Восстановление файлов с помощью Scalpel на Kali Linux

Инструмент форензики

Scalpel — профессиональный инструмент для восстановления файлов. Позволяет восстанавливать файлы размером больше 4 Гб. Поддерживает FATx, NTFS, ext2/3, HFS+. В этой статье я покажу, как использовать Scalpel для восстановления данных.

На самом деле, как знают ИТ-грамотные люди, многие компьютеры удаляют файлы не полностью, и многие из них удается восстановить с помощью специальных инструментов даже через значительное время после очистки корзины. Один из таких инструментов, одинаково любимый и гуру техподдержки, и правоохранительными органами, называется Scalpel.

Восстановление файлов с помощью Scalpel

Скальпель был создан как улучшение Foremost 0.69 (см. Восстановление данных на Linux с помощью Foremost). Это хороший инструментт восстановления данных, который работает практически с любыми устройствами и файловыми системами.

Скальпель использует выделение однородных массивов данных для простого восстановления данных. Этот метод включает использование встроенной базы данных заголовков и окончаний для конкретных типов файлов, таких как изображений PNG или файлов PDF. Заголовки и окончания состоят из строк байтов, предсказуемо отстоящих от начала, и файлы можно извлекать или вырезать прямо из образов дисков, не затрагивая имеющуюся файловую систему. Scalpel создан, чтобы делать это гораздо эффективнее, чем Foremost.

Скальпель предустановлен в Kali Linux, но для запуска восстановления необходимо указать типы файлов, которые нужно восстановить. Это необходимо делать перед каждым использованием Scalpel.

Настройка Scalpel на Kali Linux

Файл конфигурации находится в:

Откройте его с помощью команды:

Или:

Файл конфигурации Scalpel

Если прокрутить вниз, вы увидите множество различных типов файлов.

Выбор типа файлов в файле настройки Scalpel

В файле настройки каждая строка начинается с символа #, который используется для исключения типа файлов. Если удалить #, строка будет раскомментирована. Раскомментируйте строки, тем самым выбрав необходимый типы файлов для восстановления.

Для примера, буду восстанавливать удаленные изображения формата gif и jpg:

Сохранение настроек Scalpel

После изменения файла настроек, закройте редактор, нажав сочетание клавиш Ctrl+S.

Использование Scalpel для восстановления файлов на Kali Linux

Для начала открываем справку:

Использование Scalpel Kali Linux

Итак, у нас есть флешка, которая до форматирования содержала изображения в формате gif и jpg. Теперь попробуем восстановить эти файлы.

Когда правоохранительные органы изымают диск для криминалистического анализа, они обычно делают образ диска — в основном, чтобы избежать обвинений в подтасовке улик после изъятия диска. Но это также означает, что если в процессе восстановления что-то засбоит, можно сделать еще одну копию накопителя и повторить попытку.

Когда доходит до попыток восстановить данные, также существует риск, что, если вы толком не знаете, что делаете, можно не только не преуспеть в восстановлении своих файлов, но и усложнить это занятие даже для профессионала.

У Linux, как всегда, есть пара грамотных решений. Во-первых, используйте встроенную дисковую утилиту для создания образа целевого диска или флешки. Scalpel анализирует образы так же легко, как и сами диски

Второй вариант — использовать дистрибутив Kali Linux, разработанный с учетом работы в криминалистике. Мало того, что Kali поставляется с предустановленным Scalpel, но при первой загрузке вы можете выбрать загрузку в режиме Forensic (Аналитический), что не позволит ОС монтировать жесткий диск и автоматически монтировать съемные носители, такие как USB-накопители.

Для создания точной копии (образа) флешки или диска на Kali Linux, подойдет инструмент Guymager.

Итак, на рабочем столе лежит образ флешки в формате dd.

Файлы для восстановления на рабочем столе Kali Linux

Запускаем Scalpel для восстановления изображений GIF и JPG:

Восстановление файлов Kali Linux

С помощью дериктивы -o мы указали выходную папку сохранения восстановленных файлов и после завершения процесса восстановления, на рабочем столе появилась папка recovered.

Каталоги восстановленных файлов Scalpel

Теперь мы можем зайти в папку и проверить наши восстановленные файлы. В этой статье для примера мы восстановили только файлы изображений.

Восстановлены удаленные файлы Scalpel Kali Linux

В каталоге восстановленных файлов recovered видим файл audit.txt, в котором хранится информация о восстановленных файлах.

Скачать Scalpel вы можете с GitHub. Scalpel также доступен в репозиториях Ubuntu.

Заключение

К сожалению, имена файлов, возвращаемые обоими инструментами, не являются исходными именами файлов, и в некоторых случаях могут быть дубликаты восстановленных файлов, поскольку многие файлы могут быть фрагментированы и выглядеть как отдельные файлы.

Если сравнивать Scalpel и Foremost, то первый смог восстановить больше файлов и сделал это намного быстрее. Но Foremost имеет одно преимущество — он лучше восстанавливает поврежденные файлы.

ПОЛЕЗНЫЕ ССЫЛКИ:

_Eret1k_

DevOps и циничный атеист. Обожаю запах свежих багов по утрам.

Добавить комментарий

  1. 59Si

    Отличный инструмент. На linux работает хорошо, а вот на windows не пошла.

    p.s. сайт хороший, только побольше бы обзоров на программы форензики.

    Ответить
    1. 555555

      Как ты установил на линукс?

  2. Vadim

    Было два раздела. Переустановил линукс, но неаккуратно и естественно снёс второй раздел. Надо восстановить ВСЕ файлы с того раздела. Что написать или не написать в conf-файле по поводу расширений файлов?

    Ответить