang Wrath ... | 00000070 52 45 4c 45 41 53 45 43 4f 55 4e 54 52 59 3d 44 | releasecountry = d | 00000080 45 0C 00 00 00 54 4F 54 41 4C 44 49 53 43 53 3D | E ... totalDiscs = | 00000090 32 0C 00 00 00 4c 41 42 45 4c 3d 56 69 72 67 69 | 2 ... label = virgi | 

Seperti yang anda dapat lihat tandatangan fail memang apa yang kami harapkan. Di sini kita akan menganggap saiz fail maksimum 30 MB, atau 30000000 bait. Mari tambahkan entri ke fail:

Flac Y 30000000 \ x66 \ x4c \ x61 \ x43 \ x00 \ x00 \ x00 \ x22

The footer Tandatangan adalah pilihan jadi di sini kami tidak memberikannya. Program ini kini dapat memulihkan dipadamkan flac fail. Mari sahkan. Untuk menguji semuanya berfungsi seperti yang diharapkan yang saya buat sebelum ini, dan kemudian dikeluarkan, fail flac dari /dev/sdb1 Partition, dan kemudian menjalankan arahan:

$ sudo utama -i/dev/sdb1 -o $ rumah/dokumen/output

Seperti yang dijangkakan, program itu dapat mengambil fail FLAC yang dipadam (ia adalah satu -satunya fail pada peranti, dengan tujuan), walaupun ia dinamakan semula dengan rentetan rawak. Nama fail asal tidak boleh diambil kerana, seperti yang kita ketahui, fail metadata terkandung dalam sistem fail, dan bukan dalam fail itu sendiri:

/rumah/egdoc/dokumen └── output ├── Audit.TXT └── Flac └── 00020482.flac 


Audit.Fail TXT mengandungi maklumat mengenai tindakan yang dilakukan oleh program ini, dalam kes ini:

Versi terkemuka 1.5.7 oleh Jesse Kornblum, Kris Kendall, dan fail audit Nick Mikus yang paling penting bermula pada 12 Sep 23:47:04 2019 Invocation: terkemuka -i/dev/sdb1 -o/home/document/document/output output direktori:/rumah/ EGDOC/Dokumen/Output Fail Konfigurasi:/etc/Umum.conf ------------------------------------------------- ----------------- Fail: /Dev /SDB1 Mula: Thu Sep 12 23:47:04 2019 Panjang: 200 MB (209715200 bytes) Saiz Num (BS = 512) Fail Offset Comment 0: 00020482.FLAC 28 MB 10486784 Selesai: 12 Sep 23:47:04 2019 1 Fail Diekstrak FLAC: = 1 ---------------------------- -------------------------------------- Terbaik selesai pada 12 Sep 23:47:04 2019 

Kesimpulan

Dalam artikel ini kita belajar bagaimana menggunakan yang paling utama, program forensik dapat mengambil fail yang dipadam dari pelbagai jenis. Kami mengetahui bahawa program ini berfungsi dengan menggunakan teknik yang dipanggil ukiran data, dan bergantung pada tandatangan fail untuk mencapai matlamatnya. Kami melihat contoh penggunaan program dan kami juga belajar bagaimana untuk menambah sokongan untuk jenis fail tertentu menggunakan sintaks yang digambarkan dalam fail konfigurasi. Untuk maklumat lanjut mengenai penggunaan program, sila rujuk halaman manualnya.

Tutorial Linux Berkaitan:

  • Cara memisahkan pemacu di linux
  • Cara Memisahkan Pemacu USB di Linux
  • Cara memanipulasi jadual partition GPT dengan gdisk dan sgdisk ..
  • Cara Memulihkan Jadual Partition di Linux
  • Perkara yang hendak dipasang di Ubuntu 20.04
  • Manjaro Linux Windows 10 Dual Boot
  • Pengenalan kepada Automasi, Alat dan Teknik Linux
  • Menguasai Gelung Skrip Bash
  • Partition klon di linux
  • Cara Gunung ISO di Linux