Skalpell: Verktyg för att återställa raderade Linux -filer

Innehållsförteckning

Skalpell systemåterställningsverktyg raderade filer och mappar på Linux. Detta verktyg används för att återställa systemfiler, det är ett verktyg för öppen källkod för Linux -operativsystem. För återställning av raderade data är det en uppdaterad gaffel av främst, även om den är snabbare och mer effektiv för att spåra och söka efter filmönster.

Scalpel använder en databas som lagrar kända filbytesmönster och identifierar raderade filer och återställer dem direkt. Många gånger händer det att av misstag eller systemfel begärs information från filer eller mappar som är viktiga. Scalpel är ett verktyg som låter oss återställa information som du kan ha tagit bort. När vi raderar information tar operativsystemet vanligtvis bara bort filens metadata, till exempel filnamn, ägare och plats. Användardata finns kvar på lagringsmediet tills det skrivs över.

Scalpel analyserar en disk eller en lagringsenhet som letar efter byte -mönster som svarar på filhuvudena och filfoten, på så sätt försöker den återställa data som tillhör filen. Scalpel kan upptäcka olika typer av filer. Den stöder olika diskstruktur och filformat för detta, den använder en databas med sidhuvuden och sidfötter av filer med uttrycksregler för att upptäcka vilket format den kan återställa.

Många distributioner har Scalpel i sina arkiv, även om det är en bra idé att hålla Scalpel uppdaterad för att lägga till nya reguljära uttryck för filhuvuden och sidfötter. Scalpel levererar höghastighetsskanning, under genomsökning läser den en sidhuvud- och sidfotsdatabas med filformat och extraherar filer som matchar mellan en uppsättning definitioner och reguljära uttryck från en enhet.

Scalpel stöder diskformat från FAT, NTFS, ext2 eller raw partitioner. Det är användbart för både digital rättsmedicinsk undersökning och filåterställning. Detta verktyg är en del av Seulkit som integreras med Autopsy som vi såg i självstudien om rättsmedicinsk analys av hårddiskar och partitioner med Autopsy.

För att installera det kan vi gå till ett terminalfönster och skriva följande kod:

 sudo apt-get installera skalpell

Nästa måste vi konfigurera skalpell för detta kan vi hitta installationsfilen med följande kommando:

 var är skalpell

Därefter öppnar vi filen med en textredigerare som nano eller vi. Som standard kommenteras alla uttrycksrader med # i konfigurationsfilen. I konfigurationsfilen skalpel.konf, det finns några rader som innehåller de typer av filer som vi kan återställa. Till exempel jpg.webp, png, doc, etc.

UppmärksamhetInnan vi kör Scalpel måste vi kommentera filformatet som vi vill att Scalpel ska återställa.

Här avmarkerar vi de filtillägg som vi vill att Scalpel ska söka efter, om de inte kommenteras ignoreras dessa filer.

Ett viktigt steg, om vi hittar ett fel vid körningen måste vi manuellt skapa / et / skalpellmapp och inuti kopiera scalpel.conf -fil.

Därefter kör vi skalpell från dess mapp, vi anger mappen där de återställda filerna sparas.

 skalpell -c /etc/scalpel/scalpel.conf /dev /sda -o test

På bilden kan vi se hur 16 GB har återställts på bara 3% av den totala disken. Parametern -o matas ut, den indikerar en utdatakatalog där du vill återställa de raderade filerna. Vi måste verifiera att den här katalogen är tom innan vi utför något kommando, annars ger det oss ett fel.

Scalpel startar skanningsprocessen och beroende på hårddisken eller enhetsutrymmet du försöker skanna och återställa, så det kan ta lång tid att återställa de raderade filerna.

Om vi ​​vill återställa data från en pendrive eller en extern enhet måste vi veta vilken som är partitionen genom fdsik -kommandoOm det är ett pendrive- eller flashminne kommer det i allmänhet att placeras som en sdb -partition.

 skalpell -c /etc/scalpel/scalpel.conf /dev /sdb -o recu

Inne i mappen sparas en fil som heter audit.txt, som innehåller information om hela processen och de återställda filerna.

I det här fallet kan vi se att png -filer har återställts från pendrive och vi har dem tillgängliga i den mapp som vi kallar recu. Ett av Scalpels verktyg är att kopiera innehållet i en trasig eller defekt extern USB -enhet och skapa en img- eller dd -diskavbildning, så då kan vi se den från annan programvara eller montera den, koden för att generera diskavbildningen är följande:

 skalpell -c -c /etc/scalpel/scalpel.conf /dev /sdb -o recovered.dd
Scalpel är idealisk för serverarbete med Centos för att fjärrhämta filer från terminalfönstret. Scalpel fungerar på andra serverorienterade Linux-distributioner, inklusive:
  • Röd hatt
  • Fedora
  • Debian.

En av nackdelarna med Scalpel är att du mycket väl måste veta hur strukturen på en disk eller en lagringsenhet är och kommandona för att hantera dess partitioner, samt hur filsystemet fungerar.

Varje raderad fil finns kvar någonstans på din hårddisk. är operativsystemet det som håller en pekare till listan över block på lagringsenheten som innehåller data från filerna,

Normalt i Windows har vi många mycket enkla verktyg att använda som Recuva som används för att återställa förlorade data, men i Linux bara några om vi vill använda det på servernivå med säkerhet.
Scalpel går igenom hela hårddisken, fungerar mycket bra med externa lagringsenheter och återställer förlorade filer enligt reguljära uttryck vilket gör den mycket mångsidig.

Gillade du och hjälpte denna handledning?Du kan belöna författaren genom att trycka på den här knappen för att ge honom en positiv poäng
wave wave wave wave wave