Gjenopprette Slettede Filer I Linux

Spesiell Takk: denne artikkelen ble gjort mulig ved støtte Fra Linux Professional Institute

Det er allment kjent at når du fjerner en fil på en *nix filsystem, det er borte—borte for alltid, og du kan ikke få det tilbake. Vel, det er ikke akkurat sant lenger, og jeg er ikke 100 prosent overbevist om at det noen gang var sant, men det er en helt egen diskusjon. Det er noen effektive metoder for å gjenopprette filer på alle filsystemer ,inkludert * nix seg. Denne artikkelen dekker en av metodene ved hjelp av forensics verktøyet, Fremst. Det er riktig, vi må vende oss til en av» pro » – metodene for å gjenopprette filer. Fremst kan gjenopprette visse filer basert på deres topp -, bunntekst, og datastrukturer. Fremst er en etterforskning verktøy som brukes av politi for å gjenopprette slettede filer, men det er fritt tilgjengelig for alle å bruke.Foremost gjenoppretter en noe begrenset liste over filer som inneholder noen dokumenttyper, komprimerte filer, lydfiler, grafikkbilder, C-kilde, OLE-filer og noen filmformater. Disse typer filer er de som er mest målrettet av rettshåndhevelse og knyttet til ulovlig aktivitet.

Installasjon

red Hat, CentOS og Fedora-brukere må først legge Til RepoForge-depotet og deretter installere det med:

$ sudo rpm -Uvh http://pkgs.repoforge.org/rpmforge-release/ rpmforge-release-0.5.3-1.el7.rf.x86_64.rpm$ sudo yum –y install foremost

dette installerer også de nødvendige avhengighetene For Foremost.

På Debian-baserte systemer er installasjonen enkel:

$ sudo apt install foremost

Merk: På Min Ubuntu 18.04 system,

apt install foremost

fungerte ikke, så jeg måtte omgå problemet ved å gjøre følgende:

$ wget http://launchpadlibrarian.net/205815060/ foremost_1.5.7-6_amd64.deb$ sudo dpkg –i foremost_1.5.7-6_amd64.deb

Bruk

for å demonstrere Hvordan Fremst fungerer, har jeg fjernet (slettet) en av filene mine (MAZ1.jpg) fra min hjemmekatalog:

$ rm MAZ1.jpg

før du kjører Fremst, bør du ha en egen partisjon eller ekstern disk til bruk for filgjenoppretting. Hvis du ikke gjør det, så er det en sjanse for at de gjenopprettede filene vil bli overskrevet, og du vil ikke kunne gjenopprette noe. Dette er også grunnen til at du bør prøve utvinning så snart du innser (eller filens eier innser) at en fil har blitt errantly fjernet. Et veldig travelt filsystem som også har lite ledig diskplass, kan ikke gi noen resultater, selv om det er verdt et forsøk.I følgende kommando kjører jeg fremst på partisjonen som inneholder den slettede filen, som er /dev / sda2. Jeg utpeker / gjenoppretter som utgangssted. Min / gjenopprett katalog er faktisk en ekstra disk (1GB) som jeg konfigurerer spesielt for filgjenoppretting.

$ sudo foremost –t jpg /dev/sda2 –o /recoverProcessing: /dev/sda2|**************************************************************************|

du kan nå bla gjennom / gjenopprette katalogen som inneholder to filer: revisjon. txt og en jpg-katalog. I JPG-katalogen finner du en liste over ALLE JPG-type filer gjenopprettet fra /dev / sda2. I mitt tilfelle er det 244 av dem, noe som er uheldig fordi jeg vanligvis må se på hver fil individuelt for å finne den jeg er interessert i å gjenopprette. Denne gangen vet jeg omtrentlig størrelse på filen, som er 2,4 MB. Du må liste disse filene ved hjelp sudo fordi jpg katalogen er bare kjørbar av root, noe som betyr at vanlige brukere ikke kan cd inn i det (Liste 1).

Oppføring 1

Oppføring Av filer med sudo

$ sudo ls –lS /recover/jpgls -lStotal 44096-rw-r--r-- 1 root root 9659197 Sep 3 17:24 15564800.jpg-rw-r--r-- 1 root root 3613391 Sep 3 17:24 15613952.jpg-rw-r--r-- 1 root root 3563772 Sep 3 17:24 15593472.jpg-rw-r--r-- 1 root root 3085681 Sep 3 17:24 15556608.jpg-rw-r--r-- 1 root root 2975375 Sep 3 17:24 15585280.jpg-rw-r--r-- 1 root root 2880578 Sep 3 17:24 15540224.jpg-rw-r--r-- 1 root root 2794666 Sep 3 17:24 15622144.jpg-rw-r--r-- 1 root root 2463714 Sep 3 17:24 19415032.jpg-rw-r--r-- 1 root root 2313724 Sep 3 17:24 15601664.jpg-rw-r--r-- 1 root root 1977539 Sep 3 17:24 15609856.jpg

filen, 19415032.jpg, er en av interesse og har blitt gjenopprettet. Jeg kan kopiere denne filen tilbake til den opprinnelige plasseringen og endre tillatelsene slik at den opprinnelige fileieren har tilgang til den.

jeg fjernet deretter en dokumentfil, ATP.doc, og forsøkt gjenoppretting:

$ rm ATP.doc$ sudo foremost –t doc /dev/sda2 –o /recoverProcessing: /dev/sda2|**************************************************************************|

denne gangen var det imidlertid ingen doc-katalog under / recover. Revisjonsfilen utgang er vist I Oppføring 2.

Oppføring 2

Audit File Output

$ sudo cat /recover/audit.txtForemost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick MikusAudit FileForemost started at Tue Sep 3 19:27:07 2019Invocation: foremost -t doc /dev/sda2 -o /recoverOutput directory: /recoverConfiguration file: /etc/foremost.conf------------------------------------------------------------------File: /dev/sda2Start: Tue Sep 3 19:27:07 2019Length: 9 GB (10734272512 bytes)Num Name (bs=512) Size File Offset CommentFinish: Tue Sep 3 19:27:52 20190 FILES EXTRACTED ------------------------------------------------------------------Foremost finished at Tue Sep 3 19:27:52 2019

Så ser Du At Fremst ikke alltid lykkes i filgjenoppretting ved hjelp av bestemte filtyper. Men visse filtyper gjenopprettes bedre I OLE-format, for Eksempel Microsoft Office-filer:

$ sudo foremost –t ole /dev/sda2 –o /recoverProcessing: /dev/sda2|**************************************************************************|

denne gangen var gjenoppretting vellykket. Å vite omtrentlig filstørrelse er en stor hjelp i å bestemme filen av interesse som ble gjenopprettet. Filen min var omtrent 6 MB i størrelse; av de 39 utpakkede filene passer bare en til den profilen: 19611640.ole. Jeg omdøpt filen SOM ATP.doc og åpnet den for å se at filen faktisk hadde blitt gjenopprettet.

Mer informasjon

Se SourceForge og Foremost man-siden for mer informasjon om bruk og eksempler. Mine eksempler er generiske, men veldig nyttige. Det er noen ekstra brytere (alternativer) som du kan bruke, for eksempel-v for detaljert modus, som anbefales. Du kan også ganske enkelt utføre en revisjon uten å trekke ut filer med-w-bryteren.

legg også merke til at du kan tilpasse/etc / foremost.conf fil å inkludere andre filtyper for utvinning. Mange av de som er inkludert i konfigurasjonsfilen er standard utvinnbare filer. Ved å bruke de gjeldende oppføringene som maler, kan du legge til nye oppføringer i konfigurasjonsfilen.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *