Administracja systemu

Jak odzyskać usunięte pliki z najważniejszym w systemie Linux

Jak odzyskać usunięte pliki z najważniejszym w systemie Linux

W tym artykule porozmawiamy o główny, Bardzo przydatne narzędzie kryminalistyczne typu open source, które jest w stanie odzyskać usunięte pliki za pomocą nazywanej techniki Rzeźbienie danych. Narzędzie zostało pierwotnie opracowane przez Urząd Sił Powietrznych Stanów Zjednoczonych i jest w stanie odzyskać kilka typów plików (obsługa określonych typów plików może być dodana przez użytkownika za pomocą pliku konfiguracyjnego). Program może również działać na obrazach partycji wyprodukowanych przez DD lub podobne narzędzia.

W tym samouczku nauczysz się:

  • Jak zainstalować przede wszystkim
  • Jak używać najważniejszego do odzyskania usuniętych plików
  • Jak dodać obsługę dla określonego typu pliku


Przede wszystkim to program odzyskiwania danych kryminalistycznych dla Linuksa używanego do odzyskiwania plików za pomocą nagłówków, stopek i struktur danych w procesie znanym jako rzeźbienie plików.

Zastosowane wymagania i konwencje oprogramowania

Wymagania oprogramowania i konwencje linii poleceń Linux
Kategoria Wymagania, konwencje lub wersja oprogramowania
System Niezależny od rozkładu
Oprogramowanie Program „najważniejszy”
Inny Znajomość interfejsu wiersza poleceń
Konwencje # - Wymaga, aby podane polecenia Linux są wykonywane z uprawnieniami root bezpośrednio jako użytkownik root lub za pomocą sudo Komenda
$ - Wymaga, aby podane polecenia Linux zostały wykonane jako zwykły użytkownik niepewny

Instalacja

Od główny jest już obecny we wszystkich głównych repozytoriach Linux dystrybucji, instalowanie go jest bardzo łatwym zadaniem. Wszystko, co musimy zrobić, to użyć naszego ulubionego menedżera pakietów dystrybucyjnych. W Debian i Ubuntu możemy użyć trafny:

$ sudo apt instaluj przede wszystkim

W ostatnich wersjach Fedory używamy DNF Menedżer pakietów do instalowania pakietów, DNF jest następcą mniam. Nazwa pakietu jest taka sama:

$ sudo dnf instaluj przede wszystkim

Jeśli używamy Archlinux, możemy użyć Pacman żeby zainstalować główny. Program można znaleźć w repozytorium dystrybucji „społeczności”:

$ sudo pacman -ss

Podstawowe użycie

OSTRZEŻENIE
Bez względu na narzędzie do odzyskiwania plików lub proces, którego zamierzasz użyć do odzyskiwania plików, zanim zaczniesz, zaleca się wykonanie dysk twardy lub kopii zapasowej partycji, unikając przypadkowego zastąpienia danych !!! W takim przypadku możesz wrócić do odzyskania plików, nawet po nieudanej próbie odzyskiwania. Sprawdź następujący przewodnik poleceń DD, jak wykonać dysk twardy lub kopię zapasową na partycję niskiego poziomu.

główny Narzędzie próbuje odzyskać i odtworzyć pliki na podstawie nagłówków, stopek i struktur danych, bez polegania Metadane systemowe. Ta technika kryminalistyczna jest znana jako Rzeźbienie plików. Program obsługuje różne typy plików, na przykład:

  • jpg
  • Gif
  • png
  • BMP
  • Avi
  • exe
  • MPG
  • WAV
  • Riff
  • WMV
  • Mov
  • PDF
  • ole
  • Doc
  • zamek błyskawiczny
  • RAR
  • HTM
  • CPP

Najbardziej podstawowy sposób użycia główny jest poprzez dostarczanie źródła do skanowania w poszukiwaniu usuniętych plików (może to być partycja lub plik obrazu, jak te generowane Dd). Zobaczmy przykład. Wyobraź sobie, że chcemy zeskanować /dev/sdb1 PARTICJA: Zanim zaczniemy, bardzo ważną rzeczą do zapamiętania jest nigdy nie przechowywanie pobranych danych na tej samej partycji, z których pobieramy dane, aby uniknąć zastąpienia plików usuwania nadal obecnych na urządzeniu blokowym. Poleceniem, które byśmy uruchomili, to:

$ sudo przede wszystkim -i /dev /sdb1

Domyślnie program tworzy katalog o nazwie wyjście Wewnątrz katalogu, z którego go uruchomiliśmy i używając go jako miejsca docelowego. W tym katalogu tworzono podlokdrektory dla każdego obsługiwanego typu pliku, który próbujemy odzyskać. Każdy katalog będzie utrzymywał odpowiedni typ pliku uzyskany z procesu rzeźbienia danych:

