Forensik

Alat ukiran fail

Alat ukiran fail
Dalam komputer, ukiran fail terdiri daripada memulihkan dan membina semula, menyusun semula atau menyusun semula fail terpecah-pecah setelah cakera diformat, sistem fail atau partisinya rosak atau rosak atau metadata fail dikeluarkan. Semua fail mengandungi metadata, metadata bermaksud: “data yang memberikan maklumat mengenai data lain". Di antara maklumat lebih lanjut, metadata fail mengandungi lokasi dan struktur fail dalam sistem fail dan blok fizikal.  Pengukiran Fail terdiri daripada membawa kembali fail walaupun metadata mereka dengan maklumat lokasi mereka dalam sistem fail tidak tersedia.

Artikel ini menerangkan beberapa Alat Ukiran Fail yang paling popular untuk Linux termasuk PhotoRec, Scalpel, Bulk Extractor with Record Carving, Foremost dan TestDisk.

Alat Ukiran PhotoRec

Photorec membolehkan anda memulihkan media, dokumen dan fail dari cakera keras, cakera optik atau memori kamera. PhotoRec cuba mencari blok data fail dari superblok untuk sistem fail Linux atau dari rekod boot volume untuk sistem fail WIndows. Sekiranya tidak mungkin, perisian akan memeriksa blok demi blok membandingkannya dengan pangkalan data PhotoRec. Ia memeriksa semua blok sementara alat lain hanya memeriksa permulaan atau akhir tajuk, itulah sebabnya prestasi PhotoRec bukan yang terbaik jika dibandingkan dengan alat yang menggunakan kaedah ukiran yang berbeza seperti pencarian header blok, namun PhotoRec mungkin merupakan alat ukiran fail dengan hasil yang lebih baik dalam senarai ini, jika masa tidak menjadi masalah PhotoRec adalah cadangan pertama.

Sekiranya PhotoRec berjaya mengumpulkan ukuran fail dari header fail, ia akan membandingkan hasil fail yang dipulihkan dengan header membuang fail yang tidak lengkap. Namun PhotoRec akan meninggalkan sebahagian fail yang dipulihkan apabila mungkin, misalnya dalam kes fail media.

PhotoRec adalah Sumber Terbuka dan tersedia untuk Linux, DOS, Windows dan MacOS, anda boleh memuat turunnya secara percuma dari laman web rasminya di https: // www.cgsecurity.org /.

Alat Ukiran Scalpel:

Scalpel adalah alternatif lain untuk ukiran fail yang tersedia untuk OS Linux dan Windows. Scalpel adalah sebahagian daripada The Sleuth Kit yang dijelaskan di  Alat Forensik Langsung artikel. Ia lebih pantas daripada PhotoRec dan ia adalah antara alat pengukir fail yang lebih pantas tetapi tanpa prestasi PhotoRec yang sama. Ia mencari blok header dan footer atau kluster. Antara ciri-cirinya terdapat multithreading untuk CPU multicore, I / O asinkron yang meningkatkan prestasi. Scalpel digunakan dalam forensik profesional dan pemulihan data, ia sesuai dengan semua sistem fail.

Anda boleh mendapatkan Scalpel untuk mengukir fail dengan berjalan di terminal:

# git klon https: // github.com / sleuthkit / pisau bedah.git

Masukkan direktori pemasangan dengan arahan cd (Tukar Direktori):

# cd pisau bedah

Untuk memasangnya, jalankan:

# ./ tali kasut
#  ./ konfigurasikan
# buat

Pada pengedaran Linux berdasarkan Debian seperti Ubuntu atau Kali, anda boleh memasang pisau bedah dari pengurus pakej apt dengan menjalankan:

# sudo apt pasang pisau bedah

Fail konfigurasi mungkin terdapat di / etc / scalpel / scalpel.conf 'atau / etc / pisau bedah.conf bergantung pada sebaran Linux anda. Anda boleh mendapatkan pilihan Scalpel di halaman lelaki atau dalam talian di https: // linux.mati.jaring / lelaki / 1 / pisau bedah.

Kesimpulannya Scalpel lebih cepat daripada PhotoRect yang mempunyai hasil bette ketika memulihkan fail, alat seterusnya adalah BulkExtractor With Record Carving.

