Herramientas de talla de archivos

En computadoras, talla de archivos consiste en recuperar y reconstruir, reconstruir o volver a montar archivos fragmentados después de que se formatea un disco, su sistema de archivos o partición corrupta o dañado o los metadatos de un archivo eliminado. Todos los archivos contienen metadatos, metadatos significa: "datos que proporcionan información sobre otros datos". Entre más información, los metadatos de archivos contienen la ubicación y la estructura de un archivo dentro del sistema de archivos y los bloques físicos. La talla de archivos consiste en traer archivos incluso si sus metadatos con la información de su ubicación dentro del sistema de archivos no están disponibles.

Este artículo describe algunas de las herramientas de tallado de archivos disponibles más populares para Linux, incluidos Photorec, Scalpel, Bulk Extractor con Tallado de registros, Destino y TestDisk.

Herramienta de tallado de fotorec

Photorec le permite recuperar medios, documentos y archivos de discos duros, discos ópticos o recuerdos de la cámara. Photorec intenta encontrar el bloque de datos del archivo desde el Superblock para los sistemas de archivos de Linux o desde el registro de arranque de volumen para los sistemas de archivos de Windows. Si no es posible, el software verifica el bloque al compararlo con una base de datos de Photorec. Verifica todos los bloques, mientras que otras herramientas solo verifican el inicio o el final de un encabezado, es por eso que el rendimiento de Photorec no es el mejor en comparación con las herramientas que usan diferentes métodos de talla como la búsqueda de encabezado de bloque, pero Photorec es quizás la herramienta de talla de archivos Con mejores resultados en esta lista, si el tiempo no es un problema, Photorec es la primera recomendación.

Si Photorec se las arregla para recopilar el tamaño del archivo del encabezado del archivo, comparará el resultado de los archivos recuperados con el encabezado que descarta archivos incompletos. Sin embargo, Photorec dejará archivos recuperados parciales cuando sea posible, por ejemplo, en el caso de los archivos multimedia.

Photorec es de código abierto y está disponible para Linux, DOS, Windows y MacOS, puede descargarlo de forma gratuita de su sitio web oficial en https: // www.CGSECURIDAD.org/.

Herramienta de tallado de bisturí:

Scalpel es otra alternativa para la talla de archivos disponible para Linux y Windows OS. Scalpel es parte del kit de detective descrito en el artículo de Live Forensic Tools. Es más rápido que Photorec y se encuentra entre las herramientas de talla de archivos más rápidas, pero sin el mismo rendimiento de Photorec. Busca en los bloques o clústeres de encabezado y pie. Entre sus características hay múltiples lecturas para las CPU multinúcleo, el rendimiento asincrónico de E/S aumenta. El balpel se usa tanto en forense profesional como en recuperación de datos, es compatible con todos los sistemas de archivos.

Puede obtener el bisturí para tallar archivos ejecutándose en el terminal:

# clon git https: // github.com/sleuthkit/escaloillo.git

Ingrese el directorio de instalación con el comando cd (Cambio de directorio):

# CD SCALPEL

Para instalarlo Ejecutar:

# ./oreja
# ./Configurar
# hacer

En las distribuciones de Linux con sede en Debian, como Ubuntu o Kali, puede instalar bisturí desde el Administrador de paquetes APT ejecutando:

# SUDO APT INSTALL SCALPEL

Los archivos de configuración pueden ser en/etc/scalpel/scalpel.conf 'o /etc /bisturí.Confepante de su distribución de Linux. Puede encontrar opciones de bisturí en la página del hombre o en línea en https: // Linux.morir.net/hombre/1/bisturí.

En conclusión, Scalpel es más rápido que Photorect, que tiene resultados de Bette al recuperar archivos, la siguiente herramienta es BulKExtractor con tallado de registros.

Extractor a granel con herramienta de talla de registros:

Al igual que las herramientas mencionadas anteriormente, el extractor a granel con tallado de registros es múltiple hilo, es una mejora de la versión anterior "Extractor a granel". Permite recuperar cualquier tipo de datos de los sistemas de archivos, discos y volcado de memoria. El extractor a granel con talla de registros se puede utilizar para desarrollar otros escáneres de recuperación de archivos. Admite complementos adicionales que se pueden usar para la talla, pero no para analizar. Esta herramienta está disponible tanto en el modo de texto para ser utilizado desde el terminal y una interfaz gráfica fácil de usar.

El extractor a granel con talla de registros se puede descargar desde su sitio web oficial en https: // www.kazamiya.net/en/bulk_extractor-recec.

La herramienta de talla principal:

Quizás lo es quizás, junto con Photorect una de las herramientas de talla más populares disponibles para Linux y en el mercado en general, una curiosidad es que fue desarrollada inicialmente por la Fuerza Aérea de los Estados Unidos. Foremost tiene un rendimiento más rápido en comparación con Photorect, pero Photorec está recuperando mejor archivos. No hay un entorno gráfico para la mayoría, se usa desde el terminal y busca en encabezados, pies de página y estructura de datos. Es compatible con imágenes de otras herramientas como DD o Encase para Windows.

El principal admite cualquier tipo de talla de archivos, incluida JPG, gif, png, BMP, avi, exe, mpg, wav, riff, WMV, mudanza, pdf, viejo, doc, cremallera, rar, htm, y CPP. Foremost viene de forma predeterminada en distribuciones forenses y seguridad orientadas a la seguridad como Kali Linux con una suite para herramientas forenses.

En Debian Systems, se puede instalar utilizando el Administrador de paquetes APT, en la ejecución de distribución de Debian o Linux basada:

# sudo apt install floor

Una vez instalado, consulte la página del hombre en busca de opciones disponibles o verifique en línea en https: // Linux.morir.neto/hombre/1/principal.
A pesar de ser un programa de modo de texto, el principal es fácil de usar para la talla de archivos.

Testdisk:

TestDisk es parte de Photorec, puede solucionar y recuperar particiones, Sectores de arranque FAT32, también puede corregir los sistemas de archivos NTFS y Linux Ext2, Ext3, Ext3 y restaurar archivos de todos estos tipos de partición. TestDisk puede ser utilizado tanto por expertos como para nuevos usuarios que hacen que los archivos de recuperación sean fáciles para los usuarios nacionales, está disponible para Linux, Unix (BSD y OS), MacOS, Microsoft Windows en todas sus versiones y DOS.

TestDisk se puede descargar desde su sitio web oficial (Photorec's One) en https: // www.CGSECURIDAD.org/wiki/testdisk.

Photorect tiene un entorno de prueba para practicar la talla de archivos, puede acceder a https: // www.CGSECURIDAD.org/wiki/testdisk_and_photorec_in_various_digital_forensics_testcase#test_your_knowledge.

La mayoría de las herramientas enumeradas anteriormente se incluyen en las distribuciones de Linux más populares centradas en forense de computadora como la herramienta forense de hitt/hetft cero live, la herramienta forense en vivo de Caine y probablemente en Santoku Live forense, consulte esta lista para obtener más información https: // Linuxhint.com/live_forensics_tools/.

Espero que hayas encontrado este tutorial en herramientas de talla de archivos útiles. Siga a Linuxhint para obtener más consejos y actualizaciones sobre Linux y Networking.