Компьютерная экспертиза. Практическая работа №2. Scalpel.

# Компьютерная экспертиза. Практическая работа №2. Scalpel. :::info Работа выполнена студентом 3 курса учебной группы БСБО-04-19 Чайка Егором ::: **Содержание** 1. Теоретическое введение 2. Подготовка утилиты 3. Работа с утилитой 4. Заключение # Теоретическое введение Scalpel — утилита для восстановления файлов по их заголовкам, окончаниям и внутренним структурам. Позволяет восстанавливать файлы размером больше 4 Гб. В дистрибутиве имеется уже готовая версия для Windows. Поддерживает FATx, NTFS, ext2/3, HFS+. Многие компьютеры стирают файлы не полностью, и многие из них удается восстановить с помощью специальных инструментов даже через значительное время после очистки корзины. Одним из таких инструментов и является Scalpel. # Подготовка утилиты Для работы была создана виртуальная машина, с помощью VMware Workstation, и установлена операционная система Parrot, одна из версий которой содержит в себе необходимую нам утилиту. ![](https://i.imgur.com/1QbrHT2.jpg) :::info Процесс установки Parrot показывать не имеет смысла, так как необходимо просто загрузить образ ОС в VMWare Workstation ::: После запуска системы первым делом создадим три папки (parrot_restore_1, parrot_restore_2, parrot_restore_usb), куда будут помещаться восстановленные файлы. ![](https://i.imgur.com/bTZTUuA.png) :::info Три папки необходимы, так как мы будем совершать восстановление файлов с трёх различных носителей: с основного диска, с дополнительного раздела, с флэш-носителя ::: Теперь запустим Scalpel и подготовим его для работы. Отредактируем файл конфигурации Scalpel и раскомментируем строки, которые отвечают за форматы jpg, pdf, doc, txt ![](https://i.imgur.com/cnwzeUR.png) :::info На скриншоте сверху можно увидеть команду, с помощью которой был открыт данный файл, а также один раскомментированный формат файлов (jpg). Остальные файлы раскомментированы точно таким же образом ::: # Работа с утилитой Теперь мы можем приступать к сканированию, начнём с основого диска. Вводим следующую команду: :::success sudo scalpel /dev/sda1 -o /home/egor/parrot_restore_1 -v ::: Вот так выглядит сканирование Scalpel. ![](https://i.imgur.com/9UDEbdj.png) После выполнения команды в папке parrot_restore_1 видим восстановленные файлы. ![](https://i.imgur.com/O1UZHsQ.png) Теперь восстановим данные с флэш-носителя. Вводим следующую команду: :::success sudo scalpel /dev/sdb -o /home/egor/parrot_restore_usb -v ::: После выполнения команды в папке parrot_restore_usb видим восстановленные файлы. ![](https://i.imgur.com/j52HIH1.png) Теперь восстановим данные с дополнительного образа. Для этого обратно закомментируем старые форматы и добавим в файл конфига форматы SYS, PDB, MDB, DSS, CDR. Также, разделим диск с помощью утилиты GParted. Вводим следующую команду: :::success sudo scalpel /dev/sda5 -o /home/egor/parrot_restore_2 -v ::: После выполнения команды в папке parrot_restore_2 видим восстановленные файлы. ![](https://i.imgur.com/eC0aPfu.png) # Заключение В данной работе мы научились работать с утилитой Scalpel для восстановления удалённых данных с различных устройств.