Audyt wyjściowy ├──.txt ├wiąt avi ├├li BMP ├─lok dll ├── Doc ├─lok Docx ├wią ├─lok gif ├wiąt ├├t słoik ├lok jpg ├─lok Mbd ├─� MOV ├ ├ ├ ├ ─wią mp4 ├─lok mpg ├── Ole ├├ Pdf ├wiąt png ├── Ppt ├wielka pptx ├├t RAR ├── Rif ├├t sdw ├─lok ├├ Sxc ├──lok sxi ├├t sxw ├├t vis ├── WAV ├--t WMV ├─� XLS ├─lok XLSX └lok ZIP

Gdy główny uzupełnia zadanie, puste katalogi są usuwane. Tylko te zawierające pliki pozostawiono na systemie plików: poinformuj nas od razu, jaki typ plików został pomyślnie pobrany. Domyślnie program próbuje odzyskać wszystkie obsługiwane typy plików; Aby ograniczyć nasze wyszukiwanie, możemy jednak użyć -T opcja i podaj listę typów plików, które chcemy odzyskać, oddzielone przecinkiem. W poniższym przykładzie ograniczamy wyszukiwanie tylko do Gif I PDF akta:

$ sudo -t -t gif, pdf -i /dev /sdb1
W tym filmie przetestujemy program odzyskiwania danych kryminalistycznych Główny Aby odzyskać jeden png plik z /dev/sdb1 partycja sformatowana z Ext4 system plików.

Określanie alternatywnego miejsca docelowego

Jak już powiedzieliśmy, jeśli cel nie zostanie wyraźnie zadeklarowany, przede wszystkim tworzy wyjście katalog wewnątrz naszego CWD. Co jeśli chcemy określić alternatywną ścieżkę? Wszystko, co musimy zrobić, to użyć -o opcja i podaj wspomnianą ścieżkę jako argument. Jeśli określony katalog nie istnieje, jest tworzony; Jeśli istnieje, ale nie jest pusty, program rzuca narzekanie:

Błąd:/home/egdoc/dane nie jest puste.

Aby rozwiązać problem, jak sugeruje sam program, możemy albo użyć innego katalogu lub ponownie uruchomić polecenie za pomocą -T opcja. Jeśli używamy -T opcja, katalog wyjściowy określony za pomocą -o Opcja jest znaczników czasu. Umożliwia to wielokrotne uruchomienie programu z tym samym miejscem docelowym. W naszym przypadku katalog, który zostałby użyty do przechowywania odzyskanych plików, byłby:

/home/egdoc/data_thu_Sep_12_16_32_38_2019

Plik konfiguracyjny

główny Plik konfiguracyjny może być używany do określenia formatów plików, które nie są natywnie obsługiwane przez program. W pliku możemy znaleźć kilka skomentowanych przykładów pokazujących składnię, którą należy użyć do wykonania zadania. Oto przykład obejmujący png Wpisz (linie są komentowane, ponieważ typ pliku jest domyślnie obsługiwany):

# Png (używane na stronach internetowych) # (Uwaga ten format ma funkcję ekstrakcji wbudowanej) # png y 200000 \ x50 \ x4e \ x47? \ xff \ xfc \ xfd \ xfe

Informacje do podania w celu dodania obsługi typu pliku są, od lewej do prawej, oddzielone znakiem zakładki: rozszerzenie pliku (png W takim przypadku), czy nagłówek i stopka są wrażliwe na wielkość (y), maksymalny rozmiar pliku w bajtach (200000), Nagłówek (\ x50 \ x4e \ x47?) i stopka (\ xff \ xfc \ xfd \ xfe). Tylko ta ostatnia jest opcjonalna i można go pominąć.

Jeśli ścieżka pliku konfiguracyjnego nie jest wyraźnie dostarczona z -C opcja, plik o nazwie główny.conf jest przeszukiwany i używany, jeśli jest obecny, w bieżącym katalogu roboczym. Jeśli nie zostanie znaleziony domyślny plik konfiguracyjny, /itp./przede wszystkim.conf jest używany zamiast tego.

