# Скальпель Scalpel – это программа с открытым исходным кодом для восстановления файлов используя базу данных заголовков, колонтитулов. Может восстанавливать с образов дисков или устройств с сырыми блоками, заголовки и колонтитулы устанавливаются пользователем. Программа используется не только для восстановления файлов, но и цифровых криминалистических исследований. Scalpel можно использовать на большинстве Линукс систем. В данном случае используется Ubuntu. ## Установка Скальпеля В некоторых системах scalpel предустановлен, но в большинстве нет. Так что используем команду: > sudo apt-get install scalpel ![](https://i.imgur.com/C6hHS9s.png) ## Работа с утилитой ### Правка конфигов для практической работы Для начала изменим файл конфиг, т.к. по умолчанию в конфиге закамиченны все доступные для востонавления типы данных. Для этого сначало надо его открыть пропишим команду: > `sudo nano /etc/scalpel/scalpel.conf` Далее укажем типы файлов которые будем востонавливать(jpg, doc, pfd, txt): jpg ![](https://i.imgur.com/yF9yIf7.png) doc ![](https://i.imgur.com/YxRY2r8.png) pdf ![](https://i.imgur.com/t4AO6Ps.png) txt ![](https://i.imgur.com/S3n44NU.png) Далее сохраняем файл(^O), неменяя название(Enter). ### Востановление из основного раздела Чтобы восстановить файлы из основного раздела, нам нужно будет указать: 1. диск с которого будет производиться восстановление данных ( в данном случае /dev/sda1). Для этого просто после названия утилиты Scalpel прописываем диск. 1. директорию, в которую будут сохраняться восстановленные файлы. Для этого прописываем опцию -o. А после нее указываем путь до директории 1. опцию -v, которая даёт возможно визуализировать процесс восстановления данных. Запустим команду sudo scalpel /dev/sda1 -o /home/desktop/files ### Востановление данных с флеш-носитетеля Подключаем флеш-носитель. Для проверки того, как он будет называться на нашем устройстве, пишем команду fdisk -l Теперь запускаем скальпель по тому же принципу, что и раньше: sudo scalpel /dev/sdb -o /home/igor/parrot_restore2 -v ### Восстановление данных с дополнительного раздела Чтобы у нас появился дополнительный раздел, воспользуемся утилитой Gparted. Для её установки пропишем sudo apt-get install gparted Запускаем с помощью команды: sudo gparted после добавления нового раздела через команду sudo fdisk -l можем просмотреть какие разделы имеются. Примонтируем раздел в определенную точку с помощью команды mount, где указываем что и куда хотим примонтировать, и проверим точку монтирования через команду df -hT Подредактируем файл конфигурации для форматов CDR, DSS, MDB, PDB, SYS. Теперь можем запускать скальпель sudo scalpel /dev/sda2 -o /home/igor/parrot_restore3 -v И увидим результат в нашей папке