ubiquitour.com

Cómo obtener una lista de archivos borrados en Linux

Cómo obtener una lista de archivos borrados en Linux

En algún momento, todos accidentalmente borra la foto mal desactivado tarjeta de memoria de la cámara, pierde archivos importantes de una unidad o vacía la papelera justo antes de darse cuenta de que algo importante en ella. Mientras que no todo lo borra es recuperables, libremente disponibles herramientas de análisis forense de Linux tales como The Sleuth Kit puede ayudar a identificar lo que has perdido y tal vez le ayudan a conseguir los archivos.

Instrucciones

Crear lista de archivos eliminados

1 Descargar e instalar The Sleuth Kit (TSK) utilizando el sistema de gestión de paquetes de tu distribución de Linux o de la línea de comandos escribiendo: "sudo apt-get install sleuthkit" (o el comando equivalente para la versión de Linux).

Si Sleuth Kit no está disponible desde los repositorios, puede descargar desde la Página principal de The Sleuth Kit e instalarlo con las instrucciones proporcionadas.

2 Identificar la partición o dispositivo que desea recuperar archivos desde. Si conoces el Monte punto, esto será suficiente. De lo contrario, ejecute "Monte -l" de la línea de comandos para obtener una lista de todas los dispositivos y sus puntos de montaje. La ubicación del dispositivo se verá algo como: "/ dev/sdb1." Usted necesitará realizar los siguientes pasos.

3 Identificar el sistema de archivos utilizado por el dispositivo. Tipo "sudo df -T < ubicación del dispositivo >" de la línea de comandos.

Una vez que sabes el tipo de sistema de archivo, ejecutar "lista de fls -f" para buscar la palabra clave Sleuth Kit utiliza para eso sistema de ficheros. Grasa, ext y ufs sistemas de archivos, utilice la palabra clave de Auto detección Sleuth Kit trabajo hacia fuera los detalles.

4 Generar un registro de archivos eliminados ejecutando lo siguiente desde la línea de comando: "sudo fls -f < archivo clave de sistema > -d - r - v -p < ubicación de dispositivo/partición >>< archivo escribir a >." Por ejemplo, sería una recuperación de ext3/dev/sdb1 escribiendo a deleted_files.txt en el escritorio: "sudo fls -f ext -d - r - v -p/dev/sdb1 > ~ / Desktop/deleted_files.txt."

Con este comando, usted está diciendo fls a encontrar eliminada archivos (-d), pantalla directorios de forma recursiva (-r), Mostrar la ruta completa de los archivos (-p) y se ejecute en modo verbose (-v) para que pueda ver lo que está sucediendo.

Tenga en cuenta que este comando explorará una partición entera, para que grandes particiones o dispositivos pueden tomar un tiempo para completar.

5 Lea la lista de archivos borrados. Hay tres columnas importantes que usted debe prestar atención a. El primero muestra si el archivo es un archivo regular (r) o un directorio (d). El segundo es el inodo donde existe el archivo (necesitarás esto si desea recuperar el archivo). La última columna es el nombre de los archivos borrados.

6 (Opcional) Recuperar archivos. Una vez que tienes una lista de archivos eliminados y sus correspondientes nodos, puede recuperar archivos individuales utilizando la herramienta de icat incluida con el Kit de detective.

Simplemente escriba lo siguiente desde la línea de comando: "sudo icat -f < archivo clave de sistema > - r -s < ubicación de dispositivo/partición >< inodo >>< destino de salida >."

El destino de salida es donde se escribirá el archivo recuperado en. Debe incluir el directorio (que debe ser en un dispositivo o partición distinta de la que contiene el archivo eliminado) y el nuevo nombre de archivo, que puede o no ser igual que los archivos borrados.

Consejos y advertencias

  • Si va a hacer tareas forenses más extensivas, considere hacer un reflejo de la partición o el dispositivo que desea trabajar con y trabajar con esa imagen para eliminar cualquier riesgo de pérdida de datos. El comando dd es muy útil para crear imágenes de disco.