Dodanie obsługi typu pliku

Czytając przykłady podane w pliku konfiguracyjnym, możemy łatwo dodać obsługę dla nowego typu pliku. W tym przykładzie dodamy obsługę Flac pliki audio. Flac (Bezpłatny bezstratny kod audio) to bezprzestrzenny format bezstratów, który jest w stanie zapewnić skompresowany dźwięk bez utraty jakości. Przede wszystkim wiemy, że nagłówek tego typu pliku w formie szesnastkowej jest 66 4C 61 43 00 00 00 22 (Flac w ASCII) i możemy go zweryfikować za pomocą takiego programu Hexdump Na pliku FLAC:

$ hexdump -c niewidomy_guardian_war_of_wrath.FLAC | Głowa 00000000 66 4C 61 43 00 00 00 22 12 00 12 00 00 00 0E 00 | FLAC… "… | 00000010 36 F2 0A C4 42 F0 00 4D 04 60 6D 0B 64 36 D7 BD | 6… B… M… M.'M.D6… | 00000020 3E 4C 0D 8B C1 46 B6 FE CD 42 04 00 03 DB 20 00 |> L… F… B… | 00000030 00 00 72 65 66 65 72 65 6E 63 65 20 6C 69 62 46 |… Odwołanie LIBF | 00000040 4C 41 43 20 31 2E 33 2E 31 20 32 30 31 34 31 31 | LAC 1.3.1 201411 | 00000050 32 35 21 00 00 00 12 00 00 54 49 54 4C 45 3D | 25!… Tytuł = | 00000060 57 61 72 20 6F 66 20 57 72 61 74 68 11 00 00 | Wojna gniewu… | 00000070 52 45 4C 45 41 53 45 43 4F 55 4E 54 52 59 3D 44 | Releasecountry = D | 00000080 45 0C 00 00 00 54 4F 54 41 4C 44 49 53 43 53 3D | E… TotalDiscs = | 00000090 32 0C 00 00 00 4C 41 42 45 4C 3D 56 69 72 67 69 | 2… Etykieta = Virgi |

Jak widać, podpis pliku jest rzeczywiście oczekiwani. Tutaj założymy maksymalny rozmiar pliku 30 MB lub 30000000 bajtów. Dodajmy wpis do pliku:

Flac y 30000000 \ x66 \ x4c \ x61 \ x43 \ x00 \ x00 \ x00 \ x22

stopka podpis jest opcjonalny, więc tutaj nie dostarczyliśmy. Program powinien być teraz w stanie odzyskać usunięte Flac akta. Sprawdźmy to. Aby przetestować, że wszystko działa zgodnie z oczekiwaniami, wcześniej umieściłem, a następnie usunąłem plik FLAC z /dev/sdb1 partycja, a następnie do uruchomienia polecenia:

$ sudo przede wszystkim -i/dev/sdb1 -o $ home/dokumenty/dane wyjściowe

Zgodnie z oczekiwaniami program był w stanie odzyskać usunięty plik FLAC (celowo był to jedyny plik na urządzeniu), chociaż przemianował go na losowym ciągu. Oryginalnej nazwy pliku nie można odzyskać, ponieważ, jak wiemy, pliki metadane są zawarte w systemie plików, a nie w samym pliku:

/home/egdoc/dokumenty └lok wyjściowe ├lok Audyt.txt └── flac └─ 00020482.Flac

Audyt.W tym przypadku plik TXT zawiera informacje o akcjach wykonanych przez program:

Najważniejsza wersja 1.5.7 Autor: Jesse Kornblum, Kris Kendall i Nick Mikus Audyt Plik Audytu Formanost rozpoczął się od czw. EGDOC/Documents/Output Plik konfiguracyjny:/etc/przede wszystkim.Conf ------------------------------------------------- ----------------- Plik: /dev /sdb1 Start: czw września 12 23:47:04 2019 Długość: 200 MB (209715200 bajtów) Nazwa rozmiaru (BS = 512) Komentarz przesunięcia pliku 0: 00020482.FLAC 28 MB 10486784 Wykończenie: Czw września 12 23:47:04 2019 1 Pliki wyodrębnione Flac: = 1 -------------------------------- ----------------------------------- Przede wszystkim zakończone na czw 12 września 23:47:04 2019

Wniosek

W tym artykule dowiedzieliśmy się, jak używać przede wszystkim programu kryminalistycznego do pobrania usuniętych plików różnych typów. Dowiedzieliśmy się, że program działa przy użyciu techniki o nazwie Rzeźbienie danych, i polega na podpisach plików, aby osiągnąć swój cel. Widzieliśmy przykład użycia programu, a także nauczyliśmy się dodawać obsługę określonego typu pliku za pomocą składni zilustrowanej w pliku konfiguracyjnym. Aby uzyskać więcej informacji na temat korzystania z programu, zapoznaj się z jego stroną ręczną.

Powiązane samouczki Linux:

  • Jak podzielić dysk na Linuksie
  • Jak podzielić napęd USB w Linux
  • Jak manipulować tabelami partycji GPT z gdisk i sgdisk…
  • Jak odzyskać tabelę partycji w Linux
  • Rzeczy do zainstalowania na Ubuntu 20.04
  • Manjaro Linux Windows 10 Dual Boot
  • Wprowadzenie do automatyzacji, narzędzi i technik Linuksa
  • Mastering Bash Script Loops
  • Partia klonów na Linux
  • Jak montować obraz ISO na Linux