January 31
Ad un certo punto, tutti elimina accidentalmente la foto sbagliata fuori la scheda di memoria della fotocamera, perde i file importanti da una pen drive, o si svuota il cestino appena prima di rendersi conto che c'era qualcosa di importante in esso. Anche se non tutto eliminato è recuperabile, liberamente disponibili forensi Linux strumenti quali il Sleuth Kit può aiutare a identificare ciò che hai perso e forse aiutare a ottenere quei file indietro.
1 Scaricare e installare The Sleuth Kit (TSK) utilizzando il sistema di gestione dei pacchetti della vostra distribuzione Linux o dalla riga di comando digitando: "sudo apt-get install sleuthkit" (o il comando equivalente per la versione di Linux).
Se Sleuth Kit non è disponibile dal repository, è possibile scaricarlo dal kit home page di Sleuth e installarlo seguendo le istruzioni fornite.
2 Identificare la partizione o dispositivo che si desidera recuperare i file da. Se si conosce il punto di montaggio, questo sarà sufficiente. In caso contrario, eseguire "montare -l" dalla riga di comando per ottenere un elenco di tutti i dispositivi montati ed i loro punti di montaggio. La posizione del dispositivo avrà un aspetto simile: "/ dev / sdb1." Avrete bisogno di questo nei passaggi successivi.
3 Identificare il file system utilizzato dal dispositivo. Digitare "sudo df -T <posizione del dispositivo>" dalla riga di comando.
Quando si conosce il tipo di file system, eseguire "elenco fls -f" per trovare la parola chiave Kit Sleuth utilizza per questo file system. Per il grasso, ext, e file system UFS, utilizzare la parola chiave di rilevamento automatico di avere Sleuth Kit funzionato le specifiche.
4 Genera un log dei file cancellati eseguendo il seguente dalla riga di comando: "sudo fls -f <file system parola chiave> -d -r -v -p <device / partizione posizione>> <file di scrivere a>." Ad esempio, un recupero ext3 / dev / sdb1 scrivendo al deleted_files.txt sul desktop sarà simile: "sudo fls -f ext -d -r -v -p / dev / sdb1> ~ / Desktop / deleted_files.txt. "
Con questo comando, si indica FLS per trovare file cancellati (-D), in modo ricorsivo visualizzare le directory (-r), mostrare il percorso completo dei file (-P), e per l'esecuzione in modalità dettagliata (-v) in modo da poter vedere cosa succede.
Tenete a mente che questo comando esegue la scansione di un intero partizione, quindi grandi partizioni o dispositivi possono richiedere un certo tempo per essere completato.
5 Leggi l'elenco generato dei file eliminati. Ci sono tre colonne importanti si dovrebbe prestare attenzione. La prima mostra se il file è un file regolare (R) o una directory (d). Il secondo è il inode in cui si trova il file (avrete bisogno di questo se si desidera ripristinare il file). L'ultima colonna è il nome del file eliminato.
6 (Opzionale) Recuperare i file. Una volta che avete un elenco di file eliminati e le loro corrispondenti inode, è possibile ripristinare singoli file utilizzando lo strumento icat inclusi con Sleuth Kit.
È sufficiente digitare quanto segue dalla riga di comando: "sudo icat -f <parola chiave del file system> -r -s <posizione del dispositivo / partizione> <inode>> <output di destinazione>."
La destinazione di uscita è dove il file recuperato verrà scritto. Esso dovrebbe includere sia la directory (che dovrebbe essere su un dispositivo o una partizione diversa da quella contenente il file eliminato) e il nuovo nome, che può o non può essere lo stesso del file eliminato.