Phenquestions
Dieser Artikel beschreibt einige der beliebtesten verfügbaren File Carving Tools für Linux, darunter PhotoRec, Scalpel, Bulk Extractor with Record Carving, Foremost und TestDisk.
PhotoRec Schnitzwerkzeug
Mit Photorec können Sie Medien, Dokumente und Dateien von Festplatten, optischen Datenträgern oder Kameraspeichern wiederherstellen. PhotoRec versucht, den Dateidatenblock aus dem Superblock für Linux-Dateisysteme oder aus dem Volume-Boot-Record für WIndows-Dateisysteme zu finden. Wenn dies nicht möglich ist, prüft die Software Block für Block und vergleicht ihn mit der Datenbank von PhotoRec. Es prüft auf alle Blöcke, während andere Tools nur auf den Anfang oder das Ende eines Headers prüfen. Aus diesem Grund ist die Leistung von PhotoRec nicht die beste im Vergleich zu Tools, die verschiedene Carving-Methoden wie die Blockheader-Suche verwenden, aber PhotoRec ist vielleicht das Datei-Carving-Tool mit besseren Ergebnissen in dieser Liste, wenn die Zeit kein Problem ist, ist PhotoRec die erste Empfehlung.
Wenn PhotoRec es schafft, die Dateigröße aus dem Dateiheader zu ermitteln, vergleicht es das Ergebnis der wiederhergestellten Dateien mit dem Header, der unvollständige Dateien verwirft. PhotoRec hinterlässt jedoch nach Möglichkeit teilweise wiederhergestellte Dateien, zum Beispiel im Fall von Mediendateien.
PhotoRec ist Open Source und für Linux, DOS, Windows und MacOS verfügbar. Sie können es kostenlos von der offiziellen Website herunterladen unter https://www.cgsecurity.Organisation/.
Skalpell-Schnitzwerkzeug:
Scalpel ist eine weitere Alternative zum File Carving, die sowohl für Linux als auch für Windows verfügbar ist. Skalpell ist Teil von The Sleuth Kit, beschrieben unter Live-Forensik-Tools Artikel. Es ist schneller als PhotoRec und gehört zu den schnelleren Werkzeugen zum Schnitzen von Dateien, jedoch ohne die gleiche Leistung wie PhotoRec. Es sucht in Kopf- und Fußzeilenblöcken oder -clustern. Zu seinen Features zählen Multithreading für Multicore-CPUs, asynchrone I/O zur Leistungssteigerung. Scalpel wird sowohl in der professionellen Forensik als auch in der Datenwiederherstellung verwendet, es ist mit allen Dateisystemen kompatibel.
Sie können Scalpel zum Schnitzen von Dateien erhalten, indem Sie im Terminal ausführen:
# git-Klon https://github.com/detektivkit/skalpell.git
Geben Sie das Installationsverzeichnis mit dem Befehl . ein CD (Ändere die Richtung):
# CD-Skalpell
Um es zu installieren, führen Sie Folgendes aus:
# ./bootstrap# ./konfigurieren
# machen
Auf Debian-basierten Linux-Distributionen wie Ubuntu oder Kali können Sie Skalpell über den apt-Paketmanager installieren, indem Sie Folgendes ausführen:
# sudo apt installiere SkalpellKonfigurationsdateien befinden sich möglicherweise unter /etc/scalpel/scalpel.conf' oder /etc/scalpel.conf abhängig von Ihrer Linux-Distribution. Skalpelloptionen finden Sie in der Manpage oder online unter https://linux.sterben.Netz/Mann/1/Skalpell.
Zusammenfassend lässt sich sagen, dass Scalpel schneller ist als PhotoRect, das bei der Wiederherstellung von Dateien bessere Ergebnisse liefert. Das nächste Tool ist BulkExtractor With Record Carving.
