如何恢复已删除的文件
导言
当文件被 "删除 "时,其内容通常不会从存储它的存储设备中删除。通常情况下,存储文件的块会被标记为未分配,文件系统指针也会被删除。这意味着文件仍然存在于磁盘上,直到被覆盖。恢复已删除的文件
有很多方法可以恢复未分配的原始数据。 本网站 列出了许多可用于在不同情况下恢复文件的工具。在本文中,我将介绍 5 种可用于恢复数据的不同工具。
设置
我将对我创建并连接到 Kali Linux 虚拟机的硬盘进行取证分析。要了解如何进行分析,可以参考 本条.在这个硬盘上,我保存并删除了一个图像文件和一个文本文件。恢复已删除的文件
首先,我将对磁盘镜像进行一般枚举。然后,我将展示法证分析师使用的各种文件恢复技术,通过这些技术我可以恢复被删除的文件。使用的许多工具将来自 侦探套装 (TSK)。
在开始之前,我将卸载文件系统,创建一个副本,删除副本的写入权限,并对照原始文件系统的哈希值验证副本的完整性。 /dev/sdb.恢复已删除的文件
$ CD ../ && umount /mnt/secret # 卸载 /mnt/secret
$ dd if=/dev/sdb of=/home/kali/forensics/sdb.img # 将 /dev/sdb 复制到 sdb.img 中 22286+0 条记录进入 22286+0 条记录输出 复制 11410432 字节(11 MB,11 MiB),0.0412053 秒,277 MB/s$ chmod a-w /home/kali/forensics/sdb.img # 移除对镜像的写访问权限 $ md5sum /home/kali/forensics/sdb.img /dev/sdb 6c49fb21916d59e0df69453959392e23 /home/kali/forensics/sdb.img 6c49fb21916d59e0df69453959392e23 /dev/sdb
枚举
图像分析
使用 文件 命令显示,映像使用的是 ext4 文件系统。
此外 统计 命令显示图像的相关信息,如大小、时间戳和块详细信息。
根据映像使用 ext4 的信息,运行 fsstat 命令可用于提取有关文件系统、元数据、内容数据和块组的更详细信息。恢复已删除的文件
$ fsstat -f ext4 sdb.img
文件系统信息
--------------------------------------------
文件系统类型:Ext4
卷名称:
卷 ID: dc8a4fb36dce8eabee4c51cf01c2d52a
最后写于2023-05-09 22:35:31 (edt) 最后检查时间2023-05-09 22:23:26 (edt)最后安装时间2023-05-09 22:24:27 (edt) 正确卸载 最后挂载于/mnt/secret源操作系统:Linux 动态结构 兼容功能日志、扩展属性、调整 Inode 大小、目录索引 内兼容功能文件类型、扩展、64 位、灵活的块组、 只读 Compat 功能稀疏超级、大文件、巨型文件、额外 Inode 大小期刊编号:00 日志 Inode:8元数据信息 -------------------------------------------- Inode 范围:1 - 2785 根目录: 2 可用 Inode: 2773 Inode 大小: 256内容信息 -------------------------------------------- 每个柔性组的块组数:16 数据块范围0 - 11139 块大小: 1024 区块组前的预留区块: 1 空闲区块9223区块组信息 -------------------------------------------- 块组数量: 2 每个组的 Inodes1392 每组块数8192组别0: 块组标志:[INODE_ZEROED] INODE_ZEROED Inode Range:1 - 1392 块范围:1 - 8192 布局: 超级块: 1 - 1 组描述符表: 2 - 2 组描述符增长块: 3 - 893 - 89 数据位图90 - 90 Inode 位图92 - 92 Inode 表94 - 441 未启动数据位图:92 - 105 非初始化 Inode 位图:94 - 107 无效 Inode 表790 - 5661 数据块5690 - 8192 可用 Inode: 1381 (99%) 可用数据块6365 (77%) 目录总数: 2 存储校验和:0x7DEB组别1: 块组标志:[Inode_uninit, inode_zeroed] Inode 范围: Inode_uninit, inode_zeroed Inode 范围:1393 - 2784 区块范围: 8193 - 11139 布局: 超级块: 8193 - 8193 组描述符表:8194 - 8194 组描述符增长块:8195 - 8281 数据位图91 - 91 Inode 位图93 - 93 节点表442 - 789 数据块8282 - 11139 可用 Inodes: 1392 (100%) 可用块: 2858 (96%) 目录总数0 存储校验和:0xDFA7
根据输出结果,块大小为 1024 位,共有 1113 个块,2785 个节点。
此外 离别 可以用来查找分区表的更多信息,这在使用手术刀时非常有用。
最后,运行 字符串 可以更清楚地了解文件系统中的内容。看来我的 secret.txt 文件的内容 你好,世界 从 字符串 命令。恢复已删除的文件
在命令中 strings -a --radix=d sdb.img, -a 是扫描整个文件的选项,而 --radix=d 讲述 字符串 来显示以 10 为基数找到的字符串的偏移量。恢复已删除的文件
分析文件
除了已删除的文件外,该镜像中目前没有任何文件,因此加载该镜像并分析文件并不能获得太多信息。如果需要,可以使用以下命令:
$ mount -o ro,loop,noexec,noatime sdb.img
下面,我将解释这些选项的作用:
-o:设置安装选项sdb.img.- 咆哮:将文件系统挂载为只读的选项
- 环在循环设备上加载文件系统
- 无执行:禁止执行
- noatime:不改变文件的访问时间
然后您可以继续运行 文件 上的文件,并保存其 md5 哈希值以验证完整性。恢复已删除的文件
恢复文件
方法 1:使用 侦探套装
通常情况下,如果您删除了文件,它们可能会显示为 fls sdb.img,用 istat -o sdb.img <inode_number并以 icat -o sdb.img.下图是后两个步骤的示例。
https://www.therootuser.com/wp-content/uploads/2017/11/Screenshot-2017-11-07-17.27.58.png
但我的情况似乎并非如此。我删除的文件没有出现在 fls 命令。相反,我看到一个名为 $OrphanFiles.恢复已删除的文件
$OrphanFiles 是指仍然存在于镜像中,但已无法从根目录访问的文件。 $OrphanFiles 并不是镜像上的实际目录,它是 Sleuth Kit 用来证明文件元数据仍然存在的虚拟方法("......")。阅读更多).
