Scalpel— профессиональная утилита для восстановления файлов по их заголовкам, окончаниям и внутренним структурам, основанная на коде Foremost. Позволяет восстанавливать файлы размером больше 4 Гб. В дистрибутиве имеется уже готовая версия для Windows. Поддерживает FATx, NTFS, ext2/3, HFS+.
Те,кому повезло быть назначенными в службу техподдержки своей семьи, могут знать о склонности своих близких хранить то, что мы образно говоря называем данными Шредингера. Этот термин используется для таких личных файлов, как фотографии, календари и документы, которые, по видимому, абсолютно необходимы для семейного благополучия, но, как это ни парадоксально, недостаточно важны для резервного копирования. В итоге — если важнейший файл случайно удаляется, то, похоже, нет простого способа его восстановить.
На самом деле, как знают ИТ-грамотные люди, многие компьютеры стирают файлы не полностью, и многие из них удается восстановить с помощью специальных инструментов даже через значительное время после очистки корзины. Один из таких инструментов, одинаково любимый и гуру техподдержки, и правоохранительными органами, называется Scalpel.
Scalpel— это утилита командной строки, которая для восстановления удаленных данных с образа, раздела или всего диска использует метод под названием «вырезание файлов (file carving)». В этой статье мы попробуем овладеть его основами.
Scalpel очень надежен и работает практически с любым типом устройства или файловой системы. Во время тестирования мы смогли восстановить удаленные файлы PNG и PDF как с флэш-накопителя на 512 МБ, так и с VDI (виртуальный образ диска) VirtualBox.
Однако если файлы, которые вы хотите восстановить, находятся непосредственно на жестком диске вашей системы, рекомендуем загрузить ваш компьютер с live DVD. Для этой статьи мы использовали Live Ubuntu 17.04.
Scalpel: хирургически точно
Хотя Скальпель — точный инструмент, он не затрагивает файловые системы, а последовательно анализирует блоки данных на диске, образе диска или в файлах подкачки. Вкратце, однако, достаточно знать, что Scalpel основан на прежнем инструменте восстановления данных Foremost, который был разработан для расследований правоохранительных органов. Как и его предшественник, Скальпель использует выделение однородных массивов данных для простого восстановления данных.
Этот метод включает использование встроенной базы данных заголовков и окончаний для конкретных типов файлов, таких как изображений PNG или файлов PDF. Заголовки и окончания состоят из строк байтов, предсказуемо отстоящих от начала, и файлы можно извлекать или вырезать прямо из образов дисков, не затрагивая имеющуюся файловую систему. Scalpel создан, чтобы делать это гораздо эффективнее, чем Foremost.
Scalpel— один из многих инструментов, доступных как часть The Sleuth Kit. Это набор утилит, предназначенных для криминалистического анализа компьютеров. Если вы обнаружите, что Scalpel не может восстановить данные, вам может больше повезти с другими инструментами, способными анализировать данные на более глубоком уровне, например, на уровне файловой системы.
Все инструменты запускаются и из командной строки, поэтому для начала перейдите на сайт и следуйте инструкциям по компиляции и запуску из документа INSTALL. Поскольку каждый инструмент разработан для определенной цели, это может оказаться нудным, поэтому проект TSK рекомендует применять инструменты в сочетании с криминалистическим браузером Autopsy, обеспечивающим простой интерфейс «наведи-и-щелкни» для большинства обычных задач.
Версия Autopsy (v2) для Linux больше не поддерживается, но ее можно загрузить с сайта. Альтернатива— загрузив последнюю версию Kali Linux, вы найдете готовый браузер Autopsy в секции Forensics раздела Applications. Scalpel тоже установлен.
Autopsy разработан с ориентацией на правоохранительные органы и требует сначала создать образ диска раздела, который вы хотите проанализировать, чтобы в дальнейшем не вызвать обвинения в фальсификации.
Работа в Scalpel
При первом запуске Scalpel проверяет свой файл настройки, который обычно находится в:
/etc/scalpel/scalpel.conf
По умолчанию не выбрано ни одного файла, но вы можете следовать пошаговой инструкции внизу страницы, чтобы отредактировать этот файл, что позволяет… указать, какой тип вы хотите восстановить. Затем Scalpel выполнит два последовательных прохода по исследуемому диску, обрабатывая данные порциями по 10 МБ. В каждой порции сначала ищутся заголовки файлов.
После этого второй проход будет искать соответствующие им окончания. Scalpel также создает набор очередей работ, которые регламентируют операции вырезания файлов.
Все восстановленные файлы вместе с журналом работы Scalpel помещаются в указанный вами выходной каталог.
Двойной подход
Когда агенты правоохранительных органов изымают диск для криминалистического анализа, они обычно делают образ диска — в основном, чтобы избежать обвинений в подтасовке улик после изъятия диска. Но это также означает, что если в процессе восстановления что-то засбоит, можно сделать еще одну копию накопителя и повторить попытку. Когда доходит до попыток восстановить данные, также существует риск, что, если вы толком не знаете, что делаете, можно не только не преуспеть в восстановлении своих файлов, но и усложнить это занятие даже для профессионала.
У Linux, как всегда, есть пара грамотных решений. Во-первых, используйте встроенную дисковую утилиту для создания образа целевого диска, такого как USB-накопитель. Это поблочная копия всех данных в разделе. Scalpel анализирует образы так же легко, как и сами диски: просто запустите scalpel <имя-образа>, например:
scalpel /root/Desktop/lmage1.img
Второй вариант — использовать дистрибутив Kali Linux, разработанный с учетом работы в криминалистике. Мало того, что Kali поставляется с предустановленным Scalpel, но при первой загрузке вы можете выбрать загрузку в режиме Forensic (Аналитический), что не позволит ОС монтировать жесткий диск и автоматически монтировать съемные носители, такие как USB-накопители.
Неудачные операции
Если вы сделали копию разделов или томов для анализа, то Scalpel мало что может испортить. Способность инструмента восстанавливать файлы зависит от ряда факторов, в том числе от типа файловой системы, используемой вашим целевым диском. Системы с журналированием нередко сохраняют копии одних и тех же данных в нескольких местах, делая восстановление файлов более осуществимым.
Если заголовки или окончания файлов были перезаписаны или целевой диск был зашифрован, возможно, вы не сможете восстановить удаленные файлы. Это, конечно, хорошая новость для тех читателей, которые ценят свою конфиденциальность, потому что
Те,кому повезло быть назначенными в службу техподдержки своей семьи, могут знать о склонности своих близких хранить то, что мы образно говоря называем данными Шредингера. Этот термин используется для таких личных файлов, как фотографии, календари и документы, которые, по видимому, абсолютно необходимы для семейного благополучия, но, как это ни парадоксально, недостаточно важны для резервного копирования. В итоге — если важнейший файл случайно удаляется, то, похоже, нет простого способа его восстановить.
На самом деле, как знают ИТ-грамотные люди, многие компьютеры стирают файлы не полностью, и многие из них удается восстановить с помощью специальных инструментов даже через значительное время после очистки корзины. Один из таких инструментов, одинаково любимый и гуру техподдержки, и правоохранительными органами, называется Scalpel.
Scalpel— это утилита командной строки, которая для восстановления удаленных данных с образа, раздела или всего диска использует метод под названием «вырезание файлов (file carving)». В этой статье мы попробуем овладеть его основами.
Scalpel очень надежен и работает практически с любым типом устройства или файловой системы. Во время тестирования мы смогли восстановить удаленные файлы PNG и PDF как с флэш-накопителя на 512 МБ, так и с VDI (виртуальный образ диска) VirtualBox.
Однако если файлы, которые вы хотите восстановить, находятся непосредственно на жестком диске вашей системы, рекомендуем загрузить ваш компьютер с live DVD. Для этой статьи мы использовали Live Ubuntu 17.04.
Scalpel: хирургически точно
Хотя Скальпель — точный инструмент, он не затрагивает файловые системы, а последовательно анализирует блоки данных на диске, образе диска или в файлах подкачки. Вкратце, однако, достаточно знать, что Scalpel основан на прежнем инструменте восстановления данных Foremost, который был разработан для расследований правоохранительных органов. Как и его предшественник, Скальпель использует выделение однородных массивов данных для простого восстановления данных.
Этот метод включает использование встроенной базы данных заголовков и окончаний для конкретных типов файлов, таких как изображений PNG или файлов PDF. Заголовки и окончания состоят из строк байтов, предсказуемо отстоящих от начала, и файлы можно извлекать или вырезать прямо из образов дисков, не затрагивая имеющуюся файловую систему. Scalpel создан, чтобы делать это гораздо эффективнее, чем Foremost.
Scalpel— один из многих инструментов, доступных как часть The Sleuth Kit. Это набор утилит, предназначенных для криминалистического анализа компьютеров. Если вы обнаружите, что Scalpel не может восстановить данные, вам может больше повезти с другими инструментами, способными анализировать данные на более глубоком уровне, например, на уровне файловой системы.
Все инструменты запускаются и из командной строки, поэтому для начала перейдите на сайт и следуйте инструкциям по компиляции и запуску из документа INSTALL. Поскольку каждый инструмент разработан для определенной цели, это может оказаться нудным, поэтому проект TSK рекомендует применять инструменты в сочетании с криминалистическим браузером Autopsy, обеспечивающим простой интерфейс «наведи-и-щелкни» для большинства обычных задач.
Версия Autopsy (v2) для Linux больше не поддерживается, но ее можно загрузить с сайта. Альтернатива— загрузив последнюю версию Kali Linux, вы найдете готовый браузер Autopsy в секции Forensics раздела Applications. Scalpel тоже установлен.
Autopsy разработан с ориентацией на правоохранительные органы и требует сначала создать образ диска раздела, который вы хотите проанализировать, чтобы в дальнейшем не вызвать обвинения в фальсификации.
Работа в Scalpel
При первом запуске Scalpel проверяет свой файл настройки, который обычно находится в:
/etc/scalpel/scalpel.conf
По умолчанию не выбрано ни одного файла, но вы можете следовать пошаговой инструкции внизу страницы, чтобы отредактировать этот файл, что позволяет… указать, какой тип вы хотите восстановить. Затем Scalpel выполнит два последовательных прохода по исследуемому диску, обрабатывая данные порциями по 10 МБ. В каждой порции сначала ищутся заголовки файлов.
После этого второй проход будет искать соответствующие им окончания. Scalpel также создает набор очередей работ, которые регламентируют операции вырезания файлов.
Все восстановленные файлы вместе с журналом работы Scalpel помещаются в указанный вами выходной каталог.
Двойной подход
Когда агенты правоохранительных органов изымают диск для криминалистического анализа, они обычно делают образ диска — в основном, чтобы избежать обвинений в подтасовке улик после изъятия диска. Но это также означает, что если в процессе восстановления что-то засбоит, можно сделать еще одну копию накопителя и повторить попытку. Когда доходит до попыток восстановить данные, также существует риск, что, если вы толком не знаете, что делаете, можно не только не преуспеть в восстановлении своих файлов, но и усложнить это занятие даже для профессионала.
У Linux, как всегда, есть пара грамотных решений. Во-первых, используйте встроенную дисковую утилиту для создания образа целевого диска, такого как USB-накопитель. Это поблочная копия всех данных в разделе. Scalpel анализирует образы так же легко, как и сами диски: просто запустите scalpel <имя-образа>, например:
scalpel /root/Desktop/lmage1.img
Второй вариант — использовать дистрибутив Kali Linux, разработанный с учетом работы в криминалистике. Мало того, что Kali поставляется с предустановленным Scalpel, но при первой загрузке вы можете выбрать загрузку в режиме Forensic (Аналитический), что не позволит ОС монтировать жесткий диск и автоматически монтировать съемные носители, такие как USB-накопители.
Неудачные операции
Если вы сделали копию разделов или томов для анализа, то Scalpel мало что может испортить. Способность инструмента восстанавливать файлы зависит от ряда факторов, в том числе от типа файловой системы, используемой вашим целевым диском. Системы с журналированием нередко сохраняют копии одних и тех же данных в нескольких местах, делая восстановление файлов более осуществимым.
Если заголовки или окончания файлов были перезаписаны или целевой диск был зашифрован, возможно, вы не сможете восстановить удаленные файлы. Это, конечно, хорошая новость для тех читателей, которые ценят свою конфиденциальность, потому что