Skalpell: Verktøy for å gjenopprette slettede Linux -filer

Skalpell: Verktøy for å gjenopprette slettede Linux -filer
Innholdsfortegnelse

Skalpell systemgjenopprettingsverktøy slettede filer og mapper på Linux. Dette verktøyet brukes til å gjenopprette systemfiler, det er et åpen kildekode -verktøy for Linux -operativsystemer. For gjenoppretting av slettede data er det en oppdatert gaffel av fremste, men raskere og mer effektiv i sporing og søk etter filmønstre.

Scalpel bruker en database som lagrer kjente filbyte -mønstre og identifiserer slettede filer og gjenoppretter dem umiddelbart. Mange ganger skjer det at det ved et uhell eller systemfeil blir bedt om informasjon fra filer eller mapper som er viktige. Skalpell er et verktøy som lar oss gjenopprette informasjon du kan ha slettet. Når vi sletter informasjon, fjerner operativsystemet vanligvis bare filens metadata, for eksempel filnavn, eier og plassering. Brukerdata forblir på lagringsmediet til det blir overskrevet.

Scalpel analyserer en disk eller en lagringsenhet som leter etter byte -mønstre som reagerer på filhodene og bunntekstene, på denne måten vil den prøve å gjenopprette dataene som tilhører filen. Scalpel kan oppdage forskjellige typer filer. Den støtter forskjellige diskstrukturer og filformater for dette, den bruker en database med topp- og bunntekst av filer med uttrykksregler for å oppdage hvilket format den kan gjenopprette.

Mange distribusjoner har Scalpel i sine depoter, selv om det er en god idé å holde Scalpel oppdatert for å legge til nye vanlige uttrykk for filhoder og bunntekster. Scalpel leverer høyhastighets skanneytelse, under gjennomsøking leser den en topptekst- og bunntekstdatabase med filformater og trekker ut filer som samsvarer mellom et sett med definisjoner og vanlige uttrykk fra en enhet.

Scalpel støtter diskformater fra FAT, NTFS, ext2 eller rå partisjoner. Det er nyttig for både digital rettsmedisinsk undersøkelse og filgjenoppretting. Dette verktøyet er en del av Seulkit som integreres med Autopsy som vi så i opplæringen om rettsmedisinsk analyse av harddisker og partisjoner med Autopsy.

For å installere det kan vi gå til et terminalvindu og skrive følgende kode: 

 sudo apt-get installere skalpell

Neste må vi konfigurere skalpell for dette kan vi finne installasjonsfilen ved å bruke følgende kommando: 

 hvor skalpell

Deretter åpner vi filen med et tekstredigeringsprogram som nano eller vi. Som standard kommenteres alle uttrykkslinjer med # i konfigurasjonsfilen. I konfigurasjonsfilen skalpell.konf, er det noen linjer som inneholder filtyper som vi kan gjenopprette. For eksempel jpg.webp, png, doc, etc.

Merk følgendeFør vi kjører Scalpel, må vi kommentere filformatet vi vil at Scalpel skal gjenopprette.

Her avkommenterer vi filtypene vi vil at Scalpel skal søke etter. Hvis de ikke blir kommentert, blir disse filene ignorert.

Et viktig trinn, hvis vi finner en feil under utførelsen, må vi lage manuelt / et / skalpellmappe og kopier innsiden scalpel.conf -fil.

Deretter kjører vi skalpell fra mappen, vi angir mappen der de gjenopprettede filene er lagret. 

 skalpell -c /etc/scalpel/scalpel.conf /dev /sda -o test

På bildet kan vi se hvordan 16 GB har blitt gjenopprettet på bare 3% av den totale disken. Parameteren -o er utdata, den indikerer en utdatakatalog der du vil gjenopprette de slettede filene. Vi må bekrefte at denne katalogen er tom før vi utfører noen kommando, ellers vil det gi oss en feil.

Scalpel starter skanneprosessen, og avhengig av harddisken eller enhetsplassen du prøver å skanne og gjenopprette, kan det ta lang tid å gjenopprette de slettede filene.

Hvis vi vil gjenopprette data fra en pendrive eller en ekstern enhet, må vi vite hvilken partisjon som er gjennom fdsik kommandoHvis det er en pendrive eller flash -minne, vil det vanligvis være plassert som en sdb -partisjon. 

 skalpell -c /etc/scalpel/scalpel.conf /dev /sdb -o recu

Inne i mappen lagres en fil kalt audit.txt, som inneholder informasjon om hele prosessen og de gjenopprettede filene.

I dette tilfellet kan vi se at png -filer har blitt gjenopprettet fra pendrive, og vi har dem tilgjengelige i mappen som vi kaller recu. Et av Scalpels verktøy er å kopiere innholdet på en ødelagt eller defekt USB -ekstern enhet og lage et img- eller dd -diskbilde, så da kan vi se det fra annen programvare eller montere det, koden for å generere diskbildet er følgende: 

 skalpell -c -c /etc/scalpel/scalpel.conf /dev /sdb -o gjenopprettet.dd
Scalpel er ideell for serverarbeid med Centos for å hente filer fra terminalvinduet eksternt. Scalpel fungerer på andre serverorienterte Linux-distribusjoner, inkludert:
  • Rød hatt
  • Fedora
  • Debian.

En av ulempene med Scalpel er at du veldig godt må vite hvordan strukturen på en disk eller en lagringsenhet er og kommandoene for å administrere partisjonene, samt hvordan filsystemet fungerer.

Hver slettede fil forblir et sted på harddisken. er operativsystemet det som holder en peker til listen over blokker på lagringsenheten som inneholder dataene til filene,

Normalt i Windows har vi mange veldig enkle verktøy å bruke, for eksempel Recuva som brukes til å gjenopprette tapte data, men i Linux bare noen få hvis vi vil bruke det på servernivå med sikkerhet.
Scalpel går gjennom hele harddisken, fungerer veldig bra med eksterne lagringsenheter og gjenoppretter tapte filer i henhold til vanlige uttrykk, noe som gjør den veldig allsidig.

Likte og hjalp du denne opplæringen?Du kan belønne forfatteren ved å trykke på denne knappen for å gi ham et positivt poeng

Du vil bidra til utvikling av området, dele siden med vennene dine

wave wave wave wave wave

Populære Innlegg

wave
1
post-title
Wall Street åpner dørene til Bitcoin futures Var det ikke en svindel?
2
post-title
Hvordan åpne notisblokk som administrator i Windows 10 (Notisblokk)
3
post-title
▷ Avinstaller Spotify Mac helt
4
post-title
▷ Slik frigjør du plass til Xbox Series X eller Xbox Series S
5
post-title
Hvordan utføre en sletting av data og returnere den til fabrikkstatus på en Galaxy S4

Anbefalt

wave
- Sponsored Ad -

Redaksjonens

wave
- Sponsored Ad -