Cara Memulihkan File yang Dihapus Dengan Yang Terbaik di Linux

Cara Memulihkan File yang Dihapus Dengan Yang Terbaik di Linux

Dalam artikel ini kita akan membicarakannya terutama, Utilitas forensik open source yang sangat berguna yang dapat memulihkan file yang dihapus menggunakan teknik yang disebut Ukiran Data. Utilitas ini awalnya dikembangkan oleh Kantor Investigasi Khusus Angkatan Udara Amerika Serikat, dan dapat memulihkan beberapa jenis file (dukungan untuk jenis file tertentu dapat ditambahkan oleh pengguna, melalui file konfigurasi). Program ini juga dapat bekerja pada gambar partisi yang diproduksi oleh DD atau alat serupa.

Dalam tutorial ini Anda akan belajar:

  • Cara menginstal terpenting
  • Cara menggunakan terutama untuk memulihkan file yang dihapus
  • Cara menambahkan dukungan untuk jenis file tertentu


Yang Terkemuka adalah program pemulihan data forensik untuk Linux yang digunakan untuk memulihkan file menggunakan header, footer, dan struktur data mereka melalui proses yang dikenal sebagai ukiran file.

Persyaratan dan konvensi perangkat lunak yang digunakan

Persyaratan Perangkat Lunak dan Konvensi Baris Perintah Linux
Kategori Persyaratan, konvensi atau versi perangkat lunak yang digunakan
Sistem Distribusi-independen
Perangkat lunak Program "Terkemuka"
Lainnya Keakraban dengan antarmuka baris perintah
Konvensi # - mensyaratkan perintah linux yang diberikan untuk dieksekusi dengan hak istimewa root baik secara langsung sebagai pengguna root atau dengan menggunakan sudo memerintah
$ - mensyaratkan perintah Linux yang diberikan untuk dieksekusi sebagai pengguna biasa

Instalasi

Sejak terutama sudah ada di semua repositori distribusi linux utama, menginstalnya adalah tugas yang sangat mudah. Yang harus kami lakukan adalah menggunakan manajer paket distribusi favorit kami. Di Debian dan Ubuntu, kami dapat menggunakan tepat:

$ sudo apt instal terpenting

Dalam versi fedora terbaru, kami menggunakan dnf Manajer paket untuk menginstal paket, dnf adalah penerus yum. Nama paketnya sama:

$ sudo dnf menginstal terutama

Jika kami menggunakan Archlinux, kami dapat menggunakan Pacman untuk memasang terutama. Program ini dapat ditemukan di repositori "komunitas" distribusi:

$ sudo Pacman -s terkemuka


Penggunaan dasar

PERINGATAN
Tidak peduli alat pemulihan file mana yang akan Anda gunakan untuk memulihkan file Anda, sebelum Anda memulainya, disarankan untuk melakukan hard drive tingkat rendah atau cadangan partisi, maka menghindari data yang tidak disengaja ditimpa !!! Dalam hal ini Anda dapat mencoba memulihkan file Anda bahkan setelah upaya pemulihan yang gagal. Periksa panduan perintah DD berikut tentang cara melakukan hard drive atau cadangan level rendah partisi.

Itu terutama Utilitas mencoba untuk memulihkan dan merekonstruksi file di dasar header, footer dan struktur data mereka, tanpa mengandalkan Metadata Sistem File. Teknik forensik ini dikenal sebagai ukiran file. Program ini mendukung berbagai jenis file, seperti misalnya:

  • jpg
  • gif
  • png
  • BMP
  • Avi
  • exe
  • mpg
  • wav
  • riff
  • WMV
  • mov
  • pdf
  • ole
  • dokter
  • ritsleting
  • rar
  • htm
  • CPP

Cara paling mendasar untuk digunakan terutama adalah dengan menyediakan sumber untuk memindai file yang dihapus (itu bisa berupa partisi atau file gambar, seperti yang dihasilkan dengan DD). Mari kita lihat contohnya. Bayangkan kita ingin memindai /dev/sdb1 Partisi: Sebelum kita mulai, hal yang sangat penting untuk diingat adalah tidak pernah menyimpan data yang diambil pada partisi yang sama kita mengambil data dari, untuk menghindari file hapus overwriting yang masih ada di perangkat blok. Perintah yang akan kami jalankan adalah:

$ sudo terutama -i /dev /sdb1

Secara default, program membuat direktori yang disebut keluaran Di dalam direktori kami meluncurkannya dan menggunakannya sebagai tujuan. Di dalam direktori ini, subdirektori untuk setiap jenis file yang didukung yang kami coba ambil dibuat. Setiap direktori akan menahan jenis file yang sesuai yang diperoleh dari proses ukiran data:

output ├── audit.txt ├── avi ├── BMP ├── ├ ├── Doc ├── Docx ├── exe ├── gif ├── htm ├─ Mis ── mp4 ├── mpg ├── ole ├── pdf ├── png ├── ppt ├── pptx ├── rar ├─ Sebifilangan ├─ Sebut ─ ├──s ├ ‘tolasan - sxc ├─ans─────── Chsc ───────── Chsc ────────── Chsc ├─‘ tolasanasan tolasanasan 4. 4.00 ‘tolasan tolasan tolasan tolasanasan‘ tolasan tolasanaskan ├─s ‘tolasan tolasanasanaskan ├acam‘ tolasan tolasanasanasanaskan ├acam armalan. sxi ├── sxw ├── vis ├── wav ├── wmv ├── xls ├── xlsx └── zip 

Kapan terutama Menyelesaikan tugasnya, direktori kosong dihapus. Hanya yang berisi file yang tersisa pada sistem file: ini memberi tahu kami segera jenis file apa yang berhasil diambil. Secara default program mencoba untuk mengambil semua jenis file yang didukung; Untuk membatasi pencarian kami, kami dapat menggunakan -T opsi dan berikan daftar jenis file yang ingin kami ambil, dipisahkan oleh koma. Dalam contoh di bawah ini, kami membatasi pencarian hanya gif Dan pdf File:

$ sudo foremost -t gif, pdf -i /dev /sdb1
Dalam video ini kami akan menguji program pemulihan data forensik Terutama Untuk memulihkan satu png file dari /dev/sdb1 partisi diformat dengan Ext4 berkas sistem.

Menentukan tujuan alternatif

Seperti yang sudah kami katakan, jika suatu tujuan tidak dinyatakan secara eksplisit, terutama menciptakan sebuah keluaran direktori di dalam kami CWD. Bagaimana jika kita ingin menentukan jalur alternatif? Yang harus kita lakukan adalah menggunakan -Hai opsi dan memberikan jalur tersebut sebagai argumen. Jika direktori yang ditentukan tidak ada, itu dibuat; Jika ada tetapi tidak kosong, program melempar keluhan:

Kesalahan:/home/egdoc/data tidak kosong, tentukan direktori lain atau jalankan dengan -t. 

Untuk menyelesaikan masalah, seperti yang disarankan oleh program itu sendiri, kita dapat menggunakan direktori lain atau meluncurkan kembali perintah dengan -T pilihan. Jika kita menggunakan -T opsi, direktori output yang ditentukan dengan -Hai Opsi dicampakkan waktu. Ini memungkinkan untuk menjalankan program beberapa kali dengan tujuan yang sama. Dalam kasus kami direktori yang akan digunakan untuk menyimpan file yang diambil adalah:

/home/egdoc/data_thu_sep_12_16_32_38_2019

File konfigurasi

Itu terutama File konfigurasi dapat digunakan untuk menentukan format file yang tidak didukung secara asli oleh program. Di dalam file kami dapat menemukan beberapa contoh komentar yang menunjukkan sintaks yang harus digunakan untuk menyelesaikan tugas. Berikut adalah contoh yang melibatkan png Ketik (baris dikomentari karena jenis file didukung secara default):

# Png (digunakan dalam halaman web) # (Catatan format ini memiliki fungsi ekstraksi builtin) # png y 200000 \ x50 \ x4e \ x47? \ xff \ xfc \ xfd \ xfe 

Informasi yang akan disediakan untuk menambahkan dukungan untuk jenis file, adalah, dari kiri ke kanan, dipisahkan oleh karakter tab: ekstensi file (png Dalam hal ini), apakah header dan footer sensitif (y), ukuran file maksimum dalam byte (200000), header (\ x50 \ x4e \ x47?) dan dan footer (\ xff \ xfc \ xfd \ xfe). Hanya yang terakhir yang opsional dan dapat dihilangkan.

Jika jalur file konfigurasi itu tidak secara eksplisit disediakan dengan -C Opsi, file bernama terutama.conf dicari dan digunakan, jika ada, di direktori kerja saat ini. Jika tidak ditemukan file konfigurasi default, /etc/terpenting.conf digunakan sebagai gantinya.

Menambahkan dukungan untuk jenis file

Dengan membaca contoh yang disediakan di file konfigurasi, kami dapat dengan mudah menambahkan dukungan untuk jenis file baru. Dalam contoh ini kami akan menambahkan dukungan flac File audio. Flac (Kode audio lossless gratis) adalah format audio lossless non-Proprietary yang mampu memberikan audio terkompresi tanpa kehilangan kualitas. Pertama -tama, kita tahu bahwa header jenis file ini dalam bentuk heksadesimal adalah 66 4C 61 43 00 00 00 22 (flac di ASCII), dan kami dapat memverifikasi dengan menggunakan program seperti hexdump Pada file FLAC:

$ hexdump -c blind_guardian_war_of_wrath.flac | head 00000000 66 4C 61 43 00 00 00 22 12 00 12 00 00 00 0E 00 | FLAC ... "… | 00000010 36 F2 0A C4 42 F0 00 4d 04 60 6d 0b 64 36 D7 BD | 6… B….'M.d6… | 00000020 3E 4C 0D 8B C1 46 B6 FE CD 42 04 00 03 DB 20 00 |> L… f… B… | 00000030 00 00 72 65 66 65 72 65 6E 63 65 20 6C 69 62 46 | ... Referensi Libf | 00000040 4C 41 43 20 31 2E 33 2E 31 20 32 30 31 34 31 31 | LAC 1.3.1 201411 | 00000050 32 35 21 00 00 00 12 00 00 00 54 49 54 4C 45 3D | 25!… Title = | 00000060 57 61 72 20 6f 66 20 57 72 61 74 68 11 00 00 00 | Perang Wrath… | 00000070 52 45 4C 45 41 53 45 43 4f 55 4e 54 52 59 3d 44 | Releasecountry = D | 00000080 45 0C 00 00 00 54 4F 54 41 4C 44 49 53 43 53 3d | E… totalDiscs = | 00000090 32 0C 00 00 00 4C 41 42 45 4C 3D 56 69 72 67 69 | 2 ... Label = Virgi | 

Seperti yang Anda lihat, tanda tangan file memang apa yang kami harapkan. Di sini kita akan mengasumsikan ukuran file maksimum 30 MB, atau 30000000 byte. Mari kita tambahkan entri ke file:

FLAC Y 30000000 \ X66 \ X4C \ X61 \ X43 \ X00 \ X00 \ X00 \ X22

Itu footer tanda tangan adalah opsional jadi di sini kami tidak menyediakannya. Program sekarang harus dapat memulihkan yang dihapus flac file. Mari kita verifikasi. Untuk menguji bahwa semuanya berfungsi seperti yang diharapkan saya ditempatkan sebelumnya, dan kemudian dihapus, file FLAC dari /dev/sdb1 partisi, dan kemudian melanjutkan untuk menjalankan perintah:

$ sudo terutama -i/dev/sdb1 -o $ home/dokumen/output

Seperti yang diharapkan, program ini dapat mengambil file FLAC yang dihapus (itu adalah satu -satunya file pada perangkat, dengan sengaja), meskipun dinamai dengan string acak. Nama file asli tidak dapat diambil karena, seperti yang kita tahu, file metadata terkandung dalam sistem file, dan bukan dalam file itu sendiri:

/home/egdoc/dokumen └── output ├── audit.txt └── FLAC └── 00020482.flac 


Audit.File TXT berisi informasi tentang tindakan yang dilakukan oleh program, dalam hal ini:

Versi Terbaik 1.5.7 Oleh Jesse Kornblum, Kris Kendall, dan File Audit Nick Mikus Terkemuka Dimulai pada 12 Sep 23:47:04 2019 Doa: Tertinggi -I/Dev/SDB1 -O/HOME/EGDOC/DOCUMENTS/OUTPUT OUTPUT Direktori:/Rumah/ EGDOC/Dokumen/File Konfigurasi Output:/etc/foremost.conf ------------------------------------------------- ----------------- File: /dev /sdb1 Mulai: Kamis 12 Sep 23:47:04 2019 Panjang: 200 MB (209715200 byte) Nama Num (BS = 512) Ukuran Komentar Offset File 0: 00020482.FLAC 28 MB 10486784 Finish: Kamis 12 Sep 23:47:04 2019 1 File Diekstraksi FLAC: = 1 ----------------------------- -------------------------------------- Terkemuka selesai pada 12 Sep 23:47:04 2019 

Kesimpulan

Dalam artikel ini kami belajar cara menggunakan yang paling penting, program forensik yang dapat mengambil file yang dihapus dari berbagai jenis. Kami belajar bahwa program ini bekerja dengan menggunakan teknik yang disebut Ukiran Data, dan bergantung pada tanda tangan file untuk mencapai tujuannya. Kami melihat contoh penggunaan program dan kami juga belajar cara menambahkan dukungan untuk jenis file tertentu menggunakan sintaks yang diilustrasikan dalam file konfigurasi. Untuk informasi lebih lanjut tentang penggunaan program, silakan berkonsultasi dengan halaman manualnya.

Tutorial Linux Terkait:

  • Cara mempartisi drive di linux
  • Cara mempartisi drive usb di linux
  • Cara memanipulasi tabel partisi GPT dengan gdisk dan sgdisk…
  • Cara memulihkan tabel partisi di linux
  • Hal -hal yang harus diinstal pada ubuntu 20.04
  • Manjaro Linux Windows 10 Dual Boot
  • Pengantar Otomatisasi Linux, Alat dan Teknik
  • Menguasai loop skrip bash
  • Partisi klon di Linux
  • Cara memasang gambar iso di linux