forensisch onderzoek

Gereedschap voor het snijden van bestanden

Gereedschap voor het snijden van bestanden
op computers, bestand snijwerk bestaat uit het herstellen en opnieuw opbouwen, reconstrueren of opnieuw samenstellen van gefragmenteerde bestanden nadat een schijf is geformatteerd, het bestandssysteem of de partitie is beschadigd of beschadigd of de metagegevens van een bestand zijn verwijderd. Alle bestanden bevatten metadata, metadata betekent: “gegevens die informatie geven over andere gegevens”. Naast meer informatie bevatten bestandsmetadata de locatie en structuur van een bestand binnen het bestandssysteem en fysieke blokken.  File Carving bestaat uit het terughalen van bestanden, zelfs als hun metadata met de informatie over hun locatie binnen het bestandssysteem niet beschikbaar is.

Dit artikel beschrijft enkele van de meest populaire beschikbare File Carving Tools voor Linux, waaronder PhotoRec, Scalpel, Bulk Extractor met Record Carving, Foremost en TestDisk.

PhotoRec Carving Tool

Met Photorec kunt u media, documenten en bestanden herstellen van harde schijven, optische schijven of camerageheugens. PhotoRec probeert het bestandsgegevensblok te vinden van het superblok voor Linux-bestandssystemen of van het volume-opstartrecord voor WIndows-bestandssystemen. Als dit niet mogelijk is, zal de software blok voor blok controleren en het vergelijken met de database van PhotoRec. Het controleert op alle blokken, terwijl andere tools alleen het begin of einde van een header controleren, daarom zijn de prestaties van PhotoRec niet de beste in vergelijking met tools die verschillende carving-methoden gebruiken, zoals het zoeken naar blockheaders, maar PhotoRec is misschien de tool voor het snijden van bestanden met betere resultaten in deze lijst, als tijd geen probleem is, is PhotoRec de eerste aanbeveling.

Als PhotoRec erin slaagt om de bestandsgrootte uit de bestandskop te halen, zal het het resultaat van herstelde bestanden vergelijken met de kop die onvolledige bestanden weggooit. Toch zal PhotoRec indien mogelijk gedeeltelijk herstelde bestanden achterlaten, bijvoorbeeld in het geval van mediabestanden.

PhotoRec is Open Source en is beschikbaar voor Linux, DOS, Windows en MacOS, je kunt het gratis downloaden van de officiële website op https://www.cgbeveiliging.org/.

Scalpel snijgereedschap:

Scalpel is een ander alternatief voor het snijden van bestanden, beschikbaar voor zowel Linux als Windows OS. Scalpel maakt deel uit van The Sleuth Kit beschreven op:  Live forensische tools artikel. Het is sneller dan PhotoRec en het is een van de snellere tools voor het snijden van bestanden, maar zonder dezelfde prestaties als PhotoRec. Het zoekt op kop- en voettekstblokken of clusters. Een van de functies is multithreading voor multicore-CPU's, asynchrone I/O die de prestaties verhoogt. Scalpel wordt zowel gebruikt in professioneel forensisch onderzoek als in gegevensherstel, het is compatibel met alle bestandssystemen.

U kunt Scalpel krijgen voor het snijden van bestanden door in de terminal uit te voeren:

# git kloon https://github.com/speurneus/scalpel.git

Voer de installatiemap in met het commando CD (Directory wijzigen):

# cd scalpel

Om het te installeren, voer je uit:

# ./bootstrap
#  ./configureren
# maken

Op op Debian gebaseerde Linux-distributies zoals Ubuntu of Kali kunt u scalpel installeren vanuit de apt-pakketbeheerder door het volgende uit te voeren:

# sudo apt scalpel installeren

Configuratiebestanden bevinden zich mogelijk op /etc/scalpel/scalpel.conf' of /etc/scalpel.conf afhankelijk van je Linux-distributie. U kunt Scalpel-opties vinden in de man-pagina of online op https://linux.dood gaan.net/man/1/scalpel.

Concluderend is Scalpel sneller dan PhotoRect, wat betere resultaten heeft bij het herstellen van bestanden, de volgende tool is BulkExtractor With Record Carving.

