Instrumentul de recuperare a sistemului Scalpel a șters fișierele și folderele de pe Linux. Acest instrument este folosit pentru a recupera fișierele de sistem, este un instrument open source pentru sistemele de operare Linux. Pentru recuperarea datelor șterse, este o forță actualizată, deși mai rapidă și mai eficientă în urmărirea și căutarea modelelor de fișiere.
Scalpel folosește o bază de date care stochează șabloane cunoscute de octeți de fișiere și identifică fișierele șterse și le recuperează instantaneu. De multe ori se întâmplă ca accidental sau erori de sistem să fie solicitate informații din fișierele sau folderele importante. Bisturiu este un instrument care ne permite să restabilim informațiile pe care este posibil să le fi șters. Când ștergem informații, sistemul de operare elimină de obicei doar metadatele fișierului, cum ar fi numele fișierului, proprietarul și locația. Datele utilizatorului rămân pe suportul de stocare până când sunt suprascrise.
Scalpel analizează un disc sau un dispozitiv de stocare care caută modele de octeți care răspund la anteturile și subsolurile de fișiere, în acest fel va încerca să recupereze datele aparținând fișierului. Bisturiul poate detecta diferite tipuri de fișiere. Sprijină diferite structuri de discuri și formate de fișiere pentru aceasta, folosește o bază de date cu anteturi și subsoluri de fișiere cu reguli de expresie pentru a detecta ce format poate recupera.
Multe distribuții au Scalpel în depozitele lor, deși este o idee bună să mențineți Scalpel actualizat pentru a adăuga noi expresii regulate pentru anteturile și subsolurile de fișiere. Scalpelul oferă performanțe de scanare de mare viteză, în timpul accesării cu crawlere, citește o bază de date antet și subsol cu formate de fișiere și extrage fișiere care se potrivesc între un set de definiții și expresii regulate de pe un dispozitiv.
Scalpel acceptă formate de disc din partițiile FAT, NTFS, ext2 sau raw. Este util atât pentru investigația criminalistică digitală, cât și pentru recuperarea fișierelor. Acest instrument face parte din Seulkit care se integrează cu Autopsia pe care am văzut-o în tutorialul privind analiza criminalistică a hard diskurilor și partițiilor cu Autopsie.
Pentru a-l instala putem merge la o fereastră terminal și scriem următorul cod:
sudo apt-get install scalpel
În continuare trebuie configurați bisturiul pentru aceasta putem localiza fișierul de instalare folosind următoarea comandă:
unde este bisturiu
Apoi deschidem fișierul cu un editor de text, cum ar fi nano sau vi. În mod implicit, toate liniile de expresii sunt comentate cu # în fișierul de configurare. În fișierul de configurare scalpel.conf, există câteva linii care conțin tipurile de fișiere pe care le putem recupera. De exemplu jpg.webp, png, doc etc.
AtenţieÎnainte de a rula Scalpel, trebuie să decomentăm formatul de fișier pe care dorim să îl recupereze Scalpel.
Aici descomentăm extensiile de fișiere pe care dorim să le caute Scalpel, dacă nu sunt comentate, aceste fișiere vor fi ignorate.
Un pas important, dacă găsim o eroare la executare, trebuie să creăm manual / et / folder scalpel iar în interior copiați fișier scalpel.conf.
Apoi executăm bisturiul din folderul său, indicăm folderul în care sunt salvate fișierele recuperate.
bisturiu -c /etc/scalpel/scalpel.conf / dev / sda -o test
În imagine putem vedea cum s-au recuperat 16 GB în doar 3% din totalul discului. Parametrul -o este de ieșire, indică un director de ieșire, în care doriți să restaurați fișierele șterse. Trebuie să verificăm dacă acest director este gol înainte de a executa orice comandă, altfel ne va da o eroare.
Scalpel va începe procesul de scanare și în funcție de spațiul pe disc sau dispozitiv pe care încercați să-l scanați și să îl recuperați, deci poate dura mult timp pentru a recupera fișierele șterse.
Dacă dorim să recuperăm date de pe un pendrive sau de pe un dispozitiv extern, trebuie să știm care este partiția prin comanda fdsikDacă este o memorie pendrive sau flash, în general va fi localizată ca o partiție sdb.
scalpel -c /etc/scalpel/scalpel.conf / dev / sdb -o recu
În interiorul folderului, este salvat un fișier numit audit.txt, care conține informații despre întregul proces și fișierele recuperate.
În acest caz, putem vedea că fișierele png au fost recuperate din pendrive și le avem disponibile în folderul pe care îl numim recu. Unul dintre utilitățile Scalpel este copierea conținutului unui dispozitiv extern USB defect sau defect și crearea unei imagini de disc img sau dd, astfel încât să o putem vedea din alt software sau să o montăm, codul pentru a genera imaginea discului este următorul:
scalpel -c -c /etc/scalpel/scalpel.conf / dev / sdb -o recovery.ddScalpelul este ideal pentru lucrul pe server cu Centos pentru a prelua de la distanță fișierele din fereastra terminalului. Scalpel funcționează pe alte distribuții Linux orientate către server, inclusiv:
- Palarie rosie
- Fedora
- Debian.
Unul dintre dezavantajele Scalpelului este că trebuie să știți foarte bine cum este structura unui disc sau a unui dispozitiv de stocare și comenzile pentru gestionarea partițiilor sale, precum și modul în care funcționează sistemul de fișiere.
Fiecare fișier șters rămâne undeva pe hard disk. fiind sistemul de operare cel care menține un indicator către lista de blocuri ale dispozitivului de stocare care conține datele fișierelor,
În mod normal, în Windows avem multe instrumente foarte simple de utilizat, cum ar fi Recuva, care este folosit pentru a recupera datele pierdute, dar în Linux doar câteva, dacă dorim să le folosim la nivel de server cu securitate.
Scalpel rulează pe întregul hard disk, funcționează foarte bine cu dispozitive de stocare externe și recuperează fișierele pierdute conform expresiilor obișnuite, ceea ce îl face foarte versatil.