Pengekstrak Pukal dengan Alat Ukiran Rekod:

Seperti alat yang disebut sebelumnya Bulk Extractor dengan Record Carving adalah multi thread, ini adalah peningkatan dari versi sebelumnya "Bulk Extractor". Ia memungkinkan untuk memulihkan segala jenis data dari sistem fail, cakera dan memori dump. Massal Extractor dengan Record Ukiran dapat digunakan untuk mengembangkan pengimbas pemulihan fail yang lain. Ia menyokong plugin tambahan yang dapat digunakan untuk ukiran, namun tidak untuk dihuraikan. Alat ini tersedia dalam mod teks untuk digunakan dari terminal dan antara muka mesra grafik.

Bulk Extractor with Record Carving boleh dimuat turun dari laman web rasminya di https: // www.kazamiya.net / en / bulk_extractor-rec.

Alat Ukiran Terutama:

Paling utama mungkin, bersama-sama dengan PhotoRect salah satu alat ukiran paling popular yang tersedia untuk Linux dan di pasaran pada umumnya, rasa ingin tahu ialah ia mula dikembangkan oleh Tentera Udara AS. Terutamanya mempunyai prestasi yang lebih pantas jika dibandingkan dengan PhotoRect tetapi PhotoRec lebih baik memulihkan fail. Tidak ada persekitaran grafik untuk Terutama, ia digunakan dari terminal dan mencari pada tajuk, footer dan struktur data.  Ia serasi dengan gambar alat lain seperti dd atau Encase untuk Windows.

Terutama menyokong sebarang jenis ukiran fail termasuk jpg, gif, png, bmp, avi, exe, mpg, wav, riff, wmv, mov, pdf, ole, dokumen, zip, rar, htm, dan cpp. Terutama datang secara lalai dalam pengedaran Forensik dan berorientasikan keselamatan seperti Kali Linux dengan suite untuk alat Forensik.

Pada sistem debian, Terutamanya boleh dipasang menggunakan pengurus pakej APT, pada debian atau pengedaran Linux berasaskan:

# sudo apt install paling utama

Setelah dipasang, periksa halaman manual untuk pilihan yang ada atau periksa dalam talian di https: // linux.mati.bersih / lelaki / 1 / paling utama.
Walaupun menjadi program mod teks, Terutamanya mudah digunakan untuk pembuatan fail.

TestDisk:

TestDisk adalah sebahagian dari PhotoRec, ia dapat memperbaiki dan memulihkan partisi, sektor boot FAT32, juga dapat memperbaiki sistem fail NTFS dan ext2, ext3, ext3 dan memulihkan fail dari semua jenis partisi ini. TestDisk dapat digunakan baik oleh pakar maupun pengguna baru yang memudahkan proses pemulihan fail untuk pengguna domestik, tersedia untuk Linux, Unix (BSD dan OS), MacOS, Microsoft Windows dalam semua versi dan DOS.

TestDisk boleh dimuat turun dari laman web rasminya (PhotoRec's) di https: // www.cgsecurity.org / wiki / TestDisk.

PhotoRect mempunyai persekitaran pengujian untuk anda mempraktikkan ukiran fail, yang dapat anda akses di https: // www.cgsecurity.org / wiki / TestDisk_and_PhotoRec_in_various_digital_forensics_testcase # Test_anda_anda.

Sebilangan besar alat yang disenaraikan di atas termasuk dalam sebilangan besar distro Linux yang tertumpu pada forensik komputer seperti alat forensik langsung Deft / Deft Zero, alat forensik langsung CAINE dan mungkin juga di forensik langsung Santoku, periksa senarai ini untuk maklumat lebih lanjut https: // linuxhint.com / live_forensics_tools /.

Saya harap anda dapati tutorial ini mengenai Alat Ukiran Fail berguna. Terus ikuti LinuxHint untuk mendapatkan lebih banyak petua dan kemas kini mengenai Linux dan rangkaian.

Permainan Vulkan untuk Pengguna Linux
Vulkan untuk Pengguna Linux
Dengan setiap kad grafik generasi baru, kami melihat pembangun permainan mendorong had kesetiaan grafik dan semakin dekat dengan fotorealisme. Tetapi ...
Permainan OpenTTD vs Simutrans
OpenTTD vs Simutrans
Membuat simulasi pengangkutan anda sendiri boleh menyeronokkan, santai dan sangat menarik. Itulah sebabnya anda perlu memastikan bahawa anda mencuba s...
Permainan Tutorial OpenTTD
Tutorial OpenTTD
OpenTTD adalah salah satu permainan simulasi perniagaan yang paling popular di luar sana. Dalam permainan ini, anda perlu membuat perniagaan pengangku...