Bulk Extractor met Record Carving Tool:

Net als de eerder genoemde tools is Bulk Extractor met Record Carving multi-thread, het is een verbetering van de vorige versie "Bulk Extractor". Het maakt het mogelijk om alle soorten gegevens te herstellen van bestandssystemen, schijven en geheugendump. Bulk Extractor met Record Carving kan worden gebruikt om andere scanners voor bestandsherstel te ontwikkelen. Het ondersteunt extra plug-ins die kunnen worden gebruikt voor carven, maar niet voor parsing. Deze tool is zowel beschikbaar in tekstmodus voor gebruik vanaf terminal als in een grafische gebruiksvriendelijke interface.

Bulk Extractor met Record Carving kan worden gedownload van de officiële website op: https://www.Kazamiya.net/nl/bulk_extractor-rec.

Belangrijkste snijgereedschap:

Foremost is misschien, samen met PhotoRect een van de meest populaire carving-tools die beschikbaar zijn voor Linux en in de markt in het algemeen, een curiositeit is dat het oorspronkelijk werd ontwikkeld door de US Air Force. Foremost presteert sneller in vergelijking met PhotoRect, maar PhotoRec is beter in het herstellen van bestanden. Er is geen grafische omgeving voor Foremost, het wordt gebruikt vanaf de terminal en zoekt op kop-, voetteksten en gegevensstructuur.  Het is compatibel met afbeeldingen van andere tools zoals dd of Encase voor Windows.

Foremost ondersteunt elk type bestandscarving inclusief: jpg, gif, png, bmp, avi, exe, mpg, wav, riff, wmv, bewegen, pdf, ole, doc, zip, zeldzaam, htm, en cpp. Foremost wordt standaard geleverd in forensische distributies en is gericht op beveiliging zoals Kali Linux met een suite voor forensische tools.

Op debian-systemen kan Foremost worden geïnstalleerd met behulp van de APT-pakketbeheerder, op Debian of gebaseerde Linux-distributierun:

# sudo apt eerst installeren

Controleer na installatie de man-pagina voor beschikbare opties of kijk online op https://linux.dood gaan.netto/man/1/vooral.
Ondanks dat het een tekstmodusprogramma is, is Foremost eenvoudig te gebruiken voor het snijden van bestanden.

Testschijf:

TestDisk is onderdeel van PhotoRec, het kan partities repareren en herstellen, FAT32 opstartsectoren, het kan ook NTFS en Linux ext2, ext3, ext3 bestandssystemen repareren en bestanden herstellen van al deze partitietypes. TestDisk kan zowel door experts als door nieuwe gebruikers worden gebruikt, waardoor het proces voor het herstellen van bestanden gemakkelijk is voor binnenlandse gebruikers, het is beschikbaar voor Linux, Unix (BSD en OS), MacOS, Microsoft Windows in al zijn versies en DOS.

TestDisk kan worden gedownload van de officiële website (die van PhotoRec) op: https://www.cgbeveiliging.org/wiki/TestDisk.

PhotoRect heeft een testomgeving voor u om het snijden van bestanden te oefenen, u kunt toegang krijgen op: https://www.cgbeveiliging.org/wiki/TestDisk_and_PhotoRec_in_various_digital_forensics_testcase#Test_your_knowledge.

De meeste van de hierboven genoemde tools zijn opgenomen in de meest populaire Linux-distributies gericht op computer forensisch onderzoek, zoals Deft/Deft Zero live forensic tool, CAINE live forensic tool en waarschijnlijk ook op Santoku live forensic, bekijk deze lijst voor meer informatie https://linuxhint.com/live_forensics_tools/.

Ik hoop dat je deze tutorial over File Carving Tools nuttig vond. Blijf Linux volgen Hint voor meer tips en updates over Linux en netwerken.

Spellen Top 5 Game Capture-kaarten
Top 5 Game Capture-kaarten
We hebben allemaal gezien en genoten van streaming gameplays op YouTube. PewDiePie, Jakesepticye en Markiplier zijn slechts enkele van de beste gamers...
Spellen Hoe een spel op Linux te ontwikkelen
Hoe een spel op Linux te ontwikkelen
Tien jaar geleden zouden niet veel Linux-gebruikers voorspellen dat hun favoriete besturingssysteem ooit een populair spelplatform voor commerciële vi...
Spellen Open source-poorten van commerciële game-engines
Open source-poorten van commerciële game-engines
Gratis, open source en platformonafhankelijke game-engine-recreaties kunnen worden gebruikt om zowel oude als enkele van de vrij recente gametitels te...