Wie Sie Ihre gelöschten Dateien wiederherstellen

Einführung

Wenn eine Datei "gelöscht" wird, wird ihr Inhalt in der Regel nicht von dem Speichergerät, auf dem sie gespeichert war, gelöscht. In den meisten Fällen werden die Blöcke, in denen die Datei gespeichert war, als nicht zugewiesen markiert und die Dateisystemzeiger werden von der Datei entfernt. Das bedeutet, dass die Datei noch auf dem Datenträger vorhanden ist, bis sie überschrieben wird. Gelöschte Dateien wiederherstellen

Es gibt viele Methoden zur Wiederherstellung der nicht zugewiesenen Rohdaten. Diese Website listet viele Tools auf, die für die Wiederherstellung von Dateien in verschiedenen Szenarien verwendet werden können. In diesem Artikel gehe ich auf 5 verschiedene Tools ein, die zur Datenwiederherstellung verwendet werden können.

Einrichtung

Ich werde eine forensische Analyse auf einem Laufwerk durchführen, das ich erstellt und an meine Kali Linux VM angeschlossen habe. Um zu sehen, wie das gemacht wird, können Sie nachlesen dieser Artikel. Auf diesem Laufwerk habe ich eine Bilddatei und eine Textdatei gespeichert und dann gelöscht. Gelöschte Dateien wiederherstellen

Ich beginne mit einer allgemeinen Aufzählung auf dem Disk-Image. Dann werde ich eine Reihe von Techniken zur Wiederherstellung von Dateien vorstellen, die von forensischen Analysten verwendet werden und mit denen ich die gelöschten Dateien wiederherstellen konnte. Viele der verwendeten Tools stammen aus dem Spürnasen-Kit (TSK).

Bevor ich beginne, hänge ich das Dateisystem aus, erstelle ein Duplikat davon, entziehe dem Duplikat die Schreibrechte und überprüfe die Integrität des Duplikats anhand des Original-Hashs von /dev/sdb. Gelöschte Dateien wiederherstellen

$ cd ../ && umount /mnt/secret # unmount /mnt/secret

$ dd if=/dev/sdb of=/home/kali/forensics/sdb.img # copy /dev/sdb in sdb.img
22286+0 Datensätze rein
22286+0 Datensätze raus
11410432 Bytes (11 MB, 11 MiB) kopiert, 0.0412053 s, 277 MB/s$ chmod a-w /home/kali/forensics/sdb.img # Schreibzugriff auf das Abbild entfernen
                                                                
$ md5sum /home/kali/forensics/sdb.img /dev/sdb
6c49fb21916d59e0df69453959392e23 /home/kali/forensics/sdb.img
6c49fb21916d59e0df69453959392e23 /dev/sdb

Aufzählung

Bildanalyse

Die Verwendung des Datei Befehl zeigt, dass das Image ein ext4-Dateisystem verwendet.

Außerdem ist die stat zeigt Informationen über das Bild an, z. B. seine Größe, Zeitstempel und Blockdetails.

Mit der Information, dass das Image ext4 verwendet, wird die fsstat können Sie detailliertere Informationen über das Dateisystem, die Metadaten, die Inhaltsdaten und die Blockgruppen extrahieren. Gelöschte Dateien wiederherstellen

$ fsstat -f ext4 sdb.img 
DATEISYSTEM-INFORMATIONEN
--------------------------------------------
Dateisystem-Typ: Ext4
Volume Name:
Datenträger-ID: dc8a4fb36dce8eabee4c51cf01c2d52a

