Phenquestions
Denne artikkelen beskriver noen av de mest populære tilgjengelige File Carving Tools for Linux, inkludert PhotoRec, Scalpel, Bulk Extractor with Record Carving, Foremost og TestDisk.
PhotoRec Carving Tool
Photorec lar deg gjenopprette media, dokumenter og filer fra harddisker, optiske disker eller kameraminner. PhotoRec prøver å finne fildatablokken fra superblokken for Linux-filsystemer eller fra volumstartposten for WIndows-filsystemer. Hvis ikke mulig, vil programvaren sjekke blokk for blokk og sammenligne den med en PhotoRec-database. Den sjekker for alle blokker, mens andre verktøy bare ser etter begynnelsen eller slutten av en overskrift, det er derfor PhotoRecs ytelse ikke er den beste sammenlignet med verktøy som bruker forskjellige utskjæringsmetoder som blokkering av topptekst, men PhotoRec er kanskje filhugverktøyet med bedre resultater i denne listen, hvis ikke tiden er et problem, er PhotoRec den første anbefalingen.
Hvis PhotoRec klarer å samle filstørrelsen fra filoverskriften, vil den sammenligne resultatet av gjenopprettede filer med overskriften som forkaster ufullstendige filer. Likevel vil PhotoRec legge igjen delvis gjenopprettede filer når det er mulig, for eksempel i tilfelle mediefiler.
PhotoRec er åpen kildekode og er tilgjengelig for Linux, DOS, Windows og MacOS, du kan laste den ned gratis fra det offisielle nettstedet på https: // www.cgsecurity.org /.
Scalpel Carving Tool:
Scalpel er et annet alternativ for filhugging tilgjengelig for både Linux og Windows OS. Scalpel er en del av The Sleuth Kit beskrevet på Live rettsmedisinske verktøy artikkel. Det er raskere enn PhotoRec, og det er blant de raskere verktøyene for filskjæring, men uten samme ytelse som PhotoRec. Den søker på topp- og bunntekstblokker eller klynger. Blant funksjonene er det multithreading for multicore CPUer, asynkron I / O som øker ytelsen. Scalpel brukes både i profesjonell rettsmedisin og datagjenoppretting, den er kompatibel med alle filsystemer.
Du kan få Scalpel for utskjæring av filer ved å kjøre i terminalen:
# git klon https: // github.com / sleuthkit / skalpell.git
Gå inn i installasjonskatalogen med kommandoen cd (Endre katalog):
# cd skalpell
Slik installerer du det:
# ./Støvelhempe# ./ konfigurere
# gjøre
På Debian-baserte Linux-distribusjoner som Ubuntu eller Kali kan du installere skalpell fra apt pakkebehandling ved å kjøre:
# sudo apt installere skalpellKonfigurasjonsfiler kan være på / etc / scalpel / scalpel.conf 'eller / etc / skalpell.conf avhengig av din Linux-distribusjon. Du kan finne Scalpel-alternativer på mansiden eller online på https: // linux.dø.nett / mann / 1 / skalpell.
Avslutningsvis er Scalpel raskere enn PhotoRect som har bedre resultater når du gjenoppretter filer, det neste verktøyet er BulkExtractor With Record Carving.
Bulk Extractor med Record Carving Tool:
I likhet med verktøyene som er nevnt tidligere Bulk Extractor with Record Carving er multi-thread, er det en forbedring av forrige versjon "Bulk Extractor". Det gjør det mulig å gjenopprette alle slags data fra filsystemer, disker og minnedump. Bulk Extractor with Record Carving kan brukes til å utvikle andre filgjenopprettingsskannere. Den støtter tilleggsprogrammer som kan brukes til utskjæring, men ikke til analyse. Dette verktøyet er tilgjengelig både i tekstmodus for bruk fra terminal og et grafisk brukervennlig grensesnitt.
Bulk Extractor with Record Carving kan lastes ned fra det offisielle nettstedet på https: // www.kazamiya.nett / no / bulk_extractor-rec.
Fremste Carving Tool:
Fremst er kanskje sammen med PhotoRect et av de mest populære utskjæringsverktøyene som er tilgjengelige for Linux og i markedet generelt, en nysgjerrighet er at den opprinnelig ble utviklet av US Air Force. Fremst har raskere ytelse sammenlignet med PhotoRect, men PhotoRec er bedre å gjenopprette filer. Det er ikke noe grafisk miljø for det første, det brukes fra terminalen og søker på topptekster, bunntekster og datastruktur. Den er kompatibel med bilder av andre verktøy som dd eller Encase for Windows.
Fremst støtter alle typer filhugg inkludert jpg, gif, png, bmp, avi, exe, mpg, wav, riff, wmv, mov, pdf, ole, dok, glidelås, rar, htm, og cpp. Fremst kommer som standard i rettsmedisinske distribusjoner og sikkerhetsorientert som Kali Linux med en suite for rettsmedisinske verktøy.
På debian-systemer kan fremst installeres ved hjelp av APT-pakkebehandling, på Debian eller basert Linux-distribusjonskjøring:
# sudo apt installere fremst
Når den er installert, sjekk man-siden for tilgjengelige alternativer, eller sjekk online på https: // linux.dø.nett / mann / 1 / fremst.
Til tross for at det er et tekstmodusprogram, er det fremst enkelt å bruke til filhugging.
TestDisk:
TestDisk er en del av PhotoRec, den kan fikse og gjenopprette partisjoner, FAT32-oppstartssektorer, den kan også fikse NTFS og Linux ext2, ext3, ext3 filsystemer og gjenopprette filer fra alle disse partisjonstypene. TestDisk kan brukes både av eksperter og nye brukere, noe som gjør gjenoppretting av filer enkel for innenlandske brukere, den er tilgjengelig for Linux, Unix (BSD og OS), MacOS, Microsoft Windows i alle versjoner og DOS.
TestDisk kan lastes ned fra det offisielle nettstedet (PhotoRecs ett) på https: // www.cgsecurity.org / wiki / TestDisk.
PhotoRect har et testmiljø som du kan øve på utskjæring av filer, som du kan få tilgang til på https: // www.cgsecurity.org / wiki / TestDisk_and_PhotoRec_in_various_digital_forensics_testcase # Test_din_kunnskap.
De fleste verktøyene som er oppført ovenfor, er inkludert i de mest populære Linux-distribusjonene som er fokusert på datamaskinmedisiner som Deft / Deft Zero live rettsmedisinsk verktøy, CAINE live rettsmedisinsk verktøy og sannsynligvis også på Santoku live rettsmedisin, sjekk denne listen for mer informasjon https: // linuxhint.no / live_forensics_tools /.
Jeg håper du fant denne veiledningen om File Carving Tools nyttig. Fortsett å følge LinuxHint for flere tips og oppdateringer om Linux og nettverk.
