用Scalpel恢复已删除的文件
版本1.0
作者:Falko Timme
Scalpel是一个快速文件刻录机,它读取头文件和页脚定义的数据库,并从一组图像文件或原始设备文件中提取匹配的文件。 Scalpel与文件系统无关,将从FATx,NTFS,ext2 / 3或原始分区刻录文件。 它对数字取证调查和文件恢复都很有用。 这篇简短的文章显示了如何使用Scalpel来恢复已删除的文件。
我不会保证这将为您工作!
1初步说明
请注意,不能保证Scalpel能够成功地恢复您的文件,但至少有一个机会。
2安装Scalpel
在Debian和Ubuntu上,Scalpel可以安装如下:
apt-get install scalpel
3使用Scalpel
看一眼
man scalpel
学习如何使用Scalpel。
在我们可以使用Scalpel之前,我们必须定义Scalpel应该在/etc/scalpel/scalpel.conf中搜索的一些文件类型。 默认情况下,所有文件类型都被注释掉。 在这个例子中,我想搜索删除的PDF文件,所以我取消注释以下几行:
vi /etc/scalpel/scalpel.conf
[...]
pdf y 5000000 %PDF %EOF\x0d REVERSE
pdf y 5000000 %PDF %EOF\x0a REVERSE
[...]
可以使用Scalpel来尝试恢复文件:
scalpel /dev/sda1 -o output
-o定义Scalpel将放置恢复文件的目录 - 在这种情况下,目录命名为output ,是从我们运行解剖刀指令的目录的子目录; 该目录不能存在,因为否则Scalpel将拒绝启动。
(如果你不知道要搜索什么分区,请看看
mount
server1:~# mount
/dev/sda1 on / type ext3 (rw,errors=remount-ro)
tmpfs on /lib/init/rw type tmpfs (rw,nosuid,mode=0755)
proc on /proc type proc (rw,noexec,nosuid,nodev)
sysfs on /sys type sysfs (rw,noexec,nosuid,nodev)
udev on /dev type tmpfs (rw,mode=0755)
tmpfs on /dev/shm type tmpfs (rw,nosuid,nodev)
devpts on /dev/pts type devpts (rw,noexec,nosuid,gid=5,mode=620)
nfsd on /proc/fs/nfsd type nfsd (rw)
server1:~#
)
在Scalpel完成后,您会在名为Scalpel的目录中找到一个名为output的文件夹:
ls -la
server1:~# ls -la
total 36
drwxr-xr-x 5 root root 4096 2009-03-12 17:53 .
drwxr-xr-x 21 root root 4096 2009-02-16 13:10 ..
drwx------ 2 root root 4096 2009-02-16 13:15 .aptitude
-rw------- 1 root root 377 2009-02-16 13:32 .bash_history
-rw-r--r-- 1 root root 412 2004-12-15 23:53 .bashrc
drwxr-xr-x 2 root root 4096 2009-02-16 13:17 .debtags
drwxr-xr-- 3 root root 4096 2009-03-12 17:53 output
-rw-r--r-- 1 root root 140 2007-11-19 18:57 .profile
-rw------- 1 root root 3480 2009-03-12 17:06 .viminfo
server1:~#
ls -l output
server1:~# ls -l output
total 8
-rw-r--r-- 1 root root 386 2009-03-12 19:10 audit.txt
drwxr-xr-x 2 root root 4096 2009-03-12 19:10 pdf-0-0
server1:~#
audit.txt包含Scalpel所做的一切:
cat output/audit.txt
server1:~# cat output/audit.txt
Scalpel version 1.60 audit file
Started at Thu Mar 12 19:01:50 2009
Command line:
scalpel /dev/sda1 -o output
Output directory: /root/output
Configuration file: /etc/scalpel/scalpel.conf
Opening target "/dev/sda1"
The following files were carved:
File Start Chop Length Extracted From
00000000.pdf 5712642048 NO 437138 sda1
Completed at Thu Mar 12 19:10:33 2009
server1:~#
而pdf-0-0 /子目录包含Scalpel已经恢复的jpg文件:
ls -l output/pdf-0-0/
server1:~# ls -l output/pdf-0-0/
total 432
-rw-r--r-- 1 root root 437138 2009-03-12 19:10 00000000.pdf
server1:~#
在下次从同一目录运行Scalpel之前,您必须删除/重命名当前的输出/目录(因为如果输出的话,Scalpel将不会启动 目录已经存在)或使用指定另一个输出目录。
4链接
- Scalpel: http : //www.digitalforensicssolutions.com/Scalpel/