Zuletzt geschrieben am: 2023-05-09 22:35:31 (EDT)
Zuletzt geprüft am: 2023-05-09 22:23:26 (EDT)Zuletzt montiert am: 2023-05-09 22:24:27 (EDT)
Ordnungsgemäß abmontiert
Zuletzt eingehängt in: /mnt/secretQuellbetriebssystem: Linux
Dynamische Struktur
Kompatibilitätsmerkmale: Journal, Ext-Attribute, Inode-Größe ändern, Dir-Index
InCompat-Merkmale: Filetype, Extents, 64bit, Flexible Blockgruppen,
Nur Lesen Kompatibilität Eigenschaften: Sparse Super, Large File, Huge File, Extra Inode SizeZeitschrift ID: 00
Journal Inode: 8METADATEN-INFORMATIONEN
--------------------------------------------
Inode-Bereich: 1 - 2785
Wurzelverzeichnis: 2
Freie Inodes: 2773
Inode-Größe: 256INFORMATIONEN ZUM INHALT
--------------------------------------------
Blockgruppen pro Flex-Gruppe: 16
Block-Bereich: 0 - 11139
Blockgröße: 1024
Reservierte Blöcke vor Blockgruppen: 1
Freie Blöcke: 9223INFORMATIONEN ZUR BLOCKGRUPPE
--------------------------------------------
Anzahl der Blockgruppen: 2
Inodes pro Gruppe: 1392
Blöcke pro Gruppe: 8192Gruppe: 0:
  Blockgruppen-Flags: [INODE_ZEROED]
  Inode Bereich: 1 - 1392
  Block Bereich: 1 - 8192
  Anordnung:
    Superblock: 1 - 1
    Gruppe Deskriptor Tabelle: 2 - 2
    Gruppe Deskriptor Wachstumsblöcke: 3 - 89
    Daten-Bitmap: 90 - 90
    Inode-Bitmap: 92 - 92
    Inode-Tabelle: 94 - 441
    Uninit-Daten-Bitmaps: 92 - 105
    Uninit-Inode-Bitmaps: 94 - 107
    Uninit Inode Tabelle: 790 - 5661
    Datenblöcke: 5690 - 8192
  Freie Inodes: 1381 (99%)
  Freie Blöcke: 6365 (77%)
  Verzeichnisse insgesamt: 2
  Gespeicherte Prüfsumme: 0x7DEBGruppe: 1:
  Block Gruppe Flaggen: [INODE_UNINIT, INODE_ZEROED]
  Inode-Bereich: 1393 - 2784
  Blockbereich: 8193 - 11139
  Anordnung:
    Superblock: 8193 - 8193
    Gruppen-Deskriptor-Tabelle: 8194 - 8194
    Gruppe Deskriptor Wachstumsblöcke: 8195 - 8281
    Daten-Bitmap: 91 - 91
    Inode-Bitmap: 93 - 93
    Inode-Tabelle: 442 - 789
    Datenblöcke: 8282 - 11139
  Freie Inodes: 1392 (100%)
  Freie Blöcke: 2858 (96%)
  Verzeichnisse insgesamt: 0
  Gespeicherte Prüfsumme: 0xDFA7

Aus dieser Ausgabe geht hervor, dass die Blockgröße 1024 Bit beträgt, dass es insgesamt 1113 Blöcke gibt und dass 2785 Inodes vorhanden sind.

Darüber hinaus, abgetrennt kann verwendet werden, um weitere Informationen über die Partitionstabelle zu finden, was bei der Verwendung von scalpel nützlich sein kann.

Schließlich läuft Zeichenketten auf dem Bild gibt mehr Aufschluss darüber, was sich im Dateisystem befindet. Es scheint, dass mein geheim.txt Datei mit dem Inhalt Hallo Welt erscheint aus dem Zeichenketten Befehl zusätzlich zu einem fehlgeschlagenen Image-Download-Versuch. Gelöschte Dateien wiederherstellen

Im Befehl strings -a --radix=d sdb.img, -a ist eine Option zum Scannen der gesamten Datei und --radix=d sagt Zeichenketten um den Offset der gefundenen Zeichenkette zur Basis 10 anzuzeigen. Gelöschte Dateien wiederherstellen

Analysieren der Dateien

Dieses spezielle Abbild enthält außer gelöschten Dateien keine weiteren Dateien, so dass es nicht viel bringt, es zu mounten und die Dateien zu analysieren. In Fällen, in denen dies erwünscht ist, kann der folgende Befehl verwendet werden:

$ mount -o ro,loop,noexec,noatime sdb.img

Im Folgenden erkläre ich, was die Optionen bewirken:

• -o: legt die Optionen für die Montage fest sdb.img.
• roeine Option zum Einhängen des Dateisystems als schreibgeschützt
• Schleife: Einhängen des Dateisystems in ein Loop-Gerät
• noexec: Ausführung nicht zulassen
• noatime: die Zugriffszeit der Dateien nicht verändern

Sie können dann mit der Ausführung von Datei auf die Dateien innerhalb des gemounteten Loop-Geräts und speichern Sie deren md5-Hashes, um die Integrität zu überprüfen. Gelöschte Dateien wiederherstellen

