So wiederherstellen Sie gelöschte Dateien mit vorderster Stelle unter Linux
- 2249
- 654
- Hr. Moritz Bozsik
In diesem Artikel werden wir darüber sprechen in erster Linie
, Ein sehr nützliches forensischer Open -Source -Dienstprogramm, mit dem gelöschte Dateien mithilfe der Technik genannt werden können Datenschnitzen
. Das Dienstprogramm wurde ursprünglich vom United States Air Force Office of Special Investigations entwickelt und kann mehrere Dateitypen wiederherstellen (Unterstützung für bestimmte Dateitypen kann vom Benutzer über die Konfigurationsdatei hinzugefügt werden). Das Programm kann auch an Partitionsbildern arbeiten, die von DD oder ähnlichen Tools erstellt wurden.
In diesem Tutorial lernen Sie:
- So installieren Sie führend
- So verwenden Sie vor allem gelöschte Dateien wiederherzustellen
- So fügen Sie Unterstützung für einen bestimmten Dateityp hinzu
Vorbild ist ein forensische Datenwiederherstellungsprogramm für Linux, mit dem Dateien mithilfe ihrer Header, Fußzeilen und Datenstrukturen durch einen als Dateischnitzern bezeichneten Prozess wiederhergestellt werden können.
Softwareanforderungen und Konventionen verwendet
Kategorie | Anforderungen, Konventionen oder Softwareversion verwendet |
---|---|
System | Verteilungsunabhängige |
Software | Das Programm „führend“ |
Andere | Vertrautheit mit der Befehlszeilenschnittstelle |
Konventionen | # - erfordert, dass gegebene Linux -Befehle mit Root -Berechtigungen entweder direkt als Stammbenutzer oder mit Verwendung von ausgeführt werden können sudo Befehl$ - Erfordert, dass die angegebenen Linux-Befehle als regelmäßiger nicht privilegierter Benutzer ausgeführt werden können |
Installation
Seit in erster Linie
ist bereits in allen wichtigen Linux -Distributions -Repositories vorhanden, die Installation ist eine sehr leichte Aufgabe. Wir müssen nur unseren bevorzugten Vertriebspaketmanager verwenden. Auf Debian und Ubuntu können wir verwenden geeignet
:
$ sudo apt installieren vor allem
In jüngsten Versionen von Fedora verwenden wir die DNF
Paketmanager zum Installieren von Paketen, die DNF
ist ein Nachfolger von Yum
. Der Name des Pakets ist der gleiche:
$ sudo dnf installieren in ermessen
Wenn wir Archlinux verwenden, können wir verwenden Pacman
installieren in erster Linie
. Das Programm befindet sich im Vertriebsrepository: "Community":
$ sudo pacman -s führend
Grundnutzung
WARNUNGUnabhängig davon, welches Dateiwiederherstellungstool oder -verfahren Sie verwenden werden, um Ihre Dateien wiederherzustellen, wird empfohlen, eine feste Festplatten- oder Partitionssicherung auf niedriger Ebene durchzuführen, wodurch ein versehentliches Datenüberschreiben vermieden wird !!! In diesem Fall können Sie Ihre Dateien wiederherstellen, auch nach erfolglosen Wiederherstellungsversuch. Überprüfen Sie die folgende DD -Befehlsanleitung, wie Sie die Festplatte oder die Sicherung von Low -Level -Sicherungen durchführen können.
Der in erster Linie
Das Dienstprogramm versucht, Dateien auf der Basis ihrer Header, Fußzeilen und Datenstrukturen wiederherzustellen und zu rekonstruieren, ohne sich darauf zu verlassen Dateisystemmetadaten
. Diese forensische Technik ist als bekannt als als Dateischnitzen
. Das Programm unterstützt verschiedene Arten von Dateien wie zum Beispiel:
- JPG
- GIF
- png
- Bmp
- Avi
- exe
- mpg
- Wave
- Riff
- WMV
- MOV
- Ole
- Dokument
- Reißverschluss
- rar
- htm
- CPP
Die grundlegendste Art zu verwenden in erster Linie
durch Bereitstellung einer Quelle zum Scannen nach gelöschten Dateien (kann entweder eine Partition oder eine Bilddatei sein, wie sie generiert sind dd
). Lassen Sie uns ein Beispiel sehen. Stellen Sie sich vor, wir möchten das scannen /dev/sdb1
Partition: Bevor wir beginnen, ist es sehr wichtig, dass Sie nie abgerufene Daten auf derselben Partition speichern. Wir rufen die Daten ab, um zu vermeiden, dass Überschreibungsdateien noch auf dem Blockgerät vorhanden sind. Der Befehl, den wir ausführen würden, lautet:
$ sudo wesentlich -I /dev /sdb1
Standardmäßig erstellt das Programm ein Verzeichnis mit dem Namen Ausgang
Im Verzeichnis haben wir es aus gestartet und verwendet es als Ziel. In diesem Verzeichnis wird ein Unterverzeichnis für jeden unterstützten Dateityp erstellt, der versuchen, abzurufen. Jedes Verzeichnis enthält den entsprechenden Dateityp, der aus dem Datenschnitzvorgang erhalten wird:
Ausgabe ├── Prüfung.txt ├── avi ├── BMP ├── Dll ├── Doc ├── Docx ├── Exe ├── Gif ├── Htm ├── Glas ── mp4 ├── mpg ├── OLE ├── PDF ├── Png ├── PPT ├── ├ ├── rar ├── ├── ├ ├── ├ ├º ├ ├ ├ ├ ├ ├ ├ºwort sxi ├── Sxw ├── vis
Wenn in erster Linie
Vervollständigt seinen Job, leere Verzeichnisse werden entfernt. Nur die enthaltenen Dateien bleiben im Dateisystem: Dies informiert uns sofort, welche Art von Dateien erfolgreich abgerufen wurden. Standardmäßig versucht das Programm, alle unterstützten Dateitypen abzurufen. Um unsere Suche einzuschränken, können wir jedoch die verwenden -T
Option und geben Sie eine Liste der Dateitypen an, die wir abrufen möchten, von einem Komma getrennt. Im folgenden Beispiel beschränken wir die Suche nur auf GIF
Und PDF
Dateien:
$ sudo wesentlicher GIF, PDF -i /dev /sdb1In diesem Video werden wir das forensische Datenwiederherstellungsprogramm testen In erster Linie eine einzelne wiederherstellen
png
Datei von /dev/sdb1
Partition mit dem formatiert mit dem Ext4
Dateisystem. Angabe eines alternativen Ziels
Wie wir bereits sagten, wenn ein Ziel nicht ausdrücklich erklärt wird Ausgang
Verzeichnis in unserem CWD
. Was ist, wenn wir einen alternativen Weg angeben möchten?? Alles was wir tun müssen, ist, die zu verwenden -Ö
Option und geben Sie diesen Pfad als Argument an. Wenn das angegebene Verzeichnis nicht vorhanden ist, wird es erstellt. Wenn es existiert, aber nicht leer ist, wirkt sich das Programm beschweren:
Fehler:/Home/EGDOC/Daten sind nicht leer. Bitte geben Sie ein anderes Verzeichnis an oder laufen Sie mit -t aus.
Um das Problem zu lösen, wie das Programm selbst vorgeschlagen, können wir entweder ein anderes Verzeichnis verwenden oder den Befehl mit dem neu starten -T
Möglichkeit. Wenn wir das verwenden -T
Option, das mit dem angegebene Ausgabeverzeichnis -Ö
Die Option ist Zeitstempel. Dies ermöglicht es, das Programm mehrmals mit demselben Ziel auszuführen. In unserem Fall wäre das Verzeichnis, mit dem die abgerufenen Dateien gespeichert werden würden,:
/home/egdoc/data_thu_sep_12_16_32_38_2019
Die Konfigurationsdatei
Der in erster Linie
Konfigurationsdatei kann verwendet werden, um Dateiformate anzugeben, die nicht vom Programm nativ unterstützt werden. In der Datei finden wir mehrere kommentierte Beispiele, die die Syntax zeigen, mit der die Aufgabe erledigt werden sollte. Hier ist ein Beispiel, das das betrifft png
Typ (die Zeilen werden kommentiert, da der Dateityp standardmäßig unterstützt wird):
# PNG (verwendet in Webseiten) # (Beachten Sie, dass dieses Format eine integrierte Extraktionsfunktion hat) # PNG Y 200000 \ x50 \ x4e \ x47? \ xff \ xfc \ xfd \ xfe
Die Informationen, die zur Verfügung gestellt werden sollen, um Unterstützung für einen Dateityp hinzuzufügen, werden von links nach rechts durch ein Registerkartenzeichen getrennt: die Dateierweiterung (die Dateierweiterung (png
in diesem Fall), ob die Header und die Fußzeile Fall sensibel sind (y
) die maximale Dateigröße in Bytes (200000
), der Header (\ x50 \ x4e \ x47?
) und die Fußzeile (\ xff \ xfc \ xfd \ xfe
). Nur letzteres ist optional und kann weggelassen werden.
Wenn der Pfad der Konfigurationsdatei nicht explizit mit dem bereitgestellt wird -C
Option eine Datei mit dem Namen in erster Linie.Conf
wird im aktuellen Arbeitsverzeichnis durchsucht und verwendet, falls vorhanden. Wenn nicht die Standardkonfigurationsdatei gefunden wurde, /usw./vor allem.Conf
wird stattdessen verwendet.
