Narzędzie do odzyskiwania systemu skalpela usunięte pliki i foldery w systemie Linux. To narzędzie służy do odzyskiwania plików systemowych, jest to narzędzie typu open source dla systemów operacyjnych Linux. Do odzyskiwania usuniętych danych jest to przede wszystkim zaktualizowany widelec, choć szybszy i bardziej wydajny w śledzeniu i wyszukiwaniu wzorców plików.
Skalpel korzysta z bazy danych, która przechowuje znane wzorce bajtów plików i identyfikuje usunięte pliki i natychmiast je odzyskuje. Wiele razy zdarza się, że przez przypadek lub błąd systemowy żądane są informacje z ważnych plików lub folderów. Skalpel to narzędzie, które pozwala nam przywrócić informacje, które mogłeś usunąć. Kiedy usuwamy informacje, system operacyjny zwykle usuwa tylko metadane pliku, takie jak nazwa pliku, właściciel i lokalizacja. Dane użytkownika pozostają na nośniku pamięci, dopóki nie zostaną nadpisane.
Skalpel analizuje dysk lub urządzenie pamięci masowej w poszukiwaniu wzorców bajtów, które odpowiadają nagłówkom i stopkom plików, w ten sposób spróbuje odzyskać dane należące do pliku. Skalpel potrafi wykrywać różne typy plików. Obsługuje różne struktury dysku i formaty plików, używa bazy danych z nagłówkami i stopkami plików z regułami wyrażeń, aby wykryć, który format może odzyskać.
Wiele dystrybucji ma Scalpel w swoich repozytoriach, chociaż dobrym pomysłem jest aktualizowanie Skalpela w celu dodania nowych wyrażeń regularnych dla nagłówków i stopek plików. Skalpel zapewnia wysoką wydajność skanowania, podczas przeszukiwania odczytuje bazę danych nagłówków i stopek formatów plików i wyodrębnia pliki zgodne z zestawem definicji i wyrażeń regularnych z urządzenia.
Skalpel obsługuje formaty dysków z partycji FAT, NTFS, ext2 lub raw. Jest to przydatne zarówno w przypadku śledztwa cyfrowego, jak i odzyskiwania plików. To narzędzie jest częścią Seulkit, która integruje się z Autopsy, którą widzieliśmy w samouczku na temat analizy kryminalistycznej dysków twardych i partycji za pomocą Autopsy.
Aby go zainstalować możemy przejść do okna terminala i napisać następujący kod:
sudo apt-get zainstaluj skalpel
Następnie musimy skonfiguruj skalpel w tym celu możemy zlokalizować plik instalacyjny za pomocą następującego polecenia:
Gdzie jest skalpel
Następnie otwieramy plik za pomocą edytora tekstu, takiego jak nano lub vi. Domyślnie wszystkie wiersze wyrażeń są skomentowane znakiem # w pliku konfiguracyjnym. W pliku konfiguracyjnym skalpel.conf, jest kilka wierszy zawierających typy plików, które możemy odzyskać. Na przykład jpg.webp, png, dokument itp.
UwagaPrzed uruchomieniem Skalpela musimy odkomentować format pliku, który chcemy odzyskać.
Tutaj odkomentujemy rozszerzenia plików, które ma wyszukiwać Skalpel, jeśli nie są komentowane, pliki te zostaną zignorowane.
Ważny krok, jeśli znajdziemy błąd podczas wykonywania, musimy ręcznie utworzyć / et / folder skalpela i wewnątrz skopiuj plik scalpel.conf.
Następnie wykonujemy skalpel z jego folderu, wskazujemy folder, w którym zapisywane są odzyskane pliki.
scalpel -c /etc/scalpel/scalpel.conf / dev / sda -o test
Na obrazku widzimy, jak odzyskano 16 GB na zaledwie 3% całego dysku. Wyprowadzany jest parametr -o, który wskazuje katalog wyjściowy, w którym chcesz przywrócić usunięte pliki. Musimy sprawdzić, czy ten katalog jest pusty przed wykonaniem jakiegokolwiek polecenia, w przeciwnym razie da nam to błąd.
Skalpel rozpocznie proces skanowania i w zależności od dysku lub miejsca na urządzeniu, które próbujesz zeskanować i odzyskać, więc odzyskanie usuniętych plików może zająć dużo czasu.
Jeśli chcemy odzyskać dane z pendrive'a lub urządzenia zewnętrznego musimy wiedzieć, która partycja jest przez polecenie fdsikJeśli jest to pendrive lub pamięć flash, zazwyczaj będzie ona zlokalizowana jako partycja sdb.
skalpel -c /etc/scalpel/scalpel.conf /dev/sdb -o recu
Wewnątrz folderu zapisany jest plik o nazwie audit.txt, który zawiera informacje o całym procesie i odzyskanych plikach.
W tym przypadku widzimy, że pliki png zostały odzyskane z pendrive'a i mamy je dostępne w folderze, który nazywamy recu. Jednym z narzędzi Skalpela jest skopiowanie zawartości uszkodzonego lub wadliwego urządzenia zewnętrznego USB i utworzenie obrazu dysku img lub dd, abyśmy mogli zobaczyć go z innego oprogramowania lub zamontować, kod do wygenerowania obrazu dysku wygląda następująco:
scalpel -c -c /etc/scalpel/scalpel.conf /dev/sdb -o recovery.ddSkalpel jest idealny do pracy serwerowej z Centos do zdalnego pobierania plików z okna terminala. Skalpel działa na innych dystrybucjach Linuksa zorientowanych na serwer, w tym:
- Czerwony kapelusz
- Fedora
- Debiana.
Jedną z wad Skalpela jest to, że trzeba bardzo dobrze wiedzieć, jaka jest struktura dysku lub urządzenia pamięci masowej i poleceń do zarządzania jego partycjami, a także jak działa system plików.
Każdy usunięty plik pozostaje gdzieś na dysku twardym. będący systemem operacyjnym, który utrzymuje wskaźnik do listy bloków urządzenia pamięci masowej, na którym znajdują się dane plików,
Zwykle w systemie Windows mamy wiele bardzo prostych narzędzi do użycia, takich jak Recuva, który służy do odzyskiwania utraconych danych, ale w systemie Linux tylko kilka, jeśli chcemy używać go na poziomie serwera z bezpieczeństwem.
Skalpel przebiega przez cały dysk twardy, działa bardzo dobrze z zewnętrznymi urządzeniami pamięci masowej i odzyskuje utracone pliki zgodnie z wyrażeniami regularnymi, co czyni go bardzo wszechstronnym.