Инструментът за възстановяване на системата Scalpel изтрива файлове и папки в Linux. Този инструмент се използва за възстановяване на системни файлове, той е инструмент с отворен код за операционни системи Linux. За възстановяване на изтрити данни това е най -вече актуализирана вилка, макар и по -бърза и по -ефективна при проследяване и търсене на файлови модели.
Scalpel използва база данни, която съхранява известни файлови байтови модели и идентифицира изтритите файлове и ги възстановява незабавно. Много пъти се случва случайно или системна грешка да се иска информация от важни файлове или папки. Scalpel е инструмент, който ни позволява да възстановим информация, която може да сте изтрили. Когато изтриваме информация, операционната система обикновено премахва само метаданните на файла, като име на файл, собственик и местоположение. Потребителските данни остават на носителя за съхранение, докато не бъдат презаписани.
Scalpel анализира диск или устройство за съхранение, търсейки байтови модели, които отговарят на заглавките на файловете и долните колонтитули на файла, като по този начин ще се опита да възстанови данните, принадлежащи на файла. Scalpel може да открива различни видове файлове. Той поддържа различна структура на диска и файлови формати за това, използва база данни с заглавки и долни колонтитули на файлове с правила за изразяване, за да открие кой формат може да възстанови.
Много дистрибуции имат Scalpel в своите хранилища, въпреки че е добра идея да поддържате Scalpel актуализиран, за да добавите нови регулярни изрази за заглавки и долни колонтитули на файлове. Scalpel осигурява високоскоростно сканиране, по време на обхождането чете база данни за заглавки и долни колони с файлови формати и извлича файлове, които съвпадат между набор от дефиниции и регулярни изрази от устройство.
Scalpel поддържа дискови формати от FAT, NTFS, ext2 или необработени дялове. Той е полезен както за цифрово съдебно изследване, така и за възстановяване на файлове. Този инструмент е част от Seulkit, който се интегрира с Autopsy, който видяхме в урока за съдебномедицински анализ на твърди дискове и дялове с Autopsy.
За да го инсталираме, можем да отидем в терминален прозорец и да напишем следния код:
sudo apt-get инсталирайте скалпел
След това трябва конфигуриране на скалпел за това можем да намерим инсталационния файл, като използваме следната команда:
където е скалпелът
След това отваряме файла с текстов редактор като nano или vi. По подразбиране всички редове на изрази се коментират с # в конфигурационния файл. В конфигурационния файл скалпел.conf, има някои редове, които съдържат типовете файлове, които можем да възстановим. Например jpg.webp, png, doc и др.
ВниманиеПреди да стартираме Scalpel, трябва да декомментираме файловия формат, който искаме Scalpel да възстанови.
Тук ние декомментираме файловите разширения, които искаме Scalpel да търси, ако не бъдат коментирани, тези файлове ще бъдат игнорирани.
Важна стъпка, ако открием грешка при изпълнение, трябва ръчно да създадем / et / скалпел папка и вътре копирайте скалпел.conf файл.
След това изпълняваме скалпел от неговата папка, посочваме папката, където са записани възстановените файлове.
скалпел -c /etc/scalpel/scalpel.conf /dev /sda -o тест
На изображението можем да видим как 16 GB са възстановени само в 3% от общия диск. Параметърът -o е изходен, той показва изходна директория, в която искате да възстановите изтритите файлове. Трябва да проверим дали тази директория е празна, преди да изпълним всяка команда, в противен случай тя ще ни даде грешка.
Scalpel ще стартира процеса на сканиране и в зависимост от пространството на диска или устройството се опитвате да сканирате и възстановите, така че възстановяването на изтритите файлове може да отнеме много време.
Ако искаме да възстановим данни от дисково устройство или външно устройство, трябва да знаем кой е дялът чрез команда fdsikАко това е виртуална памет или флаш памет, обикновено ще се намира като sdb дял.
скалпел -c /etc/scalpel/scalpel.conf /dev /sdb -o recu
Вътре в папката се записва файл, наречен audit.txt, който съдържа информация за целия процес и възстановените файлове.
В този случай можем да видим, че png файлове са възстановени от виртуалния диск и ги имаме налични в папката, която наричаме recu. Една от помощните програми на Scalpel е да копирате съдържанието на счупено или дефектно USB външно устройство и да създадете изображение на img или dd диск, така че да можем да го видим от друг софтуер или да го монтираме, кодът за генериране на изображението на диска е следният:
скалпел -c -c /etc/scalpel/scalpel.conf /dev /sdb -o възстановен.ddScalpel е идеален за сървърна работа с Centos за изтегляне на файлове от прозореца на терминала отдалечено. Scalpel работи върху други сървърно ориентирани дистрибуции на Linux, включително:
- Червена шапка
- Fedora
- Debian.
Един от недостатъците на Scalpel е, че трябва да знаете много добре каква е структурата на диск или устройство за съхранение и командите за управление на неговите дялове, както и как работи файловата система.
Всеки изтрит файл остава някъде на вашия твърд диск. като операционната система е тази, която поддържа указател към списъка с блокове на устройството за съхранение, който съдържа данните за файловете,
Обикновено в Windows имаме много много прости инструменти за използване, като Recuva, който се използва за възстановяване на изгубени данни, но в Linux само няколко, ако искаме да ги използваме на ниво сървър със сигурност.
Scalpel преминава през целия твърд диск, работи много добре с външни устройства за съхранение и възстановява изгубени файлове според регулярни изрази, което го прави много гъвкав.
