forense

Ferramentas de escultura de arquivo

Ferramentas de escultura de arquivo
Em computadores, escultura de arquivo consiste em recuperar e reconstruir, reconstruir ou remontar arquivos fragmentados depois que um disco foi formatado, seu sistema de arquivos ou partição corrompido ou danificado ou os metadados de um arquivo removidos. Todos os arquivos contêm metadados, metadados significa: “dados que fornecem informações sobre outros dados”. Entre outras informações, os metadados dos arquivos contêm a localização e a estrutura de um arquivo dentro do sistema de arquivos e blocos físicos.  O File Carving consiste em trazer de volta os arquivos mesmo que seus metadados com a informação de sua localização dentro do sistema de arquivos não estejam disponíveis.

Este artigo descreve algumas das ferramentas de escultura de arquivos disponíveis mais populares para Linux, incluindo PhotoRec, Scalpel, Bulk Extractor with Record Carving, Foremost e TestDisk.

Ferramenta de escultura PhotoRec

O Photorec permite que você recupere mídias, documentos e arquivos de discos rígidos, discos óticos ou memórias de câmeras. PhotoRec tenta encontrar o bloco de dados do arquivo do superbloco para sistemas de arquivos Linux ou do registro de inicialização do volume para sistemas de arquivos WIndows. Se não for possível, o software verificará bloco por bloco comparando-o com um banco de dados do PhotoRec. Ele verifica todos os blocos enquanto outras ferramentas verificam apenas o início ou o fim de um cabeçalho, é por isso que o desempenho do PhotoRec não é o melhor quando comparado com ferramentas que usam métodos de escultura diferentes, como pesquisa de cabeçalho de bloco, ainda que PhotoRec seja talvez a ferramenta de escultura de arquivo com melhores resultados nesta lista, se o tempo não for um problema PhotoRec é a primeira recomendação.

Se o PhotoRec conseguir coletar o tamanho do arquivo do cabeçalho do arquivo, ele irá comparar o resultado dos arquivos recuperados com o cabeçalho descartando arquivos incompletos. Ainda assim, o PhotoRec deixará arquivos parcialmente recuperados quando possível, por exemplo, no caso de arquivos de mídia.

PhotoRec é Open Source e está disponível para Linux, DOS, Windows e MacOS, você pode baixá-lo gratuitamente de seu site oficial em https: // www.cgsecurity.org /.

Ferramenta de escultura de bisturi:

O escalpelo é outra alternativa para escultura de arquivo disponível para Linux e Windows OS. O bisturi faz parte do The Sleuth Kit descrito em  Ferramentas Forenses Live artigo. É mais rápido que o PhotoRec e está entre as ferramentas de escultura de arquivos mais rápidas, mas sem o mesmo desempenho do PhotoRec. Ele pesquisa blocos ou clusters de cabeçalho e rodapé. Entre seus recursos estão multithreading para CPUs multicore, E / S assíncrona aumentando o desempenho. O Scalpel é usado tanto na perícia profissional quanto na recuperação de dados, é compatível com todos os sistemas de arquivos.

Você pode obter o Scalpel para esculpir arquivos executando no terminal:

# git clone https: // github.com / sleuthkit / escalpelo.idiota

Insira o diretório de instalação com o comando CD (Alterar diretório):

# cd escalpelo

Para instalá-lo, execute:

# ./ bootstrap
#  ./ configure
# faço

Em distribuições Linux baseadas em Debian, como Ubuntu ou Kali, você pode instalar o escalpelo a partir do gerenciador de pacotes apt executando:

# sudo apt install scalpel

Os arquivos de configuração podem estar em / etc / scalpel / scalpel.conf 'ou / etc / scalpel.conf dependendo da sua distribuição Linux. Você pode encontrar opções de bisturi na página de manual ou online em https: // linux.morrer.net / man / 1 / bisturi.

Concluindo, o Scalpel é mais rápido do que o PhotoRect, que tem melhores resultados ao recuperar arquivos, a próxima ferramenta é BulkExtractor With Record Carving.

