Phenquestions
Odzyskiwanie danych z dysku twardego za pomocą aplikacji Foremost:
Na początek zobaczmy podłączone urządzenia pamięci masowej za pomocą polecenia lsblk, na konsoli uruchom:
# lsblk
Lsblk pokaże wszystkie dostępne urządzenia pamięci masowej i partycje, w tym urządzenia wymiany i optyczne, w tym przypadku chcę urządzenie sdb.
Uwaga: aby dowiedzieć się więcej o poleceniu lsblk przeczytaj Jak wyświetlić listę wszystkich urządzeń dyskowych z systemem Linux?.
Jak widać pendrive USB o pojemności 32 GB został nazwany SDB i to jest urządzenie, na którym będę pracować.
Odzyskiwanie danych z dysku USB z Foremost:
Aby rozpocząć odzyskiwanie danych z dysku USB, zacznij od zainstalowania programu Foremost za pomocą menedżera pakietów APT w dystrybucji Debian lub opartej na systemie Linux, uruchamiając:
# apt zainstalować przede wszystkim
Po zainstalowaniu możesz wyświetlić stronę podręcznika, aby sprawdzić wszystkie dostępne opcje:
# mężczyzna przede wszystkim
Ze strony podręcznika rozumiemy flagę -ja jest określenie pliku wejściowego, od którego Foremost zacznie działać. Zwykle ma na celu pracę z obrazami takimi jak te tworzone przez narzędzia takie jak dd lub Encase. Aby uruchomić Foremost w najprostszy sposób bez dodatkowych flag, uruchom następujące polecenie, zastępując /sdb identyfikatorem urządzenia, z którego chcesz odzyskać dane.
Biegać:
Gdzie SDB umieść właściwe urządzenie.
Po wykonaniu proces rzeźbienia będzie wyglądał następująco:
Uwaga: możesz także określić partycje, takie jak na przykład /dev/sdb1.
Po zakończeniu procesu uruchom ls aby potwierdzić utworzenie nowego katalogu o nazwie wynik:
# ls
Jak widać, katalog wyjściowy istnieje, aby zobaczyć odzyskane pliki, wprowadź je za pomocą polecenia Płyta CD (Zmień katalog), a następnie uruchom ls:
# ls
Wewnątrz zobaczysz katalogi dla wszystkich typów plików, które w większości udało się odzyskać, dodatkowo zobaczysz plik o nazwie audyt.txt z raportem na temat rzeźbionych plików.
Możesz sprawdzić, jakie pliki zostały znalezione w każdym katalogu, uruchamiając ls
Możesz także przeglądać wszystkie odzyskane pliki za pomocą graficznego menedżera plików:
Odzyskiwanie danych z dysku twardego za pomocą PhotoRec:
PhotoRect jest wraz z Foremost najpopularniejszym narzędziem do rzeźbienia plików lub odzyskiwania danych, zarówno do profesjonalnej kryminalistyki, jak i do użytku domowego. Podczas gdy Foremost wykonuje inteligentniejsze odzyskiwanie, wykazując szybszą wydajność, brutalna siła PhotoRec pokazuje lepsze wyniki podczas rzeźbienia plików. Ta sekcja pokazuje, jak przeprowadzić odzyskiwanie danych z dysku twardego za pomocą PhotoRec.
Aby rozpocząć na Debianie i opartych na nim dystrybucjach Linuksa, zainstaluj photorec, uruchamiając:
# apt install testdisk
Strona podręcznika PhotoRec jest prawie pusta, Photorec jest dość prosty w użyciu i wystarczy go uruchomić, pojawi się przyjazny dydaktycznie interfejs podobny do tego z CFDISK, aby poprowadzić Cię przez cały proces.
Po zainstalowaniu uruchom go, wywołując program:
# fotorecytacja
Pamiętaj, aby uruchomić PhotoRec z wystarczającymi uprawnieniami, aby uzyskać dostęp do urządzenia, które ma zostać wyrzeźbione.
Na pierwszym ekranie musisz wybrać dysk źródłowy lub obraz, z którego PhotoRec ma odzyskać dane. W tym przypadku wybieram urządzenie /dev/sdb, jak pokazano na poniższym obrazku:
W tym kroku musisz wybrać partycję, z której chcesz odzyskać dane.
Jeśli partycje nie zostały znalezione i wyświetlone przed kontynuowaniem wyszukiwania za pomocą strzałek klawiatury, przejdź do move Opcja pliku aby zapoznać się z dostępnymi opcjami, jak pokazano na poniższym obrazku:
Jak widać w środku Opcja pliku możesz zwiększyć dokładność wyników, którą chcesz, określając typ plików, których szukasz. Wybierz żądany typ plików, a następnie naciśnij b kontynuować, lub Porzucić wrócić.
Po powrocie na poprzedni ekran wybierz Szukaj i naciśnij Enter, aby kontynuować, aby rozpocząć proces odzyskiwania danych.
Na tym etapie Foremost zapyta, jaki typ systemu plików ma lub posiadało urządzenie, w tym przypadku był to FAT lub NTFS, wybierz odpowiedni system plików, nawet jeśli jest aktualnie uszkodzony i naciśnij WCHODZIĆ.
W końcu PhotoRec zapyta, gdzie chcesz zapisać pliki, właśnie opuściłem Pulpit, ale możesz utworzyć dla niego dedykowany folder, po wybraniu docelowego naciśnij do kontynuować.
Proces rozpocznie się i może potrwać kilka minut lub godzin w zależności od rozmiaru.
Pod koniec procesu PhotoRect powiadomi o utworzeniu katalogu z odzyskanymi plikami, w tym przypadku recup_dir* na pulpicie wcześniej wybranym jako miejsce docelowe.
Podobnie jak w przypadku Foremost możesz wyświetlić wszystkie pliki z konsoli:
Lub możesz przeglądać pliki za pomocą preferowanego graficznego menedżera plików:
Wnioski dotyczące odzyskiwania danych z dysku twardego za pomocą PhotoRec i Foremost:
Oba narzędzia są liderem na rynku rzeźbienia plików, oba narzędzia pozwalają odzyskać dowolny rodzaj plików, Foremost obsługuje rzeźbienie jpg, gif, png, bmp, Avi, exe, mpg, fala, Riff, wmv, ruch, pdf, Ole, doktor, zamek błyskawiczny, rar, htm, i cpp i więcej. Oba narzędzia są kompatybilne z obrazami dysków, takimi jak dd lub dla Encase. Podczas gdy PhotoRec opiera się na brutalnej sile, zapewniając głębsze rzeźbienie, Foremost skupia się na szybszym działaniu nagłówków i stopek bloków. Oba narzędzia są zawarte w najpopularniejszych pakietach kryminalistycznych i dystrybucjach systemów operacyjnych, takich jak Deft/Deft Zero live czy CAINE, które zostały opisane na stronie https://linuxhint.com/live_forensics_tools/.
Korzystanie z PhotoRec lub Foremost daje możliwość zastosowania narzędzi kryminalistycznych wysokiego poziomu nawet do użytku domowego, wspomniane narzędzia nie mają skomplikowanych flag i opcji dodawania ich uruchamiania.
Mam nadzieję, że ten samouczek dotyczący odzyskiwania danych z dysku twardego okazał się przydatny. Śledź LinuxHint, aby uzyskać więcej wskazówek i aktualizacji dotyczących systemu Linux i sieci.
