Инструмент восстановления системы Scalpel удаляет файлы и папки в Linux. Этот инструмент используется для восстановления файлов из системы, это инструмент с открытым исходным кодом для операционных систем Linux. Для восстановления удаленных данных прежде всего нужен обновленный форк, хотя он быстрее и эффективнее отслеживает и ищет шаблоны файлов.
Scalpel использует базу данных, которая хранит известные байтовые шаблоны файлов, идентифицирует удаленные файлы и мгновенно извлекает их. Часто случается, что случайно или по системной ошибке информация запрашивается из важных файлов или папок. Scalpel - это инструмент, который позволяет нам восстановить информацию, которую вы, возможно, удалили. Когда мы удаляем информацию, операционная система обычно удаляет только метаданные из файла, такие как имя файла, владелец и местоположение. Пользовательские данные хранятся на носителе до тех пор, пока они не будут перезаписаны.
Scalpel анализирует диск или устройство хранения, ища байтовые шаблоны, которые отвечают на верхние и нижние колонтитулы файлов, таким образом, он попытается восстановить данные, принадлежащие файлу. Скальпель может обнаруживать различные типы файлов. Он поддерживает различную структуру диска и форматы файлов. Для этого он использует базу данных с верхними и нижними колонтитулами файлов с правилами выражений, чтобы определить, какой формат можно восстановить.
Во многих дистрибутивах есть Scalpel в своих репозиториях, хотя удобно обновлять Scalpel для добавления новых регулярных выражений для верхних и нижних колонтитулов файлов. Scalpel обеспечивает высокую скорость сканирования, в то время как сканирование считывает базу данных верхнего и нижнего колонтитула форматов файлов и извлекает файлы, которые совпадают между набором определений и регулярными выражениями устройства.
Scalpel поддерживает форматы дисков из FAT, NTFS, ext2 или простых разделов. Это полезно как для цифровой криминалистической экспертизы, так и для восстановления файлов. Этот инструмент является частью Seulkit, который интегрируется с Autopsy, который мы видели в учебнике по криминалистическому анализу жестких дисков и разделов с помощью Autopsy.
Для его установки мы можем зайти в окно терминала и написать следующий код:
sudo apt-get установить скальпель
Далее мы должны настроить Scalpel, для этого мы можем найти установочный файл с помощью следующей команды:
где скальпель
Затем мы открываем файл с помощью текстового редактора, такого как nano или vi. По умолчанию все строки выражения комментируются # в файле конфигурации. В файле конфигурации scalpel.conf есть несколько строк, которые содержат типы файлов, которые мы можем восстановить. Например, jpg, png, doc и т. Д.
внимание
Перед запуском Scalpel мы должны раскомментировать формат файла, который мы хотим, чтобы Scalpel восстановил.
Здесь мы раскомментируем расширения файлов, которые мы хотим найти в Scalpel, иначе эти файлы будут игнорироваться.
Важный шаг: если мы обнаружим ошибку при выполнении, мы должны вручную создать папку / et / scalpel и скопировать в нее файл scalpel.conf .
Затем мы выполняем скальпель из его папки, указываем папку, в которой сохранены восстановленные файлы.
скальпель -c /etc/scalpel/scalpel.conf / dev / sda -o test
На рисунке мы видим, как 16 ГБ были восстановлены всего за 3% от общего диска. Параметр -o выводится, указывает выходной каталог, в который вы хотите восстановить удаленные файлы. Мы должны проверить, что этот каталог пуст перед выполнением любой команды, иначе это выдаст нам ошибку.
Scalpel запустит процесс сканирования и в зависимости от места на диске или устройства, которое вы пытаетесь сканировать и восстановить, поэтому восстановление удаленных файлов может занять много времени.
$config[ads_text5] not foundЕсли мы хотим восстановить данные с pendrive или внешнего устройства, мы должны знать, что за раздел использует команду fdsik, если это pendrive или флэш-память, он обычно будет находиться как раздел sdb.
скальпель -c /etc/scalpel/scalpel.conf / dev / sdb -o ré
Внутри папки она сохраняется в файле с именем audit.txt, который содержит информацию обо всем процессе и восстановленных файлах.
В этом случае мы можем наблюдать, что png-файлы были восстановлены из pendrive, и мы имеем их в папке, которую мы называем c. Одной из утилит Scalpel является копирование содержимого поврежденного или вышедшего из строя внешнего USB-устройства и создание образа диска img или dd, чтобы мы могли увидеть его из другого программного обеспечения или смонтировать его. Код для генерации образа диска выглядит следующим образом. :
скальпель -c -c /etc/scalpel/scalpel.conf / dev / sdb -o recovered.ddScalpel идеально подходит для работы на сервере с Centos для удаленного восстановления файлов из окна терминала. Scalpel работает на других серверных дистрибутивах Linux, включая:
- Красная шапка
- мягкая фетровая шляпа
- Debian.
Одним из недостатков Scalpel является то, что вы должны очень хорошо знать, как устроена структура диска или устройства хранения и команды для управления вашими разделами, а также как работает файловая система.
Каждый удаленный файл остается где-то на вашем жестком диске. операционная система поддерживает указатель на список блоков устройства хранения, которое содержит данные файлов,
Обычно в Windows у нас есть много очень простых инструментов для использования в качестве Recuva, которые используются для восстановления потерянных данных, но в Linux только несколько, если мы хотим использовать их на уровне сервера безопасно.
Scalpel проходит через весь жесткий диск, очень хорошо работает с внешними устройствами хранения и восстанавливает потерянные файлы в соответствии с регулярными выражениями, что делает его очень универсальным.
- 0
СТАТЬИ