要恢复这些孤儿文件,我将尝试几种技术,首先是 删除.恢复已删除的文件
方法 2: 删除
该工具可用于恢复 ext3 和 ext4 文件系统上的文件。我在从 适切因此,我使用以下命令从源代码构建程序,使其再次运行:
apt update && apt install -y libext2fs-dev
git 复制 https://github.com/cherojeong/extundelete.git
./configure
使
src/extundelete --restore-all /path/to/image.img
注意:如果在运行 制作</em 于 src/insertionoops.cc 行,您可能需要替换 os << "Directory ACL: " << inode.i_dir_acl << std::endl; 与 os << "Directory ACL: " << inode.i_file_acl << std::endl;.
命令 extundelete --restore-all sdb.img 可用于恢复文件。
如上截图所示,该工具未能成功恢复孤儿文件。这仍然是一个可行的选项,可以在许多情况下使用,这也是我决定将其纳入本文的原因。
我还没有放弃。我们会再试一次!
方法 3: 测试磁盘
"(《世界人权宣言》) .tar.bz 文件可以下载 这里.我使用的是 7.2 版。请注意,为了 测试磁盘 必须在下载目录下运行才能正常工作。否则可能会出现以下错误 *** 在 `/path/to/testdisk-7.2-WIP/photorec_static'中出错: malloc():内存损坏:0x0000000002617d29 ***.
# 解压缩并运行文件
tar -xf testdisk-7.2-WIP.linux26-x86_64.tar.bz2
CD testdisk-7.2-WIP
./photorec_static /path/to/sdb.img /log
这时会出现一个帮助菜单。我首先选择要处理的图像。
然后,我选择媒体分区表选项。我的介质没有分区表,所以我选择了 "无"。我确认这是唯一能列出文件的选项。
然后,我导航到终端底部的 "列表 "选项,并按下 进入.
这让我看到了图像上的文件列表,其中成功恢复的文件位于 红 文本
正如你在截图中看到的,那里没有用红色列出的新文件。这意味着 测试磁盘 未能成功恢复被删除的文件。
没关系,我还有几招。
方法 4: 最重要的
安装 Foremost 时可以 适切.
sudo apt install foremost
该工具使用一种称为 锉雕 这需要搜索磁盘上的原始数据,并在文件头和/或文件脚之间刻出数值。
不过,我们还是通过以下方法从硬盘中恢复了一个被删除的图像文件 foremost -t jpeg -o recovered-files -i sdb.img.恢复后的图像在图像查看器中呈现出预期的效果。好漂亮的营火。
这种方法有效而前三种方法无效的事实进一步说明,在不同的情况下,不同的工具和技术在数据恢复方面会更有效。
值得一提的是,您还可以编辑 /etc/foremost.conf 文件,以包含您自定义的页眉和页脚。修改这些值将在下一个也是最后一个方法中探讨。
方法 5: 手术刀
手术刀与 Foremost 很相似,但灵活性更高。虽然有办法修改 Foremost,使其与 scalpel 提供的自定义功能相同,但您在文件类型和文件头方面没有那么多限制。
sudo apt install scalpel
cp /etc/scalpel/scalpel.conf .
