Phenquestions
Tento článek popisuje některé z nejpopulárnějších dostupných nástrojů pro řezání souborů pro Linux, včetně PhotoRec, Scalpel, Bulk Extractor with Record Carving, Foremost a TestDisk.
PhotoRec Carving Tool
Photorec vám umožňuje obnovit média, dokumenty a soubory z pevných disků, optických disků nebo pamětí fotoaparátu. PhotoRec se pokusí najít datový blok souboru ze superbloku pro souborové systémy Linux nebo ze záznamu spouštění svazku pro souborové systémy WIndows. Pokud to není možné, software zkontroluje blok po bloku a porovná jej s databází PhotoRec. Kontroluje všechny bloky, zatímco ostatní nástroje kontrolují pouze začátek nebo konec záhlaví, proto není výkon PhotoRec nejlepší ve srovnání s nástroji využívajícími různé metody řezání, jako je hledání záhlaví bloku, ale PhotoRec je možná nástroj pro řezání souborů s lepšími výsledky v tomto seznamu, pokud čas není problém, je prvním doporučením PhotoRec.
Pokud PhotoRec dokáže shromáždit velikost souboru z hlavičky souboru, porovná výsledek obnovených souborů s hlavičkou, která vyřadí neúplné soubory. PhotoRec přesto ponechá částečně obnovené soubory, pokud je to možné, například v případě mediálních souborů.
PhotoRec je Open Source a je k dispozici pro Linux, DOS, Windows a MacOS, můžete si jej zdarma stáhnout z jeho oficiálních webových stránek na https: // www.bezpečnost.org /.
Skalpel Carving Tool:
Skalpel je další alternativou pro řezání souborů, která je k dispozici pro operační systémy Linux i Windows. Skalpel je součástí sady Sleuth Kit popsané na Živé forenzní nástroje článek. Je rychlejší než PhotoRec a patří mezi rychlejší nástroje pro řezání souborů, ale bez stejného výkonu jako PhotoRec. Hledá bloky nebo klastry v záhlaví a zápatí. Mezi jeho funkce patří multithreading pro vícejádrové procesory, asynchronní I / O zvyšující výkon. Skalpel se používá jak v profesionální forenzní oblasti, tak při obnově dat, je kompatibilní se všemi souborovými systémy.
Skalpel pro vyřezávání souborů můžete získat spuštěním v terminálu:
# git clone https: // github.com / sleuthkit / skalpel.sakra
Pomocí příkazu zadejte instalační adresář CD (Změnit adresář):
# cd skalpel
Chcete-li jej nainstalovat, postupujte takto:
# ./ bootstrap# ./ konfigurovat
# udělat
Na distribucích Linuxu založených na Debianu, jako je Ubuntu nebo Kali, můžete nainstalovat skalpel ze správce balíčků apt spuštěním:
# sudo apt nainstalovat skalpelKonfigurační soubory mohou být na / etc / scalpel / scalpel.conf 'nebo / etc / skalpel.conf v závislosti na vaší distribuci Linuxu. Možnosti skalpelu najdete na manuálové stránce nebo online na https: // linux.zemřít.síť / muž / 1 / skalpel.
Závěrem je, že Scalpel je rychlejší než PhotoRect, který má při obnově souborů lepší výsledky, dalším nástrojem je BulkExtractor With Record Carving.
Hromadný extraktor s nástrojem pro řezání záznamů:
Stejně jako výše zmíněné nástroje Bulk Extractor with Record Carving is multi thread, jedná se o vylepšení předchozí verze „Bulk Extractor“. Umožňuje obnovit jakýkoli druh dat ze souborových systémů, disků a výpisu paměti. Bulk Extractor with Record Carving lze použít k vývoji dalších skenerů pro obnovu souborů. Podporuje další pluginy, které lze použít pro vyřezávání, ale ne pro analýzu. Tento nástroj je k dispozici jak v textovém režimu pro použití z terminálu, tak v grafickém uživatelsky přívětivém rozhraní.
Bulk Extractor with Record Carving lze stáhnout z jeho oficiálních webových stránek na adrese https: // www.kazamiya.net / en / bulk_extractor-rec.
Přední řezbářský nástroj:
Foremost je možná spolu s PhotoRect jedním z nejpopulárnějších řezbářských nástrojů dostupných pro Linux a na trhu obecně, kuriozitou je, že původně byl vyvinut americkým letectvem. Foremost má ve srovnání s PhotoRect rychlejší výkon, ale PhotoRec je lepší obnova souborů. Pro Foremost neexistuje žádné grafické prostředí, používá se z terminálu a vyhledává záhlaví, zápatí a datovou strukturu. Je kompatibilní s obrázky jiných nástrojů, jako je dd nebo Encase pro Windows.
Foremost podporuje jakýkoli typ řezání souborů včetně jpg, gif, png, bmp, avi, exe, mpg, WAV, riff, wmv, mov, pdf, ole, doc, zip, rar, htm, a cpp. Foremost je ve výchozím nastavení dodáván ve forenzních distribucích a je zaměřen na zabezpečení jako Kali Linux se sadou forenzních nástrojů.
V systémech debian lze Foremost nainstalovat pomocí správce balíčků APT, v distribuci Debian nebo založené na distribuci Linux:
# sudo apt nainstalovat především
Po instalaci zkontrolujte manuálovou stránku s dostupnými možnostmi nebo zkontrolujte online na https: // linux.zemřít.síť / muž / 1 / především.
Přestože je program Foremost textovým režimem, jeho použití při řezání souborů je jednoduché.
Testovací disk:
TestDisk je součástí PhotoRec, umí opravovat a obnovovat diskové oddíly, bootovací sektory FAT32, umí také opravovat souborové systémy NTFS a Linux ext2, ext3, ext3 a obnovovat soubory ze všech těchto typů diskových oddílů. TestDisk mohou používat jak odborníci, tak noví uživatelé, kteří domácím uživatelům usnadňují proces obnovy souborů, je k dispozici pro Linux, Unix (BSD a OS), MacOS, Microsoft Windows ve všech jeho verzích a DOS.
TestDisk lze stáhnout z jeho oficiálních webových stránek (PhotoRec) na adrese https: // www.bezpečnost.org / wiki / TestDisk.
PhotoRect má testovací prostředí pro procvičování řezání souborů, ke kterému se dostanete na https: // www.bezpečnost.org / wiki / TestDisk_and_PhotoRec_in_various_digital_forensics_testcase # Test_your_knowledge.
Většina výše uvedených nástrojů je obsažena v nejpopulárnějších linuxových distribucích zaměřených na počítačovou forenzní techniku, jako je forenzní nástroj Deft / Deft Zero live, nástroj CAINE live forensic a pravděpodobně i na forenzní nástroj Santoku live, další informace najdete v tomto seznamu https: // linuxhint.com / live_forensics_tools /.
Doufám, že vám tento návod k nástrojům pro řezání souborů byl užitečný. Pokračujte v LinuxHintu, kde najdete další tipy a aktualizace pro Linux a sítě.
