削除したファイルを復元する方法
はじめに
ファイルが "削除 "されるとき、その内容は通常、保存されていたストレージ・デバイスからは消去されない。多くの場合、ファイルを保存していたブロックは未割り当てとしてマークされ、ファイルシステムのポインターが削除される。つまり、上書きされるまで、ファイルはディスク上に存在することになります。削除したファイルを復元する
未割り当ての生データを復元する方法はたくさんある。 このウェブサイト には、さまざまなシナリオでファイル復元に使用できるツールが多数掲載されている。この記事では、データ復元に使える5種類のツールを紹介する。
セットアップ
今回は、私が作成し、Kali Linux VMに接続したドライブのフォレンジック分析を行う。これがどのように行われるかは、以下を参照されたい。 この記事.このドライブに画像ファイルとテキストファイルを保存し、削除しました。削除したファイルを復元する
まず、ディスクイメージの一般的な列挙から始めます。その後、フォレンジック・アナリストが使用するさまざまなファイル復元テクニックを紹介し、削除されたファイルを復元できるようにします。使用するツールの多くは 探偵キット (TSK)。
始める前に、ファイルシステムをアンマウントし、その複製を作成し、その複製から書き込みパーミッションを削除し、その複製の完全性をオリジナルの /dev/sdb.削除したファイルを復元する
$ cd ../ && umount /mnt/secret # /mnt/secretをアンマウントする
$ dd if=/dev/sdb of=/home/kali/forensics/sdb.img # /dev/sdb を sdb.img にコピーします。 22286+0 レコードをコピー 22286+0 レコード出力 11410432 バイト (11 MB, 11 MiB) コピー、0.0412053 秒、277 MB/s$ chmod a-w /home/kali/forensics/sdb.img # イメージへの書き込みアクセスを削除する。 $ md5sum /home/kali/forensics/sdb.img /dev/sdb 6c49fb21916d59e0df69453959392e23 /home/kali/forensics/sdb.img 6c49fb21916d59e0df69453959392e23 /dev/sdb
列挙
画像解析
を使用している。 ファイル コマンドを実行すると、イメージがext4ファイルシステムを使用していることがわかります。
さらに スタット コマンドは画像のサイズ、タイムスタンプ、ブロックの詳細などの情報を表示します。
イメージがext4を使っているという情報を使って エフエススタット コマンドは、ファイルシステム、メタデータ、コンテンツデータ、ブロックグループに関するより詳細な情報を抽出するために使用することができます。削除されたファイルを復元する
$ fsstat -f ext4 sdb.img
ファイルシステム情報
--------------------------------------------
ファイルシステムの種類Ext4
ボリューム名
ボリュームID:dc8a4fb36dce8eabee4c51cf01c2d52a
最終執筆日時最終更新日時: 2023-05-09 22:35:31 (日本時間) 最終確認日時最終更新日時: 2023-05-09 22:23:26 (月)最終登録日2023-05-09 22:24:27 (EDT) 適切にアンマウント 最終マウント先/mnt/secretソースOSリナックス 動的構造 互換機能ジャーナル、拡張属性、Inodeサイズ変更、Dirインデックス インコンパートの機能ファイルタイプ、エクステント、64ビット、柔軟なブロックグループ、 読み取り専用 コンパット機能スパース・スーパー、ラージ・ファイル、巨大ファイル、追加InodeサイズジャーナルID: 00 ジャーナルInode8メタデータ情報 -------------------------------------------- Inodeの範囲1 - 2785 ルートディレクトリ: 2 フリーInode: 2773 ノードサイズ: 256コンテンツ情報 -------------------------------------------- フレックスグループごとのブロックグループ16 ブロック範囲0 - 11139 ブロックサイズ: 1024 ブロックグループ前の予約ブロック: 1 空きブロック9223ブロックグループ情報 -------------------------------------------- ブロックグループ数: 2 グループあたりのInode1392 グループあたりのブロック数8192グループ0: ブロックグループフラグ:[INODE_ZEROED] Inodeの範囲:1 - 1392 ブロックの範囲:1 - 8192 レイアウト スーパー・ブロック: 1 - 1 グループ記述テーブル: 2 - 2 グループ記述子成長ブロック:3 - 89 データ・ビットマップ:90 - 90 Inodeビットマップ:92 - 92 