Алат за опоравак система Сцалпел избрисао је датотеке и фасцикле на Линук -у. Овај алат се користи за опоравак системских датотека, алат је отвореног кода за Линук оперативне системе. За опоравак избрисаних података то је првенствено ажурирана виљушка, иако бржа и ефикаснија у праћењу и тражењу образаца датотека.
Сцалпел користи базу података која чува познате обрасце бајтова датотека и идентификује избрисане датотеке и одмах их опоравља. Много пута се дешава да се случајно или због системске грешке затраже информације од важних датотека или фасцикли. Сцалпел је алат који нам омогућава да вратимо информације које сте можда избрисали. Када избришемо информације, оперативни систем обично уклања само метаподатке датотеке, попут имена датотеке, власника и локације. Кориснички подаци остају на медију за складиштење док се не препишу.
Сцалпел анализира диск или уређај за складиштење тражећи обрасце бајтова који одговарају на заглавља и подножја датотека, на овај начин ће покушати да поврати податке који припадају датотеци. Сцалпел може открити различите врсте датотека. Подржава различите структуре диска и формате датотека за то, користи базу података са заглављима и подножјима датотека са правилима израза како би открио који формат може да се опорави.
Многе дистрибуције имају Сцалпел у својим спремиштима, мада је добра идеја да ажурирате Сцалпел како бисте додали нове регуларне изразе за заглавља и подножја датотека. Сцалпел пружа перформансе скенирања великом брзином, током пописивања чита базу података заглавља и подножја формата датотека и издваја датотеке које се подударају између скупа дефиниција и регуларних израза са уређаја.
Сцалпел подржава формате дискова са ФАТ, НТФС, ект2 или сирових партиција. Корисно је и за дигиталну форензичку истрагу и за опоравак датотека. Овај алат је део Сеулкита који се интегрише са обдукцијом коју смо видели у водичу о форензичкој анализи чврстих дискова и партиција са обдукцијом.
Да бисмо га инсталирали, можемо отићи до прозора терминала и написати следећи код:
судо апт-гет инсталл скалпел
Следеће морамо конфигурисати скалпел за ово можемо пронаћи инсталацијску датотеку помоћу следеће наредбе:
где је скалпел
Затим отворимо датотеку уређивачем текста, попут нано или ви. Подразумевано се сви редови израза коментаришу са # у конфигурацијској датотеци. У конфигурацијској датотеци скалпел.цонф, постоје неке линије које садрже врсте датотека које можемо опоравити. На пример јпг, пнг, доц итд.
ПажњаПре него што покренемо Сцалпел, морамо откоментирати формат датотеке за који желимо да се Сцалпел опорави.
Овде раскоментирамо екстензије датотека које желимо да Сцалпел тражи, ако се не коментирају, ове датотеке ће се занемарити.
Важан корак, ако нађемо грешку приликом извршавања, морамо ручно креирати датотеку / ет / скалпел фолдер а унутра копирајте скалпел.цонф датотека.
Затим из његове фасцикле извршавамо скалпел, означавамо фасциклу у којој су сачуване датотеке.
скалпел -ц /етц/сцалпел/сцалпел.цонф /дев /сда -о тест
На слици можемо видјети како је 16 ГБ опорављено на само 3% укупног диска. Параметар -о је излазни, он означава излазни директориј у који желите вратити избрисане датотеке. Морамо да проверимо да ли је овај директоријум празан пре него што извршимо било коју наредбу, у супротном ће нам се појавити грешка.
Сцалпел ће покренути процес скенирања и у зависности од простора на диску или уређају који покушавате да скенирате и опоравите, па ће можда бити потребно много времена за опоравак избрисаних датотека.
Ако желимо да опоравимо податке са флеш диска или спољног уређаја, морамо знати која је партиција кроз фдсик цоммандАко је у питању флеш меморија, она ће се генерално налазити као сдб партиција.
скалпел -ц /етц/сцалпел/сцалпел.цонф /дев /сдб -о рецу
Унутар фасцикле је сачувана датотека аудит.ткт која садржи информације о целом процесу и опорављеним датотекама.
У овом случају можемо видети да су пнг датотеке опорављене са диска и имамо их на располагању у фасцикли коју називамо рецу. Један од помоћних програма Сцалпела је копирање садржаја поквареног или неисправног УСБ спољног уређаја и стварање имг или дд слике диска, тако да је можемо видети из другог софтвера или је монтирати, код за генерисање слике диска је следећи:
скалпел -ц -ц /етц/сцалпел/сцалпел.цонф /дев /сдб -о опорављен.ддСцалпел је идеалан за рад сервера са Центосом за даљинско преузимање датотека из прозора терминала. Сцалпел ради на другим серверским Линук дистрибуцијама, укључујући:
- Црвени шешир
- Федора
- Дебиан.
Један од недостатака Сцалпела је то што морате врло добро знати каква је структура диска или уређаја за складиштење и команде за управљање његовим партицијама, као и како систем датотека функционише.
Свака избрисана датотека остаје негде на вашем чврстом диску. будући да је оперативни систем онај који одржава показивач на листу блокова уређаја за складиштење који садржи податке о датотекама,
Обично у Виндовсима имамо много врло једноставних алата за употребу, попут Рецуве који се користи за опоравак изгубљених података, али у Линуку само неколико ако их желимо користити са безбедношћу на нивоу сервера.
Сцалпел пролази кроз цео чврсти диск, ради веома добро са спољним уређајима за складиштење и опоравља изгубљене датотеке према регуларним изразима што га чини веома свестраним.