Extrator de massa com ferramenta de gravação de registros:

Como as ferramentas mencionadas anteriormente Bulk Extractor com Record Carving são multi-thread, é um aprimoramento da versão anterior “Bulk Extractor”. Permite recuperar qualquer tipo de dados de sistemas de arquivos, discos e despejo de memória. Bulk Extractor with Record Carving pode ser usado para desenvolver outros scanners de recuperação de arquivo. Ele suporta plug-ins adicionais que podem ser usados ​​para entalhar, mas não para analisar. Esta ferramenta está disponível tanto em modo texto para ser usado a partir do terminal quanto em uma interface gráfica amigável.

Bulk Extractor with Record Carving pode ser baixado de seu site oficial em https: // www.kazamiya.net / en / bulk_extractor-rec.

Ferramenta de escultura mais importante:

O primeiro é talvez, junto com o PhotoRect uma das ferramentas de escultura mais populares disponíveis para Linux e no mercado em geral, uma curiosidade é que foi inicialmente desenvolvido pela Força Aérea dos Estados Unidos. O Foremost tem um desempenho mais rápido quando comparado com o PhotoRect, mas o PhotoRec é melhor para recuperar arquivos. Não há ambiente gráfico para oForemost, ele é usado a partir do terminal e pesquisa em cabeçalhos, rodapés e estrutura de dados.  É compatível com imagens de outras ferramentas como dd ou Encase para Windows.

A Foremost suporta qualquer tipo de escultura de arquivo, incluindo jpg, gif, png, bmp, avi, Exe, mpg, wav, riff, wmv, mov, pdf, velho, doc, fecho eclair, rar, htm, e cpp. Foremost vem por padrão em distribuições forenses e orientado para segurança como Kali Linux com um pacote para ferramentas forenses.

Em sistemas debian, o Foremost pode ser instalado usando o gerenciador de pacotes APT, no Debian ou em uma distribuição Linux baseada, execute:

# sudo apt install mais importante

Depois de instalado, verifique a página do manual para as opções disponíveis ou verifique online em https: // linux.morrer.net / man / 1 / principal.
Apesar de ser um programa em modo texto, o Foremost é simples de usar para escultura de arquivo.

TestDisk:

TestDisk é parte do PhotoRec, ele pode consertar e recuperar partições, setores de inicialização FAT32, ele também pode consertar NTFS e Linux ext2, ext3, sistemas de arquivos ext3 e restaurar arquivos de todos esses tipos de partição. O TestDisk pode ser utilizado tanto por experts como por novos usuários facilitando o processo de recuperação de arquivos para usuários domésticos, está disponível para Linux, Unix (BSD e OS), MacOS, Microsoft Windows em todas as suas versões e DOS.

O TestDisk pode ser baixado de seu site oficial (o da PhotoRec) em https: // www.cgsecurity.org / wiki / TestDisk.

PhotoRect tem um ambiente de teste para você praticar escultura de arquivo, você pode acessar em https: // www.cgsecurity.org / wiki / TestDisk_and_PhotoRec_in_various_digital_forensics_testcase # Test_your_knowledge.

A maioria das ferramentas listadas acima estão incluídas nas distribuições Linux mais populares focadas em computação forense, como ferramenta forense live Deft / Deft Zero, ferramenta forense CAINE live e provavelmente também no Santoku live forensic, verifique esta lista para mais informações https: // linuxhint.com / live_forensics_tools /.

Espero que você tenha achado este tutorial sobre ferramentas de escultura de arquivo útil. Continue seguindo LinuxHint para obter mais dicas e atualizações sobre Linux e rede.

Mouse Análise do mouse sem fio Microsoft Sculpt Touch
Análise do mouse sem fio Microsoft Sculpt Touch
Recentemente li sobre o Microsoft Sculpt Touch mouse sem fio e decidi comprá-lo. Depois de usá-lo por um tempo, decidi compartilhar minha experiência ...
Mouse AppyMouse na tela Trackpad e ponteiro do mouse para tablets Windows
AppyMouse na tela Trackpad e ponteiro do mouse para tablets Windows
Os usuários de tablets costumam perder o ponteiro do mouse, especialmente quando costumam usar laptops. Os smartphones e tablets touchscreen vêm com m...
Mouse O botão do meio do mouse não funciona no Windows 10
O botão do meio do mouse não funciona no Windows 10
O botão do meio do mouse ajuda você a percorrer longas páginas da web e telas com muitos dados. Se isso parar, você vai acabar usando o teclado para r...