Bulk Extractor mit Record Carving Tool:
Wie die bereits erwähnten Tools ist Bulk Extractor mit Record Carving Multithread, es ist eine Weiterentwicklung der Vorgängerversion „Bulk Extractor“. Es ermöglicht die Wiederherstellung jeder Art von Daten von Dateisystemen, Festplatten und Speicherabzügen. Bulk Extractor mit Record Carving kann verwendet werden, um andere Dateiwiederherstellungsscanner zu entwickeln. Es unterstützt zusätzliche Plugins, die zum Carving verwendet werden können, jedoch nicht zum Parsen. Dieses Tool ist sowohl im Textmodus zur Verwendung über das Terminal als auch über eine benutzerfreundliche grafische Oberfläche verfügbar available.
Bulk Extractor with Record Carving kann von seiner offiziellen Website heruntergeladen werden unter https://www.kazamiya.net/de/bulk_extractor-rec.
Wichtigstes Schnitzwerkzeug:
An erster Stelle steht vielleicht zusammen mit PhotoRect eines der beliebtesten Carving-Tools für Linux und auf dem Markt im Allgemeinen, eine Kuriosität ist, dass es ursprünglich von der US Air Force entwickelt wurde developed. Foremost hat im Vergleich zu PhotoRect eine schnellere Leistung, aber PhotoRec kann Dateien besser wiederherstellen. Foremost hat keine grafische Umgebung, es wird vom Terminal aus verwendet und sucht nach Kopfzeilen, Fußzeilen und Datenstrukturen data. Es ist kompatibel mit Bildern anderer Tools wie dd oder Encase für Windows.
Foremost unterstützt jede Art von File Carving, einschließlich jpg, gif, png, bmp, avi, exe, mpg, wellenartig, Riff, wmv, bewegen, pdf, ol, doc, Postleitzahl, selten, htm, und cpp. Foremost kommt standardmäßig in Forensic-Distributionen und ist sicherheitsorientiert wie Kali Linux mit einer Suite für Forensic-Tools.
Auf Debian-Systemen kann Foremost mit dem APT-Paketmanager installiert, auf Debian oder einer basierten Linux-Distribution ausgeführt werden:
# sudo apt installieren zuerst
Überprüfen Sie nach der Installation die Manpage auf verfügbare Optionen oder überprüfen Sie online unter https://linux.sterben.net/man/1/vorderst.
Obwohl Foremost ein Textmodus-Programm ist, ist es einfach zu verwenden, um Dateien zu schnitzen.
Testdisk:
TestDisk ist Teil von PhotoRec, es kann Partitionen reparieren und wiederherstellen, FAT32 Bootsektoren, es kann auch NTFS und Linux ext2,ext3,ext3 Dateisysteme reparieren und Dateien von all diesen Partitionstypen wiederherstellen. TestDisk kann sowohl von Experten als auch von neuen Benutzern verwendet werden, was die Wiederherstellung von Dateien für Heimanwender erleichtert. Es ist für Linux, Unix (BSD und OS), MacOS, Microsoft Windows in allen Versionen und DOS verfügbar.
TestDisk kann von seiner offiziellen Website (der von PhotoRec) heruntergeladen werden unter https://www.cgsecurity.org/wiki/TestDisk.
PhotoRect verfügt über eine Testumgebung, in der Sie das File Carving üben können. Sie können darauf zugreifen unter https://www.cgsecurity.org/wiki/TestDisk_and_PhotoRec_in_vious_digital_forensics_testcase#Test_your_knowledge.
Die meisten der oben aufgeführten Tools sind in den gängigsten Linux-Distributionen enthalten, die sich auf Computer-Forensik konzentrieren, wie das Live-Forensic-Tool Deft/Deft Zero, das Live-Forensic-Tool CAINE und wahrscheinlich auch auf die Live-Forensik von Santoku. Weitere Informationen finden Sie in dieser Liste https://linuxhint.com/live_forensics_tools/.
Ich hoffe, Sie fanden dieses Tutorial zu File Carving Tools nützlich. Folgen Sie LinuxHint für weitere Tipps und Updates zu Linux und Netzwerken.
