Scalpel-Systemwiederherstellungstool hat Dateien und Ordner unter Linux gelöscht. Dieses Tool wird verwendet, um Systemdateien wiederherzustellen, es ist ein Open-Source-Tool für Linux-Betriebssysteme. Für die Wiederherstellung gelöschter Daten ist es in erster Linie eine aktualisierte Abzweigung, die jedoch schneller und effizienter bei der Verfolgung und Suche nach Dateimustern ist.
Scalpel verwendet eine Datenbank, die bekannte Datei-Byte-Muster speichert und gelöschte Dateien identifiziert und sofort wiederherstellt. Es kommt oft vor, dass versehentlich oder Systemfehler Informationen aus wichtigen Dateien oder Ordnern angefordert werden. Scalpel ist ein Tool, mit dem wir Informationen wiederherstellen können, die Sie möglicherweise gelöscht haben. Wenn wir Informationen löschen, entfernt das Betriebssystem normalerweise nur die Metadaten der Datei, wie z. B. Dateiname, Eigentümer und Speicherort. Benutzerdaten verbleiben auf dem Speichermedium, bis sie überschrieben werden.
Scalpel analysiert eine Festplatte oder ein Speichergerät auf der Suche nach Bytemustern, die auf die Dateikopfzeilen und Dateifußzeilen reagieren, und versucht auf diese Weise, die zur Datei gehörenden Daten wiederherzustellen. Scalpel kann verschiedene Dateitypen erkennen. Dazu unterstützt es verschiedene Festplattenstrukturen und Dateiformate, es verwendet eine Datenbank mit Kopf- und Fußzeilen von Dateien mit Ausdrucksregeln, um zu erkennen, welches Format wiederhergestellt werden kann.
Viele Distributionen haben Scalpel in ihren Repositorys, obwohl es eine gute Idee ist, Scalpel auf dem neuesten Stand zu halten, um neue reguläre Ausdrücke für Dateikopf- und -fußzeilen hinzuzufügen. Skalpell bietet Hochgeschwindigkeits-Scanleistung, liest es während des Crawlens eine Kopf- und Fußzeilendatenbank mit Dateiformaten und extrahiert Dateien, die zwischen einer Reihe von Definitionen und regulären Ausdrücken von einem Gerät übereinstimmen.
Scalpel unterstützt Festplattenformate von FAT, NTFS, ext2 oder Raw-Partitionen. Es ist sowohl für die digitale forensische Untersuchung als auch für die Dateiwiederherstellung nützlich. Dieses Tool ist Teil von Seulkit, das sich in Autopsy integriert, das wir im Tutorial zur forensischen Analyse von Festplatten und Partitionen mit Autopsy gesehen haben.
Um es zu installieren, können wir zu einem Terminalfenster gehen und den folgenden Code schreiben:
sudo apt-get Skalpell installieren
Als nächstes müssen wir Skalpell konfigurieren dazu können wir die Installationsdatei mit dem folgenden Befehl finden:
wo ist skalpell
Als nächstes öffnen wir die Datei mit einem Texteditor wie nano oder vi. Standardmäßig werden alle Ausdruckszeilen in der Konfigurationsdatei mit # kommentiert. In der Konfigurationsdatei skalpell.conf, gibt es einige Zeilen, die die Dateitypen enthalten, die wir wiederherstellen können. Zum Beispiel jpg.webp, png, doc usw.
AufmerksamkeitBevor Sie Scalpel ausführen, müssen Sie das Dateiformat, das Scalpel wiederherstellen soll, auskommentieren.
Hier kommentieren wir die Dateierweiterungen, nach denen Scalpel suchen soll. Wenn sie nicht kommentiert sind, werden diese Dateien ignoriert.
Ein wichtiger Schritt, wenn wir bei der Ausführung einen Fehler finden, müssen wir das manuell erstellen /et/Skalpell-Ordner und kopiere die skalpell.conf-Datei.
Als nächstes führen wir Skalpell aus seinem Ordner aus und geben den Ordner an, in dem die wiederhergestellten Dateien gespeichert werden.
skalpell -c /etc/scalpel/scalpel.conf / dev / sda -o test
Auf dem Bild können wir sehen, wie 16 GB auf nur 3% der gesamten Festplatte wiederhergestellt wurden. Der Parameter -o wird ausgegeben, er gibt ein Ausgabeverzeichnis an, in das Sie die gelöschten Dateien wiederherstellen möchten. Wir müssen überprüfen, ob dieses Verzeichnis leer ist, bevor Sie einen Befehl ausführen, andernfalls erhalten wir einen Fehler.
Scalpel startet den Scanvorgang und je nach Festplatten- oder Gerätespeicherplatz, den Sie scannen und wiederherstellen möchten, kann die Wiederherstellung der gelöschten Dateien lange dauern.
Wenn wir Daten von einem USB-Stick oder einem externen Gerät wiederherstellen möchten, müssen wir wissen, welche Partition durch das fdsik-BefehlWenn es sich um einen USB-Stick oder Flash-Speicher handelt, wird er im Allgemeinen als sdb-Partition gespeichert.
skalpell -c /etc/scalpel/scalpel.conf / dev / sdb -o recu
Im Ordner wird eine Datei namens audit.txt gespeichert, die Informationen über den gesamten Vorgang und die wiederhergestellten Dateien enthält.
In diesem Fall können wir sehen, dass die PNG-Dateien vom USB-Stick wiederhergestellt wurden und in dem Ordner verfügbar sind, den wir recu nennen. Eines der Dienstprogramme von Scalpel besteht darin, den Inhalt eines defekten oder fehlerhaften externen USB-Geräts zu kopieren und ein img- oder dd-Disk-Image zu erstellen, damit wir es dann von einer anderen Software aus sehen oder einhängen können.
skalpell -c -c /etc/scalpel/scalpel.conf / dev / sdb -o wiederhergestellt.ddSkalpell ist ideal für die Serverarbeit mit Centos um Dateien aus dem Terminalfenster aus der Ferne abzurufen. Scalpel funktioniert auf anderen serverorientierten Linux-Distributionen, einschließlich:
- Roter Hut
- Fedora
- Debian.
Einer der Nachteile von Scalpel besteht darin, dass Sie die Struktur einer Festplatte oder eines Speichergeräts und die Befehle zur Verwaltung ihrer Partitionen sowie die Funktionsweise des Dateisystems sehr gut kennen müssen.
Jede gelöschte Datei bleibt irgendwo auf Ihrer Festplatte. als Betriebssystem dasjenige ist, das einen Zeiger auf die Liste der Blöcke des Speichergeräts verwaltet, das die Daten der Dateien enthält,
Normalerweise haben wir in Windows viele sehr einfache Tools wie Recuva, die verwendet werden, um verlorene Daten wiederherzustellen, aber in Linux nur wenige, wenn wir sie auf Serverebene mit Sicherheit verwenden möchten.
Scalpel läuft durch die gesamte Festplatte, funktioniert sehr gut mit externen Speichergeräten und stellt verlorene Dateien nach regulären Ausdrücken wieder her, was es sehr vielseitig macht.