Inodeテーブル:94 - 441 未初期データビットマップ:92 - 105 初期化されていないInodeビットマップ:94 - 107 初期化済みInodeテーブル:790 - 5661 データブロック5690 - 8192 空きInode: 1381 (99%) 空きブロック6365 (77%) 合計ディレクトリ数: 2 保存チェックサム: 0x7DEBグループ1: ブロックグループ フラグinode_uninit, inode_zeroed]: [inode_uninit, inode_zeroed]. Inodeの範囲:1393 - 2784 ブロック範囲: 8193 - 11139 レイアウト スーパーブロック: 8193 - 8193 グループ記述子テーブル:8194 - 8194 グループ記述子成長ブロック:8195 - 8281 データ・ビットマップ:91 - 91 Inodeビットマップ:93 - 93 Inodeテーブル:442 - 789 データブロック8282 - 11139 空きInode: 1392 (100%) 空きブロック: 2858 (96%) 総ディレクトリ数0 保存チェックサム: 0xDFA7
この出力から、ブロックサイズは1024ビット、ブロック総数は1113個、inodeは2785個であることがわかる。
加えて パート を使えば、パーティションテーブルの詳細情報を見つけることができる。
最後に ストリングス を見ると、ファイルシステムに何があるかがわかる。どうやら私の 秘密.txt ファイルの内容 ハロー・ワールド が登場する。 ストリングス コマンドを実行する必要があります。削除したファイルを復元する
コマンド strings -a --radix=d sdb.img, -a はファイル全体をスキャンするオプションで --radix=d 伝える ストリングス をクリックすると、その文字列が見つかったオフセットを10進数で表示します。削除したファイルを復元する
ファイルの分析
この特定のイメージには、削除されたファイルを除けば、現在ファイルが存在しないため、マウントしてファイルを分析しても得られる情報はあまりありません。そのため、マウントしてファイルを分析しても得られる情報は少ない:
$ mount -o ro,loop,noexec,noatime sdb.img
以下、オプションが何をするのかを説明しよう:
-oをマウントするためのオプションを設定します。sdb.img.- ローファイルシステムを読み取り専用でマウントするオプション。
- ループループデバイスにファイルシステムをマウントする
- ノーエグゼック実行禁止
- ノータイムファイルのアクセス時間を変更しない
を実行し続けることができる。 ファイル マウントされたループデバイス内のファイルについて、完全性を確認するためにそれらのmd5ハッシュを保存します。削除したファイルを復元する
ファイルの復元
メソッド1:使用する 探偵キット
削除されたファイルがある場合、以下のように表示されることがよくあります。 fls sdb.imgで列挙されている。 istat -o sdb.img <ノード番号で回復した。 icat -o sdb.img <ノード番号.後者の2つのステップの例を以下のスクリーンショットに示す。
https://www.therootuser.com/wp-content/uploads/2017/11/Screenshot-2017-11-07-17.27.58.png
しかし、私の場合はそうではないようだ。私の削除したファイルは フラックス コマンドを実行する。その代わりに $OrphanFiles.削除したファイルを復元する
$OrphanFiles はまだイメージ内に存在するが、ルートディレクトリからアクセスできなくなったファイルである。 $OrphanFiles はイメージ上の実際のディレクトリではなく、ファイルのメタデータがまだ存在していることを示すための Sleuth Kit の仮想的な方法です (もっと読む).
これらの孤児ファイルを復元するために、まずいくつかのテクニックを試してみる。 エクストランデリート.削除したファイルを復元する
方法2: エクストンデリート
このツールは、ext3およびext4ファイルシステム上のファイルを回復するために使用することができます。からのビルドでいくつか問題がありました。 ごうもくてきてきそこで、以下のコマンドでプログラムをソースからビルドし、再び動作するようにした:
apt update && apt install -y libext2fs-dev
git クローン https://github.com/cherojeong/extundelete.git
./configure
作る
src/extundelete --restore-all /path/to/image.img
注意:もし 作る。 で src/insertionoops.cc。 36行目の os << "ディレクトリACL: " << inode.i_dir_acl << std::endl; と os << "ディレクトリACL: " << inode.i_file_acl << std::endl;.
