Scalpel systeemhersteltool verwijderde bestanden en mappen op Linux. Deze tool wordt gebruikt om systeembestanden te herstellen, het is een open source tool voor Linux-besturingssystemen. Voor het herstellen van verwijderde gegevens is het vooral een bijgewerkte vork, hoewel sneller en efficiënter bij het volgen en zoeken naar bestandspatronen.
Scalpel gebruikt een database die bekende bytepatronen van bestanden opslaat en verwijderde bestanden identificeert en deze onmiddellijk herstelt. Vaak gebeurt het dat per ongeluk of systeemfout informatie wordt opgevraagd uit bestanden of mappen die belangrijk zijn. Scalpel is een hulpmiddel waarmee we informatie kunnen herstellen die u mogelijk hebt verwijderd. Wanneer we informatie verwijderen, verwijdert het besturingssysteem meestal alleen de metadata van het bestand, zoals bestandsnaam, eigenaar en locatie. Gebruikersgegevens blijven op het opslagmedium staan totdat ze worden overschreven.
Scalpel analyseert een schijf of een opslagapparaat op zoek naar bytepatronen die reageren op de kop- en voetteksten van bestanden, op deze manier zal het proberen de gegevens die bij het bestand horen te herstellen. Scalpel kan verschillende soorten bestanden detecteren. Het ondersteunt hiervoor verschillende schijfstructuren en bestandsindelingen, het gebruikt een database met kop- en voetteksten van bestanden met expressieregels om te detecteren welk formaat het kan herstellen.
Veel distributies hebben Scalpel in hun repositories, hoewel het een goed idee is om Scalpel up-to-date te houden om nieuwe reguliere expressies voor bestandskop- en voetteksten toe te voegen. Scalpel levert high-speed scanprestaties, leest het tijdens het crawlen een kop- en voettekstdatabase met bestandsindelingen en extraheert het bestanden die overeenkomen tussen een set definities en reguliere expressies van een apparaat.
Scalpel ondersteunt schijfformaten van FAT, NTFS, ext2 of onbewerkte partities. Het is nuttig voor zowel digitaal forensisch onderzoek als bestandsherstel. Deze tool maakt deel uit van Seulkit die integreert met Autopsy die we zagen in de tutorial over forensische analyse van harde schijven en partities met Autopsy.
Om het te installeren kunnen we naar een terminalvenster gaan en de volgende code schrijven:
sudo apt-get install scalpel
Vervolgens moeten we scalpel configureren hiervoor kunnen we het installatiebestand lokaliseren met behulp van de volgende opdracht:
waar is scalpel?
Vervolgens openen we het bestand met een teksteditor zoals nano of vi. Standaard worden alle regels met uitdrukkingen becommentarieerd met # in het configuratiebestand. In het configuratiebestand scalpel.conf, zijn er enkele regels die de soorten bestanden bevatten die we kunnen herstellen. Bijvoorbeeld jpg.webp, png, doc, enz.
AandachtVoordat we Scalpel uitvoeren, moeten we het bestandsformaat verwijderen waarvan we willen dat Scalpel het herstelt.
Hier verwijderen we de bestandsextensies waarnaar we willen dat Scalpel zoekt, als ze niet worden becommentarieerd, worden deze bestanden genegeerd.
Een belangrijke stap, als we een fout vinden bij het uitvoeren, moeten we handmatig de . maken / et / scalpel map en binnen kopieer de scalpel.conf-bestand.
Vervolgens voeren we scalpel uit vanuit zijn map, we geven de map aan waar de herstelde bestanden zijn opgeslagen.
scalpel -c /etc/scalpel/scalpel.conf / dev / sda -o test
In de afbeelding kunnen we zien hoe 16 GB is hersteld in slechts 3% van de totale schijf. De parameter -o wordt uitgevoerd, het geeft een uitvoermap aan waarin u de verwijderde bestanden wilt herstellen. We moeten controleren of deze map leeg is voordat we een opdracht uitvoeren, anders geeft het ons een foutmelding.
Scalpel start het scanproces en afhankelijk van de schijf- of apparaatruimte die u probeert te scannen en te herstellen, kan het dus lang duren om de verwijderde bestanden te herstellen.
Als we gegevens van een pendrive of een extern apparaat willen herstellen, moeten we weten welke de partitie is via de fdsik commandoAls het een pendrive of flashgeheugen is, zal het zich over het algemeen bevinden als een sdb-partitie.
scalpel -c /etc/scalpel/scalpel.conf / dev / sdb -o recu
In de map wordt een bestand met de naam audit.txt opgeslagen, dat informatie bevat over het hele proces en de herstelde bestanden.
In dit geval kunnen we zien dat png-bestanden zijn hersteld van de pendrive en we hebben ze beschikbaar in de map die we recu noemen. Een van de hulpprogramma's van Scalpel is om de inhoud van een kapot of defect extern USB-apparaat te kopiëren en een img- of dd-schijfkopie te maken, zodat we deze vanuit andere software kunnen zien of aankoppelen, de code om de schijfkopie te genereren is de volgende:
scalpel -c -c /etc/scalpel/scalpel.conf / dev / sdb -o hersteld.ddScalpel is ideaal voor serverwerk met Centos om op afstand bestanden uit het terminalvenster op te halen. Scalpel werkt op andere servergeoriënteerde Linux-distributies, waaronder:
- Rode Hoed
- Fedora
- Debian.
Een van de nadelen van Scalpel is dat je heel goed moet weten wat de structuur van een schijf of een opslagapparaat is en de commando's om de partities te beheren, evenals hoe het bestandssysteem werkt.
Elk verwijderd bestand blijft ergens op uw harde schijf staan. zijnde het besturingssysteem dat een verwijzing bijhoudt naar de lijst met blokken van het opslagapparaat dat de gegevens van de bestanden bevat,
Normaal gesproken hebben we in Windows veel zeer eenvoudige tools om te gebruiken, zoals Recuva dat wordt gebruikt om verloren gegevens te herstellen, maar in Linux slechts een paar als we het op serverniveau met beveiliging willen gebruiken.
Scalpel loopt door de hele harde schijf, werkt heel goed met externe opslagapparaten en herstelt verloren bestanden volgens reguliere expressies, wat het zeer veelzijdig maakt.
