Datei -Carving -Tools
Dieser Artikel beschreibt einige der beliebtesten verfügbaren Datei -Carving -Tools für Linux, einschließlich Photorec, Skalpell, Bulk -Extraktor mit Rekordschnitzerei, führendem und testDisk.
Photorec Carving Tool
Mit Photorec können Sie Medien, Dokumente und Dateien von Festplatten, optischen Scheiben oder Kameraerinnerungen wiederherstellen. Photorec versucht, den Dateidatenblock aus dem SuperBlock für Linux -Dateisysteme oder aus dem Lautstärke -Startdatensatz für Windows -Dateisysteme zu finden. Wenn nicht möglich, überprüft die Software den Block mit Block und vergleicht ihn mit einer Photorec -Datenbank. Es überprüft nach allen Blöcken, während andere Tools nur nach dem Start oder Ende eines Headers prüfen. Aus diesem Grund ist die Leistung von Photorec im Vergleich zu Tools mit verschiedenen Schnitzmethoden wie der Block -Header -Suche nicht die beste Mit besseren Ergebnissen in dieser Liste ist die Zeit kein Problem, das Photorec die erste Empfehlung ist.
Wenn Photorec es schafft, die Dateigröße aus dem Dateiheader zu sammeln, wird das Ergebnis wiederhergestellter Dateien mit dem Header vergleichen. Dennoch hinterlässt Photorec, wenn möglich, teilweise wiederhergestellte Dateien, beispielsweise bei Mediendateien.
Photorec ist Open Source und es ist für Linux, DOS, Windows und MacOS verfügbar. Sie können es kostenlos von seiner offiziellen Website unter https: // www herunterladen.CGSecurity.org/.
Skalpellschnitzwerkzeug:
Skalpell ist eine weitere Alternative für das für Linux- und Windows -Betriebssystem verfügbare Dateischnitzen. Skalpell ist Teil des Sleuth -Kits, das im Artikel Live Forensic Tools Artikel beschrieben wird. Es ist schneller als Photorec und gehört zu den schnelleren Dateischnitzwerkzeugen, jedoch ohne die gleiche Leistung von Photorec. Es sucht nach Header- und Fußzeilenblöcken oder Clustern. Zu den Merkmalen gibt es Multithreading für Multicore -CPUs, asynchrone E/A -Erhöhung der Leistung. Skalpell wird sowohl in der professionellen Forensik als auch in der Datenwiederherstellung verwendet. Es ist mit allen Dateisystemen kompatibel.
Sie können Skalpell zum Schnitzen von Dateien erhalten, indem Sie im Terminal ausgeführt werden:
# Git Clone https: // github.com/sleuthkit/skalpel.Git
Geben Sie das Installationsverzeichnis mit dem Befehl ein CD (Ändere die Richtung):
# CD -Skalpell
Um es zu installieren:
# ./Bootstrap
# ./konfigurieren
# machen
Auf Debian -basierten Linux -Verteilungen wie Ubuntu oder Kali können Sie Skalpell aus dem APT -Paketmanager installieren, indem Sie ausführen:
# sudo APT Installieren Sie Skalpell
Konfigurationsdateien können sich an/etc/skalpel/skalpel befinden.conf 'oder /etc /skalpel.conf abhängig von Ihrer Linux -Verteilung. Sie finden Skalpelloptionen auf der Mannseite oder online unter https: // linux.sterben.Net/Man/1/Skalpell.
Zusammenfassend ist das Skalpell schneller als der Fotorektor, der bei der Wiederherstellung von Dateien aus Betteergebnisse enthält. Das nächste Tool ist Bulkextractor mit Rekordschnitzerei.
Bulk -Extraktor mit Rekord -Schnitzwerkzeug:
Wie die zuvor erwähnten Tools, die zuvor erwähnt wurden, ist es ein Multi -Thread -Thread, es ist eine Verbesserung der vorherigen Version „Bulk Extractor“. Es ermöglicht die Wiederherstellung von Daten von Dateisystemen, Festplatten und Speicherablagerungen. Bulk -Extraktor mit Rekordschnitzerei kann verwendet werden, um andere Dateiwiederherstellungsscanner zu entwickeln. Es unterstützt zusätzliche Plugins, die zum Schnitzen verwendet werden können, aber nicht zum Parsen. Dieses Tool ist sowohl im Textmodus als auch eine grafische benutzerfreundliche Schnittstelle erhältlich.
Bulk -Extraktor mit Rekordschnitzen kann von seiner offiziellen Website unter https: // www heruntergeladen werden.Kazamiya.net/en/bulk_extractor-rec.
Das wichtigste Schnitzwerkzeug:
In erster Linie ist es vielleicht eine der beliebtesten Schnitzwerkzeuge, die für Linux und auf dem Markt im Allgemeinen verfügbar sind, eine Neugier ist, dass es ursprünglich von der US -Luftwaffe entwickelt wurde. Vordergrund hat eine schnellere Leistung im Vergleich zu Photorect, aber Photorec ist eine bessere Wiederherstellung von Dateien. Es gibt keine grafische Umgebung, die aus dem Terminal verwendet wird und nach Header, Fußzeilen und Datenstruktur gesucht wird. Es ist mit Bildern anderer Tools wie DD oder Encase für Windows kompatibel.
Erste unterstützt jede Art von Dateischnitzerei einschließlich der Dateischnitzerei JPG, GIF, png, Bmp, Avi, exe, mpg, Wave, Riff, WMV, MOV, PDF, Ole, Dokument, Reißverschluss, rar, htm, Und CPP. In erster Linie ist standardmäßig forensische Verteilungen und sicherheitsrelevant wie Kali Linux mit einer Suite für forensische Tools.
Auf Debian Systems können nachdrücklich mit dem APT -Paketmanager auf Debian oder basiertem Linux Distribution Run installiert werden:
# sudo APT installieren
Sobald die Installation installiert ist, überprüfen Sie die Mannseite für verfügbare Optionen oder online unter https: // linux.sterben.net/mann/1/wesentlicher.
Obwohl es sich um ein Textmodusprogramm handelt, ist es einfach zu verwenden, um das Datei zu schnitzen.
Testdisk:
TestDisk ist Teil von Photorec, kann Partitionen, FAT32 -Bootsektoren reparieren und wiederherstellen. Es kann auch NTFs und Linux ext2, ext3, ext3 -Dateisysteme beheben und Dateien von all diesen Partitionstypen wiederherstellen. TestDisk kann sowohl von Experten als auch von neuen Benutzern verwendet werden.
TestDisk kann von seiner offiziellen Website (Photorec's One) unter https: // www heruntergeladen werden.CGSecurity.org/wiki/testDisk.
Photorect verfügt über eine Testumgebung, in der Sie Dateischnitzen üben können. Sie können unter https: // www zugreifen.CGSecurity.org/wiki/testdisk_and_photorec_in_various_digital_forensics_testcase#test_your_knowledge.
Die meisten der oben aufgeführten Tools sind in den beliebtesten Linux -Verteilungen enthalten, die sich auf Computer -Forensik konzentrieren, z.com/live_forensics_tools/.
Ich hoffe, Sie haben dieses Tutorial in Datei Carving Tools nützlich gefunden. Folgen Sie LinuxHint weiter, um weitere Tipps und Updates unter Linux und Networking zu erhalten.