Wiederherstellen der Dateien

Methode 1: Verwendung Spürnasen-Kit

Wenn Sie Dateien gelöscht haben, werden sie oft mit fls sdb.img, aufgezählt mit istat -o sdb.imgund wiederhergestellt mit icat -o sdb.img. Ein Beispiel für die beiden letztgenannten Schritte finden Sie in der nachstehenden Abbildung.

https://www.therootuser.com/wp-content/uploads/2017/11/Screenshot-2017-11-07-17.27.58.png

Bei mir scheint dies jedoch nicht der Fall zu sein. Meine gelöschten Dateien tauchen nicht in der fls Befehl. Stattdessen sehe ich eine Variable namens $OrphanFiles. Gelöschte Dateien wiederherstellen

$OrphanFiles sind Dateien, die noch im Abbild vorhanden sind, auf die aber vom Stammverzeichnis aus nicht mehr zugegriffen werden kann. $OrphanFiles ist kein tatsächliches Verzeichnis auf dem Image, sondern eine virtuelle Methode von Sleuth Kit, um zu zeigen, dass die Datei-Metadaten noch existieren (mehr lesen).

Um diese verwaisten Dateien wiederherzustellen, werde ich einige Techniken ausprobieren, angefangen mit extundelete. Gelöschte Dateien wiederherstellen

Methode 2: Extundelete

Dieses Tool kann verwendet werden, um Dateien auf ext3- und ext4-Dateisystemen wiederherzustellen. Ich hatte einige Schwierigkeiten mit dem Build von aptalso habe ich das Programm aus dem Quellcode mit den folgenden Befehlen erstellt, damit es wieder funktioniert:

apt update && apt install -y libext2fs-dev
git klonen. https://github.com/cherojeong/extundelete.git
./konfigurieren
make
src/extundelete --restore-all /pfad/zu/image.img

Hinweis: Wenn Sie eine Fehlermeldung erhalten, wenn Sie Make in src/insertionoops.cc in Zeile 36, müssen Sie möglicherweise die Zeile os << "Verzeichnis-ACL: " << inode.i_dir_acl << std::endl; mit os << "Verzeichnis-ACL: " << inode.i_file_acl << std::endl;.

Der Befehl extundelete --restore-all sdb.img kann zur Wiederherstellung von Dateien verwendet werden.

Wie Sie auf dem Screenshot oben sehen können, war das Tool nicht erfolgreich bei der Wiederherstellung der verwaisten Dateien. Dies ist immer noch eine praktikable Option, die in vielen Szenarien funktionieren kann, weshalb ich beschlossen habe, sie in diesen Artikel aufzunehmen.

Ich gebe noch nicht auf. Wir werden es wieder versuchen!

Methode 3: TestDisk

Die .tar.bz Datei kann heruntergeladen werden hier. Ich verwende die Version 7.2. Beachten Sie, dass für die TestDisk funktioniert, müssen Sie es im Download-Verzeichnis ausführen. Andernfalls erhalten Sie möglicherweise eine Fehlermeldung wie *** Fehler in `/path/to/testdisk-7.2-WIP/photorec_static': malloc(): Speicherkorruption: 0x0000000002617d29 ***.

# entpacken und die Datei ausführen
tar -xf testdisk-7.2-WIP.linux26-x86_64.tar.bz2
cd testdisk-7.2-WIP
./photorec_static /pfad/zu/sdb.img /log

Es erscheint ein Hilfemenü. Ich wähle zunächst das Bild aus, mit dem ich arbeiten möchte.

Dann wähle ich die Option für die Partitionstabelle für das Medium. Meine hat keine, also wähle ich "Keine". Ich habe mich vergewissert, dass dies die einzige Option war, die mir Dateien auflisten konnte.

Danach navigiere ich zur Option "Liste" am unteren Rand des Terminals und drücke Eingabe.

Dies führt mich zur Auflistung der Dateien auf dem Abbild mit den erfolgreich wiederhergestellten Dateien in rot Text.

Wie Sie auf dem Screenshot sehen können, sind dort keine neuen Dateien in rot aufgelistet. Dies bedeutet, dass TestDisk war nicht erfolgreich bei der Wiederherstellung der gelöschten Dateien.

Schon gut, ich habe noch ein paar Tricks in petto.

Methode 4: Vorrangig

Foremost kann installiert werden mit apt.

sudo apt install foremost

Dieses Werkzeug verwendet eine Technik, die als Feilenschnitzen Dabei werden die Rohdaten auf einem Datenträger durchsucht und die Werte zwischen den Kopf- und/oder Fußzeilen der Datei herausgeschnitten.