Hinzufügen der Unterstützung für einen Dateityp hinzufügen
Durch Lesen der in der Konfigurationsdatei angegebenen Beispiele können wir problemlos Unterstützung für einen neuen Dateityp hinzufügen. In diesem Beispiel werden wir Unterstützung für die Unterstützung hinzufügen Flac
Audiodateien. Flac
(Kostenloser, verlustfreies Audio codiert) ist ein nicht proprietäres verlustfreies Audio-Format, das komprimierte Audio ohne Qualitätsverlust bereitstellen kann. Zunächst wissen wir, dass der Header dieses Dateityps in hexadezimaler Form ist 66 4c 61 43 00 00 00 00 22
(Flac
in ASCII), und wir können es überprüfen, indem wir ein Programm wie verwenden Hexdump
Auf einer FLAC -Datei:
$ hexdump -c blind_guardian_war_of_wrath.flac | head 00000000 66 4c 61 43 00 00 00 22 12 00 12 00 00 00 0e 00 | flac… “… | 000010 36 F2 0A C4 42 F0 00 4d 04 60 6d 0b 64 36 D7 Bd | 6… B… M.'M.D6… | 00000020 3e 4c 0d 8b C1 46 B6 Fe CD 42 04 00 03 DB 20 00 |> L… F… B… | 00000030 00 00 72 65 66 65 72 65 6e 63 65 20 6c 69 62 46 |… Referenz LIBF | 00000040 4c 41 43 20 31 2e 33 2e 31 20 32 30 31 34 31 31 | lac 1.3.1 201411 | 00000050 32 35 21 00 00 00 12 00 00 00 54 49 54 4c 45 3d | 25!… Titel = | 00000060 57 61 72 20 6f 66 20 57 72 61 74 68 11 00 00 00 | Krieg des Zorns… | 00000070 52 45 4c 45 41 53 45 43 4f 55 4e 54 52 59 3d 44 | releascountry = d | 00000080 45 0c 00 00 00 54 4f 54 41 4c 44 49 53 43 53 3d | e… TotalDiscs = | 00000090 32 0c 00 00 00 4c 41 42 45 4c 3d 56 69 72 67 69 | 2… label = virgi |
Wie Sie sehen können, ist die Dateisignatur in der Tat das, was wir erwartet haben. Hier nehmen wir eine maximale Dateigröße von 30 MB oder 30000000 Bytes an. Fügen wir den Eintrag zur Datei hinzu:
flac y 30000000 \ x66 \ x4c \ x61 \ x43 \ x00 \ x00 \ x00 \ x22
Der Fusszeile
Signatur ist optional, also haben wir sie nicht zur Verfügung gestellt. Das Programm sollte nun in der Lage sein, gelöscht wiederherzustellen Flac
Dateien. Überprüfen wir es. Um zu testen, dass alles wie erwartet funktioniert, habe ich zuvor eine FLAC -Datei aus dem platziert und dann entfernt /dev/sdb1
Partition und führte dann den Befehl aus:
$ sudo wesentlich -i/dev/sdb1 -o $ home/dokumente/output
Wie erwartet konnte das Programm die gelöschte FLAC -Datei abrufen (es war absichtlich die einzige Datei auf dem Gerät), obwohl es sie mit einer zufälligen Zeichenfolge umbenannte. Der ursprüngliche Dateiname kann nicht abgerufen werden, da, wie wir wissen, Dateien -Metadaten im Dateisystem und nicht in der Datei selbst enthalten sind:
/Home/EGDOC/Dokumente └── Ausgabe ├── Audit.txt └── flac └── 00020482.Flac
Die Prüfung.Die TXT -Datei enthält Informationen zu den von dem Programm ausgeführten Aktionen in diesem Fall:
In erster Linie Version 1.5.7 Von Jesse Kornblum, Kris Kendall und Nick Mikus Audit -Datei wurde am 12. September am 12. September aufgerufen EGDOC/DOCUMENTS/OUTTIONS -Konfigurationsdatei:/etc/wesentlich.conf ----------------------------------------------------- ----------- Datei -Offset -Kommentar 0: 00020482.FLAC 28 MB 10486784 Finish: Do 12. September 23:47:04 2019 1 Dateien extrahiert FLAC: = 1 ------------------------ ---------------------------------------Vordergrund am 12. September 23:47:04 2019
Abschluss
In diesem Artikel haben wir gelernt, wie man in erster Linie ein forensischer Programm verwendet, um gelöschte Dateien verschiedener Typen abzurufen. Wir haben gelernt, dass das Programm mit einer Technik namens verwendet wird Datenschnitzen
, und stützt sich auf Dateiensignaturen, um sein Ziel zu erreichen. Wir haben ein Beispiel für die Programmnutzung gesehen und auch gelernt. Weitere Informationen zur Programmnutzung finden Sie in der manuellen Seite.
Verwandte Linux -Tutorials:
- So partitionieren Sie ein Laufwerk unter Linux
- So partitionieren Sie USB -Laufwerk in Linux
- Wie man GPT -Partitionstabellen mit GDISK und SGDISK manipuliert…
- Wie man die Partitionstabelle unter Linux wiederherstellt
- Dinge zu installieren auf Ubuntu 20.04
- Manjaro Linux Windows 10 Dual Start
- Eine Einführung in Linux -Automatisierung, Tools und Techniken
- Mastering -Bash -Skriptschleifen beherrschen
- Klonpartition unter Linux
- So montieren Sie das ISO -Bild unter Linux