Phenquestions
Denne artikel beskriver nogle af de mest populære tilgængelige File Carving Tools til Linux, herunder PhotoRec, Scalpel, Bulk Extractor with Record Carving, Foremost og TestDisk.
PhotoRec Carving Tool
Photorec giver dig mulighed for at gendanne medier, dokumenter og filer fra harddiske, optiske diske eller kameraminder. PhotoRec forsøger at finde fildatablokken fra superblokken til Linux-filsystemer eller fra volumen boot-posten til WIndows-filsystemer. Hvis det ikke er muligt, vil softwaren kontrollere blok for blok og sammenligne den med en PhotoRec-database. Det kontrollerer for alle blokke, mens andre værktøjer kun kontrollerer for starten eller slutningen af en overskrift, det er derfor, PhotoRecs ydeevne ikke er den bedste sammenlignet med værktøjer, der bruger forskellige udskæringsmetoder som blokoverskrift, men PhotoRec er måske filudskæringsværktøjet med bedre resultater på denne liste, hvis tiden ikke er et problem, er PhotoRec den første anbefaling.
Hvis PhotoRec formår at samle filstørrelsen fra filoverskriften, sammenligner det resultatet af gendannede filer med overskriften, der forkaster ufuldstændige filer. Alligevel vil PhotoRec efterlade delvis gendannede filer, når det er muligt, for eksempel i tilfælde af mediefiler.
PhotoRec er Open Source, og det er tilgængeligt til Linux, DOS, Windows og MacOS, du kan downloade det gratis fra dets officielle hjemmeside på https: // www.cgsecurity.org /.
Scalpel Carving Tool:
Scalpel er et andet alternativ til filskæring, der er tilgængelig til både Linux og Windows OS. Scalpel er en del af The Sleuth Kit beskrevet på Live retsmedicinske værktøjer artikel. Det er hurtigere end PhotoRec, og det er blandt de hurtigere filudskæringsværktøjer, men uden den samme ydeevne som PhotoRec. Det søger på sidehoved og sidefod blokke eller klynger. Blandt dens funktioner er der multithreading til multicore CPU'er, asynkron I / O øger ydeevnen. Scalpel bruges både i professionel retsmedicin og datagendannelse, den er kompatibel med alle filsystemer.
Du kan få Scalpel til udskæring af filer ved at køre i terminalen:
# git klon https: // github.com / sleuthkit / skalpel.git
Indtast installationsmappen med kommandoen cd (Skift katalog):
# cd skalpel
For at installere det køres:
# ./ bootstrap# ./ konfigurer
# make
På Debian-baserede Linux-distributioner som Ubuntu eller Kali kan du installere skalpel fra apt-pakkehåndteringen ved at køre:
# sudo apt installer skalpelKonfigurationsfiler kan være på / etc / scalpel / scalpel.conf 'eller / etc / skalpel.conf afhængigt af din Linux-distribution. Du kan finde Scalpel-muligheder på mandsiden eller online på https: // linux.dø.net / mand / 1 / skalpel.
Afslutningsvis er Scalpel hurtigere end PhotoRect, som har bedre resultater, når filer gendannes, det næste værktøj er BulkExtractor With Record Carving.
Bulk Extractor med Record Carving Tool:
Ligesom de tidligere nævnte værktøjer Bulk Extractor with Record Carving er multi-thread, er det en forbedring af den tidligere version "Bulk Extractor". Det giver mulighed for at gendanne enhver form for data fra filsystemer, diske og hukommelsesdump. Bulk Extractor med Record Carving kan bruges til at udvikle andre filgendannelsesscannere. Det understøtter yderligere plugins, som kan bruges til udskæring, men ikke til parsing. Dette værktøj er tilgængeligt både i teksttilstand og kan bruges fra terminalen og en grafisk brugervenlig grænseflade.
Bulk Extractor with Record Carving kan downloades fra dets officielle hjemmeside på https: // www.kazamiya.net / da / bulk_extractor-rec.
Fremskærende udskæringsværktøj:
Frem for alt er måske sammen med PhotoRect et af de mest populære udskæringsværktøjer til rådighed for Linux og på markedet generelt, en nysgerrighed er, at det oprindeligt blev udviklet af US Air Force. Frem for alt har en hurtigere ydeevne sammenlignet med PhotoRect, men PhotoRec er bedre at gendanne filer. Der er ikke noget grafisk miljø for det første, det bruges fra terminalen og søger på sidehoveder, sidefødder og datastruktur. Det er kompatibelt med billeder af andre værktøjer såsom dd eller Encase til Windows.
Frem for alt understøtter enhver form for filudskæring inklusive jpg, gif, png, bmp, avi, exe, mpg, wav, riff, wmv, mov, pdf, ole, dok, lynlås, rar, htm, og cpp. Først og fremmest kommer som standard i retsmedicinske distributioner og sikkerhedsorienteret som Kali Linux med en suite til retsmedicinske værktøjer.
På debian-systemer kan først og fremmest installeres ved hjælp af APT-pakkehåndtering, på Debian eller baseret Linux-distributionskørsel:
# sudo apt installer først og fremmest
Når det er installeret, skal du kontrollere mandsiden for tilgængelige muligheder eller tjekke online på https: // linux.dø.net / mand / 1 / fremmest.
På trods af at det er et teksttilstandsprogram, er det først og fremmest nemt at bruge til filudskæring.
TestDisk:
TestDisk er en del af PhotoRec, det kan rette og gendanne partitioner, FAT32-opstartssektorer, det kan også rette NTFS og Linux ext2, ext3, ext3 filsystemer og gendanne filer fra alle disse partitionstyper. TestDisk kan bruges både af eksperter og nye brugere, der gør gendannelse af filer let for indenlandske brugere, den er tilgængelig til Linux, Unix (BSD og OS), MacOS, Microsoft Windows i alle dens versioner og DOS.
TestDisk kan downloades fra dets officielle hjemmeside (PhotoRecs ene) på https: // www.cgsecurity.org / wiki / TestDisk.
PhotoRect har et testmiljø, som du kan øve på udskæring af filer, som du kan få adgang til på https: // www.cgsecurity.org / wiki / TestDisk_and_PhotoRec_in_various_digital_forensics_testcase # Test_din_kendskab.
De fleste af ovennævnte værktøjer er inkluderet i de mest populære Linux-distributioner med fokus på computerforensik som Deft / Deft Zero live forensic tool, CAINE live forensic tool og sandsynligvis også på Santoku live forensic. Tjek denne liste for mere information https: // linuxhint.com / live_forensics_tools /.
Jeg håber, du fandt denne tutorial om File Carving Tools nyttigt. Fortsæt med at følge LinuxHint for flere tip og opdateringer om Linux og netværk.
