Skalpell: Tool zum Wiederherstellen gelöschter Dateien Linux

Das Tool zur Wiederherstellung des Skalpellsystems hat Dateien und Ordner unter Linux gelöscht. Dieses Tool wird verwendet, um Dateien vom System wiederherzustellen. Es ist ein Open Source-Tool für Linux-Betriebssysteme. Für die Wiederherstellung gelöschter Daten steht ein aktualisierter Fork an erster Stelle, der jedoch schneller und effizienter bei der Verfolgung und Suche von Dateimustern ist.

Scalpel verwendet eine Datenbank, in der bekannte Bytemuster von Dateien gespeichert, gelöschte Dateien identifiziert und sofort wiederhergestellt werden. Es kommt häufig vor, dass versehentlich oder aufgrund von Systemfehlern Informationen aus wichtigen Dateien oder Ordnern abgerufen werden. Scalpel ist ein Tool, mit dem wir möglicherweise gelöschte Informationen wiederherstellen können. Wenn wir Informationen löschen, löscht das Betriebssystem normalerweise nur die Metadaten aus der Datei, wie Dateiname, Eigentümer und Speicherort. Die Daten des Benutzers bleiben auf dem Speichermedium, bis sie überschrieben werden.

Scalpel analysiert eine Festplatte oder ein Speichergerät nach Bytemustern, die auf die Dateikopf- und -fußzeilen reagieren, und versucht auf diese Weise, die zur Datei gehörenden Daten wiederherzustellen. Scalpel kann verschiedene Dateitypen erkennen. Unterstützt verschiedene Datenträgerstrukturen und Dateiformate, da eine Datenbank mit Kopf- und Fußzeilen von Dateien mit Ausdrucksregeln verwendet wird, um zu ermitteln, welches Format wiederhergestellt werden kann.

Viele Distributionen haben Scalpel in ihren Repositorys, obwohl es praktisch ist, Scalpel zu aktualisieren, um neue reguläre Ausdrücke für die Kopf- und Fußzeilen von Dateien hinzuzufügen. Scalpel bietet eine Hochgeschwindigkeits-Scanleistung , während beim Crawlen eine Kopf- und Fußzeilendatenbank mit Dateiformaten gelesen und Dateien extrahiert werden, die mit einer Reihe von Definitionen und regulären Ausdrücken von einem Gerät übereinstimmen.

Scalpel unterstützt Festplattenformate von FAT, NTFS, ext2 oder unformatierten Partitionen. Es ist sowohl für die digitale forensische Untersuchung als auch für die Wiederherstellung von Dateien nützlich. Dieses Tool ist Teil von Seulkit, das in Autopsy integriert ist. Dies haben wir im Tutorial zur forensischen Analyse von Festplatten und Partitionen mit Autopsy gesehen .

See also  So installieren Sie MySQL unter CentOS 7

Um es zu installieren, können wir zu einem Terminalfenster gehen und den folgenden Code schreiben:

 sudo apt-get install scalpel 

panta02.jpg

Als nächstes müssen wir Scalpel dafür konfigurieren, dass wir die Installationsdatei mit dem folgenden Befehl finden können:

 wo ist Skalpell 

panta03.jpg

Dann öffnen wir die Datei mit einem Texteditor wie nano oder vi. Standardmäßig werden alle Zeilen der Ausdrücke in der Konfigurationsdatei mit # kommentiert. In der Konfigurationsdatei scalpel.conf gibt es einige Zeilen, die die Dateitypen enthalten, die wir wiederherstellen können. Zum Beispiel jpg, png, doc usw.

Achtung
Bevor Sie Scalpel ausführen, müssen Sie das Dateiformat auskommentieren, das Scalpel wiederherstellen soll.

panta04.jpg

Hier entpacken wir die Dateierweiterungen, nach denen Scalpel suchen soll, ansonsten werden die Dateien ignoriert.

Wenn bei der Ausführung ein Fehler auftritt, müssen Sie den Ordner / et / scalpel manuell erstellen und die Datei scalpel.conf kopieren.

Anschließend führen wir das Skalpell aus Ihrem Ordner aus und geben den Ordner an, in dem die wiederhergestellten Dateien gespeichert sind.

 Skalpell -c /etc/scalpel/scalpel.conf / dev / sda -o Test 

panta05.jpg

Im Bild sehen wir, wie 16 GB in nur 3% der gesamten Festplatte wiederhergestellt wurden. Der Parameter -o wird ausgegeben, gibt ein Ausgabeverzeichnis an, in dem Sie die gelöschten Dateien wiederherstellen möchten. Wir müssen sicherstellen, dass dieses Verzeichnis leer ist, bevor wir einen Befehl ausführen. Andernfalls wird ein Fehler ausgegeben.

Scalpel startet den Scanvorgang und abhängig vom Speicherplatz oder Gerät, das Sie scannen und wiederherstellen möchten, kann die Wiederherstellung der gelöschten Dateien sehr lange dauern.

Wenn wir Daten von einem pendrive oder einem externen Gerät wiederherstellen möchten, müssen wir wissen, welche Partition den Befehl fdsik verwendet . Wenn es sich um ein Flash-Laufwerk oder einen Flash-Speicher handelt, befindet sich dieser normalerweise als SDB-Partition.

 Skalpell -c /etc/scalpel/scalpel.conf / dev / sdb -o recu 

panta06.jpg

Innerhalb des Ordners wird es in einer Datei namens audit.txt gespeichert, die Informationen über den gesamten Prozess und die wiederhergestellten Dateien enthält.

See also  So installieren und konfigurieren Sie Nagios in CentOS 7

panta07.jpg

In diesem Fall können wir sehen, dass PNG-Dateien vom pendrive wiederhergestellt wurden und dass sie in dem Ordner verfügbar sind, den wir recu nennen. Eines der Hilfsprogramme von Scalpel besteht darin, den Inhalt eines defekten externen USB-Geräts oder eines fehlerhaften Geräts zu kopieren und ein Image für eine img- oder dd-Festplatte zu erstellen. Dann können wir es mit einer anderen Software anzeigen oder einbinden. Der Code zum Generieren des Image lautet wie folgt :

 scalpel -c -c /etc/scalpel/scalpel.conf / dev / sdb -o recovered.dd 

Scalpel ist ideal für die Arbeit auf Centos-Servern , um Dateien aus dem Terminalfenster remote wiederherzustellen. Scalpel arbeitet mit anderen serverorientierten Linux-Distributionen zusammen, darunter:

  • Red Hat
  • Fedora
  • Debian

Einer der Nachteile von Scalpel ist, dass Sie genau wissen müssen, wie die Struktur einer Festplatte oder eines Speichergeräts und die Befehle zum Verwalten ihrer Partitionen ausserdem wie das Dateisystem funktioniert.

Jede gelöschte Datei bleibt irgendwo auf Ihrer Festplatte. als Betriebssystem, das einen Zeiger auf die Liste der Blöcke des Speichergeräts enthält, die die Daten der Dateien enthalten,

Normalerweise haben wir in Windows viele sehr einfache Tools , die wir als Recuva verwenden, um verlorene Daten wiederherzustellen, aber in Linux nur wenige, wenn wir sie mit Sicherheit auf Serverebene verwenden möchten.
Scalpel durchläuft die gesamte Festplatte, funktioniert sehr gut mit externen Speichergeräten und stellt verlorene Dateien gemäß regulären Ausdrücken wieder her, was es sehr vielseitig macht.

administrator

Leave a Reply

Your email address will not be published. Required fields are marked *