コマンド extundelete --restore-all sdb.img はファイルの復元に使用できる。
上のスクリーンショットのように、このツールは孤児ファイルを復元することができませんでした。これはまだ多くのシナリオで有効なオプションなので、この記事で紹介することにしました。
まだ諦めてはいない。また挑戦する
方法3: テストディスク
について .tar.bz ファイルをダウンロードできる これ.私はバージョン7.2を使用している。なお テストディスク を動作させるには、ダウンロード・ディレクトリで実行する必要があります。そうしないと、次のようなエラーが出るかもしれない。 *** path/to/testdisk-7.2-WIP/photorec_static' でエラーが発生しました:0x0000000002617d29 ***.
#ファイルを解凍して実行
tar -xf testdisk-7.2-WIP.linux26-x86_64.tar.bz2
cd テストディスク-7.2-WIP
./photorec_static /path/to/sdb.img /log
ヘルプメニューが表示されます。まず、作業したい画像を選択する。
次に、メディアのパーティションテーブルのオプションを選択する。私のはパーティションテーブルがないので、"なし "を選んだ。ファイルをリストアップできる唯一のオプションであることを確認した。
この後、ターミナルの一番下にある "List "オプションに移動し、以下のボタンを押す。 入場.
その結果、画像上のファイルがリストアップされ、復旧に成功したものは次のように表示された。 赤 テキスト
スクリーンショットを見ればわかるように、赤で表示された新しいファイルはない。これはつまり テストディスク は削除されたファイルの復元に失敗しました。
大丈夫、まだいくつかトリックがある。
方法4: 最前線
Foremostは、以下と共にインストールすることができる。 ごうもくてきてき.
sudo apt install foremost
このツールは ファイル・カービング これは、ディスク上の生データを検索し、ファイルのヘッダーとフッターの間の値を切り出すことを含む。
残念なことに、私たちはドライブから削除された画像ファイルを復元することができました。 foremost -t jpeg -o recovered-files -i sdb.img.復元された画像は、画像ビューアで期待通りにレンダリングされる。きれいなキャンプファイヤーだ。
前の3つの方法ではうまくいかなかったのに、この方法ではうまくいったという事実は、異なるツールやテクニックが異なるシナリオでデータ復旧により効果的であることをさらに証明している。
を編集できることも特筆に値する。 /etc/foremost.conf ファイルに、探しているファイルのカスタムヘッダーとカスタムフッターを追加する。これらの値を変更する方法については、次回の最後の方法で説明する。
方法5: メス
ScalpelはForemostに似ているが、柔軟性が追加されている。ファイルタイプやヘッダはそれほど制限されないが、スカルペルが提供するのと同じカスタマイズができるように最前線を変更する方法はある。
sudo apt install scalpel
cp /etc/scalpel/scalpel.conf .
vim scalpel.conf
私が持っているちょっとした背景情報でコンフィグを編集します。JPEGファイルを復元しようとしていることと、"Hello "という単語で始まるテキストファイルがあったことも知っています。そのため xxdのファイルヘッダを決定することができる。 .txt ファイルを "Hello "という単語で始める。この場合 \F.削除したファイルを復元する
$ エコー -こんにちは|xxd
00000000: 4865 6c6c 6f こんにちは。
私たちは、この情報を使って メスコンフィ ファイル 元気.コンフィグファイル上部のコメントで説明されているように、最初のカラムはファイルの拡張子を示している。2列目はヘッダーとフッターの大文字と小文字を区別するかどうか、3列目は16進数バイトでのヘッダー、4列目はオプションのフッター、5列目は前方だけでなくヘッダーから後方へ検索するためのオプションのパラメーターです。削除されたファイルを復元する
これらのオプションを設定する、 メス これでドライブからこれらのファイルを取り出すことができる。
メス -回収されたO-ファイル・メス -c scalpel.conf sdb.img
テキストファイルの復元に成功したようだ。
画像も回復した。
結論
同じ結果を得るには多くの方法がある。ここで紹介したさまざまなツールには、それぞれ最高のパフォーマンスを発揮する特定の用途がある。ここで紹介した方法がすべて私の特定の状況で機能しなかったとしても、それがあなたにとって機能しないということではありません。ファイルの復元が成功するかどうかを決定する要因は、パーティションテーブルのタイプ、削除されてからの経過時間、ファイルのサイズ(小さいファイルほど復元できる可能性が高い)、ストレージデバイスの健康状態、ドライブの再フォーマットなど、ファイルを削除してからドライブに対して行われた操作など、数多くあります。削除したファイルを復元する
この記事を読んで、ファイル復元についての理解を深め、実社会で応用できる実践的な知識を得ることができたなら幸いです。それではまた次回。
非常に良い https://is.gd/N1ikS2
非常に良い https://is.gd/N1ikS2
グッド https://is.gd/N1ikS2
オーデマピゲロイヤルオークオフショア15710STの詳細情報をこのプラットフォームで検索する , ステンレススチールモデルの$34,566から$36,200までの価格動向を含む。
42mm径のこのタイムピースは、機械式精度と防水性を備えた堅牢なデザインで、ステンレススティール製です。
https://ap15710st.superpodium.com
1970年代のレアなリファレンスとともに、限定版にプレミアムがつく二次市場データをチェックしよう。
在庫状況、仕様、再販実績、価格比較などの最新情報をリアルタイムで入手し、十分な情報に基づいた決断を下すことができます。
Drive sales and watch your affiliate earnings soar! https://shorturl.fm/483So
Rolex Submariner, выпущенная в 1954 году стала первой дайверской моделью, выдерживающими глубину до 100 метров .
