Ferramentas de escultura de arquivos

Em computadores, escultura de arquivos consiste em recuperar e reconstruir, reconstruir ou remontar arquivos fragmentados depois que um disco foi formatado, seu sistema de arquivos ou partição corrompida ou danificada ou os metadados de um arquivo removido. Todos os arquivos contêm metadados, metadados significa: “dados que fornecem informações sobre outros dados”. Entre mais informações, os metadados de arquivos contêm a localização e a estrutura de um arquivo no sistema de arquivos e blocos físicos. A escultura de arquivos consiste em trazer de volta arquivos, mesmo que seus metadados com as informações de sua localização no sistema de arquivos não estiverem disponíveis.

Este artigo descreve algumas das ferramentas de escultura de arquivos disponíveis mais populares para Linux, incluindo Photorec, Scalpel, Extrator a granel com escultura em discos, acima de tudo e testdisk.

Ferramenta de escultura Photorec

A Photorec permite que você recupere mídia, documentos e arquivos de discos rígidos, discos ópticos ou memórias de câmera. A Photorec tenta encontrar o bloco de dados do arquivo do Superblock para Linux FileSystems ou do registro de inicialização do volume para o Windows FileSystems. Se não for possível, o software verificará o bloco por bloco comparando -o com o banco de dados de um Photorec. Ele verifica todos os blocos, enquanto outras ferramentas verificam apenas o início ou o final de um cabeçalho, é por isso que o desempenho da Photorec não é o melhor quando comparado às ferramentas usando diferentes métodos de escultura, como a pesquisa de cabeçalho de bloco, mas o Photorec é talvez a ferramenta de escultura de arquivos Com melhores resultados nesta lista, se o tempo não é um problema Photorec é a primeira recomendação.

Se a Photorec conseguir reunir o tamanho do arquivo do cabeçalho do arquivo, ele comparará o resultado de arquivos recuperados com o cabeçalho descartando arquivos incompletos. No entanto, o Photorec deixará arquivos parciais recuperados quando possível, por exemplo, no caso de arquivos de mídia.

O Photorec é de código aberto e está disponível para Linux, DOS, Windows e MacOS, você pode baixá -lo gratuitamente em seu site oficial em https: // www.CGSecurity.org/.

Ferramenta de escultura no bisturi:

O bisturi é outra alternativa para a escultura de arquivos disponível para os OS Linux e Windows. O bisturi faz parte do kit de detetive descrito no artigo de ferramentas forenses ao vivo. É mais rápido que o Photorec e está entre as ferramentas de escultura de arquivos mais rápidas, mas sem o mesmo desempenho do Photorec. Ele procura em blocos de cabeçalho e rodapé. Entre seus recursos, existem multithreading para CPUs multicore, E/S assíncrona crescente desempenho. O bisturi é usado tanto em forenses profissionais quanto na recuperação de dados, é compatível com todos os sistemas de arquivos.

Você pode obter bisturi para esculpir arquivos executando no terminal:

# clone git https: // github.com/sleuthkit/bisturi.git

Digite o diretório de instalação com o comando cd (Diretório de mudança):

# CD bisturi

Para instalá -lo, execute:

# ./bootstrap
# ./configure
# fazer

Em distribuições Linux, com sede em Debian, como o Ubuntu ou Kali, você pode instalar o bisturi do APT Package Manager executando:

# sudo apt install scalpel

Os arquivos de configuração podem estar em/etc/bisturi/bisturi.conf 'ou /etc /bisturi.confipe dependendo da sua distribuição Linux. Você pode encontrar opções de bisturi na página do homem ou online em https: // linux.morrer.net/homem/1/bisturi.

Em conclusão, o bisturi é mais rápido que o fotorreto que possui resultados de bette ao recuperar arquivos, a próxima ferramenta é Bulkextract com escultura em registro.

Extrator a granel com ferramenta de escultura em registro:

Como as ferramentas mencionadas anteriormente, o extrator a granel com escultura em registro é multi -thread, é um aprimoramento da versão anterior "Extrator em massa". Ele permite recuperar qualquer tipo de dados de sistemas de arquivos, discos e despejo de memória. O extrator a granel com escultura em registro pode ser usado para desenvolver outros scanners de recuperação de arquivos. Ele suporta plugins adicionais que podem ser usados ​​para escultura, mas não para análise. Esta ferramenta está disponível no modo de texto a ser usado no terminal e em uma interface gráfica amigável ao usuário.

O extrator a granel com escultura em registro pode ser baixado em seu site oficial em https: // www.Kazamiya.net/en/bulk_extractor-rec.

Ferramenta de escultura acima de tudo:

O acima de tudo é talvez, juntamente com a fotorrect uma das ferramentas de escultura mais populares disponíveis para o Linux e no mercado em geral, uma curiosidade é que foi inicialmente desenvolvida pela Força Aérea dos EUA. O acima de tudo tem um desempenho mais rápido quando comparado com o fotorreto, mas o Photorec está melhor recuperando arquivos. Não existe um ambiente gráfico para posse, é usado no terminal e pesquisas em cabeçalhos, rodapés e estrutura de dados. É compatível com imagens de outras ferramentas, como DD ou ENCase para Windows.

Principal suporta qualquer tipo de escultura de arquivos, incluindo jpg, gif, png, BMP, Avi, exe, mpg, WAV, riff, WMV, mov, pdf, Ole, Doc, fecho eclair, rar, htm, e cpp. O principal vem por padrão em distribuições forenses e segurança orientada como Kali Linux com uma suíte para ferramentas forenses.

Nos principais sistemas Debian, o principal pode ser instalado usando o gerenciador de pacotes APT, na execução de distribuição de Linux, baseada em Debian ou Linux:

# sudo apt install mais importante

Uma vez instalado, verifique a página do homem para opções disponíveis ou verifique on -line em https: // linux.morrer.net/homem/1/acima de tudo.
Apesar de ser um programa de modo de texto em primeiro lugar, é simples de usar para escultura de arquivos.

TestDisk:

O TestDisk faz parte do Photorec, ele pode corrigir e recuperar partições, setores de inicialização FAT32, também pode corrigir NTFs e Linux Ext2, Ext3, Ext3 Filesystems e Restaurar arquivos de todos esses tipos de partição. O TestDisk pode ser usado por especialistas e novos usuários, facilitando o processo de recuperação de arquivos para usuários domésticos, está disponível para Linux, Unix (BSD e OS), MacOS, Microsoft Windows em todas as suas versões e DOS.

O TestDisk pode ser baixado em seu site oficial (Photorec's One) em https: // www.CGSecurity.org/wiki/testdisk.

O Photorrect tem um ambiente de teste para você praticar a escultura de arquivos, você pode acessar em https: // www.CGSecurity.org/wiki/testdisk_and_photorec_in_various_digital_forensics_testcase#test_your_knowledge.

A maioria das ferramentas listadas acima está incluída nas distribuições Linux mais populares focadas em computação forense, como Deft/Deft Zero Live Forensic Tool, Caine Live Forensic Tool e provavelmente no Santoku Live Forensic também, verifique esta lista para obter mais informações https: // linuxhint.com/vive_forensics_tools/.

Espero que você tenha encontrado este tutorial sobre ferramentas de escultura de arquivos úteis. Continue seguindo o Linuxhint para obter mais dicas e atualizações no Linux e na rede.