Forense

Strumenti per intagliare file

Strumenti per intagliare file
Nei computer, intaglio di file consiste nel recuperare e ricostruire, ricostruire o riassemblare file frammentati dopo che un disco è stato formattato, il suo filesystem o partizione è corrotto o danneggiato o i metadati di un file sono stati rimossi. Tutti i file contengono metadati, metadati significa: "dati che forniscono informazioni su altri dati". Tra le altre informazioni, i metadati dei file contengono la posizione e la struttura di un file all'interno del filesystem e dei blocchi fisici.  Il File Carving consiste nel riportare i file anche se i loro metadati con le informazioni sulla loro posizione all'interno del filesystem non sono disponibili.

Questo articolo descrive alcuni dei più popolari strumenti di intaglio file disponibili per Linux, inclusi PhotoRec, Scalpel, Bulk Extractor con Record Carving, Foremost e TestDisk.

Strumento per intaglio PhotoRec

Photorec ti consente di recuperare supporti, documenti e file da dischi rigidi, dischi ottici o memorie della fotocamera. PhotoRec tenta di trovare il blocco dati del file dal superblocco per i filesystem Linux o dal record di avvio del volume per i filesystem Windows. Se non è possibile il software controllerà blocco per blocco confrontandolo con un database di PhotoRec. Controlla tutti i blocchi mentre altri strumenti controllano solo l'inizio o la fine di un'intestazione, ecco perché le prestazioni di PhotoRec non sono le migliori rispetto a strumenti che utilizzano diversi metodi di intaglio come la ricerca di intestazioni di blocco, ma PhotoRec è forse lo strumento di intaglio dei file con risultati migliori in questo elenco, se il tempo non è un problema PhotoRec è la prima raccomandazione.

Se PhotoRec riesce a raccogliere la dimensione del file dall'intestazione del file, confronterà il risultato dei file recuperati con l'intestazione scartando i file incompleti. Tuttavia PhotoRec lascerà file recuperati parziali quando possibile, ad esempio nel caso di file multimediali.

PhotoRec è Open Source ed è disponibile per Linux, DOS, Windows e MacOS, puoi scaricarlo gratuitamente dal suo sito ufficiale all'indirizzo https://www.cgsecurity.org/.

Strumento per intaglio del bisturi:

Scalpel è un'altra alternativa per il file carving disponibile sia per Linux che per Windows OS. Il bisturi fa parte di The Sleuth Kit descritto in  Strumenti forensi dal vivo articolo. È più veloce di PhotoRec ed è tra gli strumenti di intaglio di file più veloci ma senza le stesse prestazioni di PhotoRec. Cerca su blocchi o cluster di intestazione e piè di pagina. Tra le sue caratteristiche ci sono il multithreading per CPU multicore, I/O asincroni che aumentano le prestazioni. Scalpel è utilizzato sia nella medicina legale che nel recupero dati, è compatibile con tutti i filesystem.

Puoi ottenere Scalpel per intagliare i file eseguendo nel terminale:

# git clone https://github.com/sleuthkit/scalpel.idiota

Entra nella directory di installazione con il comando CD (Cambia directory):

# cd bisturi

Per installarlo eseguire:

# ./bootstrap
#  ./configurare
# rendere

Sulle distribuzioni Linux basate su Debian come Ubuntu o Kali puoi installare bisturi dal gestore di pacchetti apt eseguendo:

# sudo apt install bisturi

I file di configurazione possono trovarsi in  /etc/scalpel/scalpel.conf' o  /etc/scalpel.conf a seconda della tua distribuzione Linux. Puoi trovare le opzioni Scalpel nella pagina man o online su https://linux.morire.rete/uomo/1/bisturi.

In conclusione Scalpel è più veloce di PhotoRect che ha risultati migliori durante il recupero dei file, lo strumento successivo è BulkExtractor With Record Carving.