Leider konnten wir eine gelöschte Bilddatei von dem Laufwerk wiederherstellen mit foremost -t jpeg -o recovered-files -i sdb.img. Das wiederhergestellte Bild wird im Bildbetrachter wie erwartet dargestellt. Was für ein hübsches Lagerfeuer.

Die Tatsache, dass dies funktionierte, während die vorherigen 3 Methoden nicht funktionierten, zeigt, dass verschiedene Tools und Techniken in verschiedenen Szenarien effektiver bei der Datenwiederherstellung sind.

Es ist auch erwähnenswert, dass Sie die /etc/foremost.conf um Ihre eigenen benutzerdefinierten Kopf- und Fußzeilen für die gesuchte Datei zu enthalten. Die Änderung dieser Werte wird in der nächsten und letzten Methode erforscht.

Methode 5: Skalpell

Scalpel ist ähnlich wie Foremost und bietet zusätzliche Flexibilität. Sie sind bei den Dateitypen und Kopfzeilen nicht so stark eingeschränkt, obwohl es eine Möglichkeit gibt, Foremost zu ändern, um die gleichen Anpassungen wie bei Scalpel vorzunehmen.

sudo apt install scalpel
cp /etc/scalpel/scalpel.conf .
vim scalpel.conf

Ich werde die Konfiguration mit den wenigen Hintergrundinformationen, die ich habe, bearbeiten. Ich weiß, dass ich versuche, eine JPEG-Datei wiederherzustellen, und ich weiß auch, dass es eine Textdatei gab, die mit dem Wort "Hallo" begann. Durch die Verwendung von xxdkann ich die Dateikopfzeilen für eine .txt Datei, die mit dem Wort "Hallo" beginnt. In diesem Fall würde sie lauten \x48\x65\x6c\x6c\x6f. Gelöschte Dateien wiederherstellen

$ echo -n Hallo | xxd                                       
00000000: 4865 6c6c 6f Hallo.

Wir werden diese Informationen verwenden, um die skalpell.conf Datei in vim. Wie in den Kommentaren am Anfang der Konfigurationsdatei erläutert, gibt die erste Spalte die Dateierweiterung an. Die zweite Spalte gibt an, ob bei der Kopf- und Fußzeile zwischen Groß- und Kleinschreibung unterschieden wird, die dritte Spalte gibt die Kopfzeile in hexadezimalen Bytes an, die vierte Spalte ist eine optionale Fußzeile und die fünfte Spalte ist ein optionaler Parameter, um von der Kopfzeile aus rückwärts und nicht nur vorwärts zu suchen. Gelöschte Dateien wiederherstellen

Wenn diese Optionen eingestellt sind, Skalpell kann nun ausgeführt werden, um diese Dateien aus dem Laufwerk zu extrahieren.

Skalpell -o wiederhergestellt-dateien_skalpell -c skalpell.conf sdb.img

Es scheint, dass die Textdatei erfolgreich wiederhergestellt wurde.

Das Bild wurde ebenfalls wiederhergestellt.

Schlussfolgerung

Es gibt viele Möglichkeiten, das gleiche Ergebnis zu erzielen. Die verschiedenen hier vorgestellten Instrumente haben ihre spezifischen Anwendungen, bei denen sie am besten funktionieren. Auch wenn nicht alle hier vorgestellten Methoden in meiner speziellen Situation funktioniert haben, heißt das nicht, dass sie bei Ihnen nicht funktionieren. Es gibt viele Faktoren, die bestimmen, ob die Wiederherstellung von Dateien erfolgreich sein wird, einschließlich des Typs der Partitionierungstabelle, wie lange es her ist, dass die Dateien gelöscht wurden, der Größe der Datei (kleinere Dateien werden eher wiederhergestellt), des Zustands des Speichergeräts und der Vorgänge, die seit dem Löschen der Dateien auf dem Laufwerk durchgeführt wurden, wie z. B. die Neuformatierung des Laufwerks. Gelöschte Dateien wiederherstellen

Ich hoffe, dass Sie durch die Lektüre dieses Artikels Ihr Verständnis für die Wiederherstellung von Dateien vertiefen und praktische Kenntnisse erwerben konnten, die Sie in der Praxis anwenden können. Danke fürs Lesen und bis zum nächsten Mal.