Модель имеет 60-минутную шкалу, Oyster-корпус , обеспечивающие безопасность даже в экстремальных условиях.
Дизайн включает светящиеся маркеры, черный керамический безель , подчеркивающие спортивный стиль.
Наручные часы Rolex Submariner обзор
Автоподзавод до 3 суток сочетается с перманентной работой, что делает их надежным спутником для активного образа жизни.
За десятилетия Submariner стал символом часового искусства, оцениваемым как коллекционеры .
Le fēnix® Chronos de Garmin représente un summum de luxe avec un design élégant et capteurs multisports.
Adaptée aux activités variées, elle propose une polyvalence et durabilité extrême, idéale pour les aventures en extérieur grâce à ses modes sportifs.
Avec une batterie allant jusqu’à 6 heures , cette montre s’impose comme une solution fiable , même lors de sessions prolongées .
https://www.garmin-boutique.com/forerunner/forerunner-245-music-noire.aspx
Les fonctions de santé incluent la surveillance du sommeil , accompagnées de conseils d’entraînement personnalisés, pour les amateurs de fitness .
Intuitive à utiliser, elle s’adapte à vos objectifs, avec un écran AMOLED lumineux et compatibilité avec les apps mobiles .
La gamme MARQ® de Garmin est un modèle haut de gamme avec des finitions raffinées et fonctionnalités GPS intégrées .
Conçue pour les sportifs , elle allie robustesse et durabilité extrême, idéale pour les aventures en extérieur grâce à ses modes sportifs.
Grâce à son autonomie allant jusqu’à 6 heures , cette montre s’impose comme une solution fiable , même lors de activités exigeantes.
https://garmin-boutique.com/fenix-5
Les fonctions de santé incluent le comptage des calories brûlées, accompagnées de conseils d’entraînement personnalisés, pour les utilisateurs exigeants.
Facile à personnaliser , elle s’adapte à vos objectifs, avec un écran AMOLED lumineux et synchronisation sans fil.
I once saw medications as lifelines, relying on them without hesitation whenever discomfort arose. Yet, as experiences piled up, revealing how these aids often numbed the symptoms, prompting me to delve deeper into what wellness truly entails. It stirred something primal, illuminating that mindful engagement with treatments fosters genuine recovery, rather than suppressing it.
During a stark health challenge, I hesitated before the usual fix, uncovering hidden layers that wove lifestyle shifts into medical wisdom. I unearthed a new truth: true mending demands awareness, where overdependence dulls our senses. Now, I navigate this path with gratitude to embrace a fuller perspective, viewing remedies as partners in the dance.
Looking deeper, I’ve grasped that interventions must uplift our journey, free from dominating our narrative. It’s a tapestry of growth, inviting us to question entrenched patterns for richer lives. And if I had to sum it all up in one word: difference between valacyclovir and acyclovir