Lo strumento di ripristino del sistema Scalpel ha eliminato file e cartelle su Linux. Questo strumento viene utilizzato per recuperare i file di sistema, è uno strumento open source per i sistemi operativi Linux. Per il recupero dei dati cancellati è un fork aggiornato in primis, anche se più veloce ed efficiente nel tracciamento e nella ricerca di modelli di file.
Scalpel utilizza un database che memorizza modelli di byte di file noti e identifica i file eliminati e li recupera all'istante. Molte volte capita che per errore o per errori di sistema vengano richieste informazioni da file o cartelle importanti. Il bisturi è uno strumento che ci consente di ripristinare le informazioni che potresti aver cancellato. Quando eliminiamo le informazioni, il sistema operativo di solito rimuove solo i metadati del file, come nome file, proprietario e posizione. I dati dell'utente rimangono sul supporto di memorizzazione fino a quando non vengono sovrascritti.
Scalpel analizza un disco o un dispositivo di archiviazione alla ricerca di pattern di byte che rispondano alle intestazioni e ai piè di pagina dei file, in questo modo tenterà di recuperare i dati appartenenti al file. Il bisturi è in grado di rilevare vari tipi di file. Supporta diverse strutture del disco e formati di file per questo, utilizza un database con intestazioni e piè di pagina di file con regole di espressione per rilevare quale formato può recuperare.
Molte distribuzioni hanno Scalpel nei loro repository, anche se è una buona idea mantenere Scalpel aggiornato per aggiungere nuove espressioni regolari per le intestazioni e i piè di pagina dei file. Il bisturi offre prestazioni di scansione ad alta velocità, durante la scansione legge un database di intestazione e piè di pagina dei formati di file ed estrae i file che corrispondono a un insieme di definizioni ed espressioni regolari da un dispositivo.
Scalpel supporta i formati del disco da partizioni FAT, NTFS, ext2 o raw. È utile sia per le indagini forensi digitali che per il recupero di file. Questo strumento fa parte di Seulkit che si integra con Autopsy che abbiamo visto nel tutorial sull'analisi forense di hard disk e partizioni con Autopsy.
Per installarlo possiamo andare in una finestra di terminale e scrivere il seguente codice:
sudo apt-get install bisturi
Poi dobbiamo configurare il bisturi per questo possiamo individuare il file di installazione utilizzando il seguente comando:
dov'è il bisturi?
Quindi apriamo il file con un editor di testo come nano o vi. Per impostazione predefinita, tutte le righe di espressione sono commentate con # nel file di configurazione. Nel file di configurazione bisturi.conf, ci sono alcune righe che contengono i tipi di file che possiamo recuperare. Ad esempio jpg.webp, png, documento, ecc.
AttenzionePrima di eseguire Scalpel dobbiamo decommentare il formato di file che vogliamo che Scalpel recuperi.
Qui decommentiamo le estensioni di file che vogliamo che Scalpel cerchi, se non sono commentate, questi file verranno ignorati.
Un passaggio importante, se troviamo un errore durante l'esecuzione dobbiamo creare manualmente il / et / cartella bisturi e all'interno copia il file scalpel.conf.
Successivamente eseguiamo bisturi dalla sua cartella, indichiamo la cartella in cui vengono salvati i file recuperati.
bisturi -c /etc/scalpel/scalpel.conf / dev / sda -o test
Nell'immagine possiamo vedere come sono stati recuperati 16 GB in appena il 3% del disco totale. Il parametro -o viene emesso, indica una directory di output, in cui si desidera ripristinare i file eliminati. Dobbiamo verificare che questa directory sia vuota prima di eseguire qualsiasi comando, altrimenti ci darà un errore.
Scalpel avvierà il processo di scansione e, a seconda dello spazio su disco o dispositivo che si sta tentando di eseguire la scansione e il ripristino, potrebbe essere necessario molto tempo per recuperare i file eliminati.
Se vogliamo recuperare i dati da una pendrive o da un dispositivo esterno dobbiamo sapere quale è la partizione tramite il comando fdsikSe si tratta di una pendrive o di una memoria flash, generalmente si troverà come partizione sdb.
bisturi -c /etc/scalpel/scalpel.conf / dev / sdb -o recu
All'interno della cartella viene salvato un file chiamato audit.txt, che contiene informazioni sull'intero processo e sui file recuperati.
In questo caso, possiamo vedere che i file png sono stati recuperati dalla pendrive e li abbiamo disponibili nella cartella che chiamiamo recu. Una delle utilità di Scalpel è copiare il contenuto di un dispositivo esterno USB rotto o difettoso e creare un'immagine del disco img o dd, così poi possiamo vederlo da altri software o montarlo, il codice per generare l'immagine del disco è il seguente:
bisturi -c -c /etc/scalpel/scalpel.conf / dev / sdb -o recuperato.ddScalpel è l'ideale per lavorare con i server con Centos per recuperare i file dalla finestra del terminale in remoto. Scalpel funziona su altre distribuzioni Linux orientate al server, tra cui:
- Cappello rosso
- Fedora
- Debian.
Uno degli svantaggi di Scalpel è che devi conoscere molto bene com'è la struttura di un disco o di un dispositivo di archiviazione e i comandi per gestire le sue partizioni, nonché come funziona il file system.
Ogni file cancellato rimane da qualche parte sul tuo disco rigido. essendo il sistema operativo quello che mantiene un puntatore all'elenco dei blocchi del dispositivo di memorizzazione che contiene i dati dei file,
Normalmente in Windows abbiamo molti strumenti molto semplici da usare come Recuva che serve per recuperare i dati persi, ma in Linux solo pochi se vogliamo usarlo a livello di server con sicurezza.
Scalpel attraversa l'intero disco rigido, funziona molto bene con dispositivi di archiviazione esterni e recupera i file persi secondo le espressioni regolari, il che lo rende molto versatile.