vim scalpel.conf
我将根据所掌握的背景信息编辑配置。我知道我正在尝试恢复一个 JPEG 文件,我还知道有一个以 "Hello "开头的文本文件。通过使用 xxd,我可以确定一个 .txt 文件,以 "Hello "开头。在这种情况下,它应该是 \X48\X65\X6C\X6C\X6F.恢复已删除的文件
$ 回响 -n Hello | xxd
00000000: 4865 6c6c 6f 你好。
我们将利用这些信息更新 scalpel.conf 文件中的 vim.如配置文件顶部注释所述,第一列表示文件扩展名。第二列是页眉和页脚是否区分大小写,第三列是以十六进制字节为单位的页眉,第四列是可选的页脚,第五列是可选参数,用于从页眉向后搜索,而不只是向前搜索。恢复已删除的文件
设置这些选项后、 手术刀 现在可以运行它来从硬盘中提取这些文件。
手术刀 -已复原-手术刀 -c scalpel.conf sdb.img
文本文件似乎已成功恢复。
图像也已恢复。
结论
实现相同结果的方法有很多。这里展示的不同工具都有其特定的应用场合,它们在这些场合中表现最佳。尽管这里介绍的方法并不都适用于我的特定情况,但这并不意味着它们对你无效。决定文件恢复是否成功的因素有很多,包括分区表类型、文件被删除后的时间长短、文件大小(较小的文件更有可能被恢复)、存储设备的健康状况,以及删除文件后在硬盘上进行的操作(如重新格式化硬盘)。恢复已删除的文件
我希望通过阅读本文,你能加深对文件恢复的理解,并获得可以在现实世界中应用的实用知识。感谢您的阅读,我们下次再见。
非常好 https://is.gd/N1ikS2
非常好 https://is.gd/N1ikS2
良好 https://is.gd/N1ikS2
通过此平台探索爱彼皇家橡树离岸型15710ST腕表的详细信息,包括不锈钢款式从$34,566到$36,200不等的价格趋势。
这款 42 毫米时计设计坚固,采用精钢打造,具有机械精度和防水性能。
https://ap15710st.superpodium.com
查看二级市场数据,限量版和 20 世纪 70 年代的稀有参考资料均可获得溢价。
实时更新可用性、规格和转售性能,并进行价格比较,以便做出明智决策。
Drive sales and watch your affiliate earnings soar! https://shorturl.fm/483So
Rolex Submariner, выпущенная в 1954 году стала первой дайверской моделью, выдерживающими глубину до 100 метров .
Модель имеет 60-минутную шкалу, Oyster-корпус , обеспечивающие безопасность даже в экстремальных условиях.
Дизайн включает светящиеся маркеры, черный керамический безель , подчеркивающие спортивный стиль.
Наручные часы Rolex Submariner обзор
Автоподзавод до 3 суток сочетается с перманентной работой, что делает их надежным спутником для активного образа жизни.
За десятилетия Submariner стал символом часового искусства, оцениваемым как коллекционеры .
Le fēnix® Chronos de Garmin représente un summum de luxe avec un design élégant et capteurs multisports.
Adaptée aux activités variées, elle propose une polyvalence et durabilité extrême, idéale pour les aventures en extérieur grâce à ses modes sportifs.
Avec une batterie allant jusqu’à 6 heures , cette montre s’impose comme une solution fiable , même lors de sessions prolongées .
https://www.garmin-boutique.com/forerunner/forerunner-245-music-noire.aspx
Les fonctions de santé incluent la surveillance du sommeil , accompagnées de conseils d’entraînement personnalisés, pour les amateurs de fitness .
Intuitive à utiliser, elle s’adapte à vos objectifs, avec un écran AMOLED lumineux et compatibilité avec les apps mobiles .
La gamme MARQ® de Garmin est un modèle haut de gamme avec des finitions raffinées et fonctionnalités GPS intégrées .
Conçue pour les sportifs , elle allie robustesse et durabilité extrême, idéale pour les aventures en extérieur grâce à ses modes sportifs.
Grâce à son autonomie allant jusqu’à 6 heures , cette montre s’impose comme une solution fiable , même lors de activités exigeantes.
https://garmin-boutique.com/fenix-5
Les fonctions de santé incluent le comptage des calories brûlées, accompagnées de conseils d’entraînement personnalisés, pour les utilisateurs exigeants.
Facile à personnaliser , elle s’adapte à vos objectifs, avec un écran AMOLED lumineux et synchronisation sans fil.
I once saw medications as lifelines, relying on them without hesitation whenever discomfort arose. Yet, as experiences piled up, revealing how these aids often numbed the symptoms, prompting me to delve deeper into what wellness truly entails. It stirred something primal, illuminating that mindful engagement with treatments fosters genuine recovery, rather than suppressing it.
During a stark health challenge, I hesitated before the usual fix, uncovering hidden layers that wove lifestyle shifts into medical wisdom. I unearthed a new truth: true mending demands awareness, where overdependence dulls our senses. Now, I navigate this path with gratitude to embrace a fuller perspective, viewing remedies as partners in the dance.
Looking deeper, I’ve grasped that interventions must uplift our journey, free from dominating our narrative. It’s a tapestry of growth, inviting us to question entrenched patterns for richer lives. And if I had to sum it all up in one word: difference between valacyclovir and acyclovir