Estrattore di massa con strumento di intaglio del disco:

Come gli strumenti precedentemente menzionati Bulk Extractor con Record Carving è multi thread, è un miglioramento della versione precedente "Bulk Extractor". Permette di recuperare qualsiasi tipo di dato da filesystem, dischi e dump di memoria. Bulk Extractor con Record Carving può essere utilizzato per sviluppare altri scanner di recupero file. Supporta plugin aggiuntivi che possono essere usati per intagliare, ma non per analizzare for. Questo strumento è disponibile sia in modalità testo da utilizzare da terminale che in un'interfaccia grafica user friendly.

Bulk Extractor con Record Carving può essere scaricato dal suo sito ufficiale all'indirizzo https://www.kazamiya.net/it/sfuso_estrattore-rec.

Primo strumento di intaglio:

Foremost è forse, insieme a PhotoRect, uno degli strumenti di intaglio più popolari disponibili per Linux e nel mercato in generale, una curiosità è che è stato inizialmente sviluppato dall'aeronautica americana. Foremost ha prestazioni più veloci rispetto a PhotoRect, ma PhotoRec è migliore nel recupero dei file. Non esiste un ambiente grafico perForemost, si utilizza da terminale e ricerca su intestazioni, piè di pagina e struttura dati.  È compatibile con le immagini di altri strumenti come dd o Encase per Windows.

Primo supporta qualsiasi tipo di intaglio di file incluso jpg, gif, png, bmp, avi, EXE, mpg, onda, riff, wmv, muoviti, PDF, ole, documento, cerniera lampo, raro, htm, e cpp. Foremost viene fornito di default nelle distribuzioni forensi e orientate alla sicurezza come Kali Linux con una suite per strumenti forensi.

Sui sistemi Debian Foremost può essere installato utilizzando il gestore di pacchetti APT, su Debian o su una distribuzione Linux basata:

# sudo apt install above

Una volta installato, controlla la pagina man per le opzioni disponibili o controlla online su https://linux.morire.netto/uomo/1/primo.
Nonostante sia un programma in modalità testo, Foremost è semplice da usare per l'intaglio dei file.

disco di prova:

TestDisk fa parte di PhotoRec, può riparare e recuperare partizioni, settori di avvio FAT32, può anche riparare filesystem NTFS e Linux ext2,ext3,ext3 e ripristinare file da tutti questi tipi di partizioni. TestDisk può essere utilizzato sia da esperti che da nuovi utenti rendendo il processo di recupero dei file facile per gli utenti domestici, è disponibile per Linux, Unix (BSD e OS), MacOS, Microsoft Windows in tutte le sue versioni e DOS.

TestDisk può essere scaricato dal suo sito ufficiale (quello di PhotoRec) all'indirizzo https://www.cgsecurity.org/wiki/TestDisk.

PhotoRect dispone di un ambiente di test per esercitarsi nel file carving, è possibile accedere a https://www.cgsecurity.org/wiki/TestDisk_and_PhotoRec_in_various_digital_forensics_testcase#Test_your_knowledge.

La maggior parte degli strumenti sopra elencati sono inclusi nelle distribuzioni Linux più popolari incentrate sull'informatica forense come lo strumento forense live Deft/Deft Zero, lo strumento forense live CAINE e probabilmente anche su Santoku live forensic, controlla questo elenco per ulteriori informazioni https://linuxhint.com/live_forensics_tools/.

Spero che tu abbia trovato utile questo tutorial su File Carving Tools File. Continua a seguire LinuxHint per ulteriori suggerimenti e aggiornamenti su Linux e il networking.

Giochi I migliori giochi di laboratorio dell'app Oculus
I migliori giochi di laboratorio dell'app Oculus
Se possiedi un visore Oculus, devi essere informato sul sideloading. Il sideloading è il processo di installazione di contenuti non archiviati sul vis...
Giochi I 10 migliori giochi da giocare su Ubuntu
I 10 migliori giochi da giocare su Ubuntu
La piattaforma Windows è stata una delle piattaforme dominanti per i giochi a causa dell'enorme percentuale di giochi che si stanno sviluppando oggi p...
Giochi I 5 migliori giochi arcade per Linux
I 5 migliori giochi arcade per Linux
Al giorno d'oggi, i computer sono macchine serie utilizzate per i giochi. Se non riesci a ottenere il nuovo punteggio più alto, saprai cosa intendo. I...