Phenquestions
Den här artikeln beskriver några av de mest populära tillgängliga filhanteringsverktygen för Linux inklusive PhotoRec, Scalpel, Bulk Extractor with Record Carving, Foremost och TestDisk.
PhotoRec Carving Tool
Med Photorec kan du återställa media, dokument och filer från hårddiskar, optiska diskar eller kameraminnen. PhotoRec försöker hitta fildatablocket från superblock för Linux-filsystem eller från volymstartposten för WIndows-filsystem. Om det inte är möjligt kommer programvaran att kontrollera block för block och jämföra det med en PhotoRec-databas. Den kontrollerar för alla block medan andra verktyg bara söker efter början eller slutet av en rubrik, det är därför PhotoRecs prestanda inte är den bästa jämfört med verktyg som använder olika carvingmetoder som block header search, men PhotoRec är kanske filhuggningsverktyget med bättre resultat i den här listan, om tiden inte är ett problem är PhotoRec den första rekommendationen.
Om PhotoRec lyckas samla in filstorleken från filhuvudet kommer det att jämföra resultatet av återställda filer med rubriken som kasserar ofullständiga filer. Ändå lämnar PhotoRec delvis återställda filer när det är möjligt, till exempel när det gäller mediefiler.
PhotoRec är öppen källkod och det är tillgängligt för Linux, DOS, Windows och MacOS, du kan ladda ner det gratis från dess officiella webbplats på https: // www.cgsecurity.org /.
Scalpel Carving Tool:
Scalpel är ett annat alternativ för filhantering som är tillgängligt för både Linux och Windows OS. Scalpel är en del av The Sleuth Kit som beskrivs på Live kriminaltekniska verktyg artikel. Det är snabbare än PhotoRec och det är bland de snabbare filhanteringsverktygen men utan samma prestanda som PhotoRec. Det söker på sidhuvud och sidfot block eller kluster. Bland dess funktioner finns multithreading för flerkärniga CPU: er, asynkron I / O-prestanda. Scalpel används både i professionell kriminalteknik och dataåterställning, den är kompatibel med alla filsystem.
Du kan få Scalpel för att skära filer genom att köra i terminalen:
# git klon https: // github.com / sleuthkit / skalpell.git
Ange installationskatalogen med kommandot CD (Ändra katalog):
# cd skalpell
Så här installerar du det:
# ./ bootstrap# ./ konfigurera
# göra
På Debian-baserade Linux-distributioner som Ubuntu eller Kali kan du installera skalpell från apt-pakethanteraren genom att köra:
# sudo apt install scalpelKonfigurationsfiler kan vara på / etc / scalpel / scalpel.conf 'eller / etc / skalpell.conf beroende på din Linux-distribution. Du hittar Scalpel-alternativ på mansidan eller online på https: // linux.dö.nät / man / 1 / skalpell.
Sammanfattningsvis är Scalpel snabbare än PhotoRect som ger bättre resultat när filer återställs, nästa verktyg är BulkExtractor With Record Carving.
Bulk Extractor med Record Carving Tool:
Precis som de tidigare nämnda verktygen Bulk Extractor with Record Carving är multi-thread, är det en förbättring av den tidigare versionen "Bulk Extractor". Det gör det möjligt att återställa alla typer av data från filsystem, diskar och minnesdump. Bulk Extractor with Record Carving kan användas för att utveckla andra filåterställningsskannrar. Den stöder ytterligare plugins som kan användas för carving, men inte för att analysera. Detta verktyg är tillgängligt både i textläge för att användas från terminalen och ett grafiskt användarvänligt gränssnitt.
Bulk Extractor with Record Carving kan laddas ner från dess officiella webbplats på https: // www.kazamiya.net / en / bulk_extractor-rec.
Främsta Carving Tool:
Framför allt är kanske, tillsammans med PhotoRect, ett av de mest populära snidningsverktygen tillgängliga för Linux och på marknaden i allmänhet, en nyfikenhet är att den ursprungligen utvecklades av US Air Force. Framför allt har en snabbare prestanda jämfört med PhotoRect men PhotoRec är bättre att återställa filer. Det finns ingen grafisk miljö för det första, den används från terminalen och söker på sidhuvud, sidfot och datastruktur. Den är kompatibel med bilder av andra verktyg som dd eller Encase för Windows.
Framför allt stöder alla typer av filhuggning inklusive jpg, gif, png, bmp, avi, exe, mpg, wav, riff, wmv, mov, pdf, ole, dok, blixtlås, rar, htm, och cpp. Främst kommer som standard i kriminaltekniska distributioner och säkerhetsorienterade som Kali Linux med en svit för kriminaltekniska verktyg.
På debian-system kan främst installeras med hjälp av APT-pakethanteraren, på Debian eller baserat Linux-distributionskörning:
# sudo apt install främst
När du är installerad, kontrollera man-sidan för tillgängliga alternativ eller kolla online på https: // linux.dö.nät / man / 1 / främst.
Trots att det är ett textläge-program är främst enkelt att använda för filhantering.
TestDisk:
TestDisk är en del av PhotoRec, det kan fixa och återställa partitioner, FAT32 boot-sektorer, det kan också fixa NTFS och Linux ext2, ext3, ext3 filsystem och återställa filer från alla dessa partitionstyper. TestDisk kan användas både av experter och nya användare som gör återställning av filer enkelt för inhemska användare, den är tillgänglig för Linux, Unix (BSD och OS), MacOS, Microsoft Windows i alla dess versioner och DOS.
TestDisk kan laddas ner från dess officiella webbplats (PhotoRecs en) på https: // www.cgsecurity.org / wiki / TestDisk.
PhotoRect har en testmiljö där du kan träna filhantering, som du kan komma åt på https: // www.cgsecurity.org / wiki / TestDisk_and_PhotoRec_in_various_digital_forensics_testcase # Test_din_kännedom.
De flesta av verktygen som listas ovan ingår i de populäraste Linux-distributionerna med fokus på datorforensik som Deft / Deft Zero live forensic tool, CAINE live forensic tool och förmodligen även Santoku live forensic, se den här listan för mer information https: // linuxhint.com / live_forensics_tools /.
Jag hoppas att du tyckte att den här guiden om File Carving Tools var användbar. Fortsätt följa LinuxHint för fler tips och uppdateringar om Linux och nätverk.
