# Практическая работа №2. Scalpel ## Введение Scalpel - консольная утилита в Linux, которая даёт возможность восстановить удалённые, утерянные или повреждённые данные по заданным паттернам, включая применение регулярных выражений. Такие файлы ищутся по первым и последним байтам, а также другим характерным признакам. Позволяет восстанавливать файлы размером больше 4 Гб. ## Установка Parrot и восстановление данных Прежед всего открываем VMWare Worksation и запускаем образ, попадаем на рабочий стол. (рис. 1)  *Рис. 1 - рабочий стол * Далее открываем ярлык "Install Parrot".(рис. 2) В открывшемся окне выбираем язык и другие настройки, затем переходим в раздел "Summary" и нажимаем Install.(рис. 3, рис. 4)  *Рис. 2 - запуск ярлыка Install Parrot*  *Рис. 3 - раздел Summary*  *рис. 4 - установка* Далее завершаем установку и перезагружаем систему.(рис. 5)  *Рис. 5 - завершение установки* Затем открываем терминал Scalpel через GUI.(рис. 6, рис. 7)  *Рис. 6 - открытие Scalpel через GUI*  *Рис. 7 - терминал Scalpel* Вводим пароль, затем вводим команду `sudo nano /etc/scalpel/scalpel.conf`, чтобы зайти в конфигурационный файл Scalpel.(рис. 8)  *Рис. 8 - команда* `sudo nano /etc/scalpel/scalpel.conf` Попадаем в конфигурационный файл.(рис. 9)  *Рис. 9 - конфигурационный файл* Необходимо раскомментировать строки, которые отвечают за тип (формат) файлов, которые будем восстанавливать далее, а именно jpg, txt, doc, pdf.(рис. 10 - 13) Сохраняем настройки и выходим из файла.  *Рис. 10 - раскомментирование формата jpg*  *Рис. 11- раскомментирование формата doc*  *Рис. 12 - раскомментирование формата pdf*  *Рис. 13 - раскомментирование формата txt* Затем создаём директорию parrot_restore. С помощью команды `ls` проверяем добавилась ли новая директория(рис. 14) * Команда pwd - текущий рабочий каталог. * Команда ls - выводит информацию о содержимом текущего каталога. * Команда mkdir - команда для создания нового каталога.  *Рис. 14 - создание новой директории parrot_restore, проверка создания с помощью команды* `ls` Далее используем команду `sudo scalpel /dev/sda1 -o /home/sasha/parrot_restore -v` для восстановления данных.(рис. 15) * /dev/sda1 - диск, с которого происходит восстановление данных * -o - указывает директорию, в которую сохраняются данные после восстановления * /home/sasha/parrot_restore * -v - визуализация процесса востановления данных  *Рис. 15 - команда* `sudo scalpel /dev/sda1 -o /home/sasha/parrot_restore -v` После ввода команды видим процесс восстановления в терминале.(рис. 16, рис. 17)  *Рис. 16 - процесс восстановления*  *Рис. 17 - процесс восстановления* Далее заходим в папку parrot_restore, чтобы убедиться, что данные восстановились.(рис. 18 - 22). Восстановились файлы типов jpg, doc, pdf и txt. Так же в данной директории образовался файл audit.txt.(рис. 23, рис. 24) В нём хранятся краткое описание файлов.  *Рис. 18 - директория parrotrestore*  *Рис. 19 - пример восстановления данных формата jpg*  *Рис. 20 - пример восстановления данных формата doc*  *Рис. 21 - пример восстановления данных формата pdf*  *Рис. 22 - пример восстановления данных формата txt*  *Рис. 23 - файл audit.txt*  *Рис. 24 - файл audit.txt* ## Восстановление данных с флешки > На этом моменте VMWare не видел флешку при правильных настройках usb, поэтому пришлось перейти с Debian 5 на Ubuntu. Подключаем usb-накопитель через GUI.(рис. 25)  *Рис. 25 - подключение флешки* Затем можно проверить, подключилась ли флешка. Для этого необходимо нажать на "sasha's home" на рабочем столе. В разделе Devices будет флешка.(рис. 26)  *Рис. 26 - флешка в разделе Devices* Подключаем usb накопитель, с помощью команды `sudo fdisk -l` находим путь до флешки.(рис. 27)  *Рис. 27 - команда* `sudo fdisk -l` Путь до флешки /dev/sdb1 (рис. 28)  *Рис. 28 - результат выполнения программы* `sudo fdisk -l` Создаём директорию, куда будут сохраняться востановленные данные и сразу же проверяем создание директории.(рис. 29)  *Рис. 29 - создание директории и проверка создания* Далее с помощью команды `sudo scalpel /dev/sdb1 -o /home/sasha/flash_restore -v` восстанавливаем данные с флешки.(рис. 30)  *Рис. 30 - команда* `sudo scalpel /dev/sdb1 -o /home/sasha/flash_restore -v` Процесс сканирования флешки и восстановление данных.(рис. 31, рис. 32)  *Рис. 31 - процесс сканирования и восстановления*  *Рис. 32 - процесс сканирования и восстановления* Результаты сканирования флешки.(рис. 33 - 36)  *Рис. 33 - результат сканирования и восстановления*  *Рис. 34 - результат сканирования и восстановления*  *Рис. 35 - результат сканирования и восстановления*  *Рис. 36 - результат сканирования и восстановления* ## Восстановление данных с дополнительного раздела Создадим новую директорию parrot_store2.(рис. 37)  *Рис. 37 - создание новой директории* Далее редактируем конфигурационный файл.(рис. 38)  *Рис. 38 - конфигурационный файл* Используя GParted создаём новый раздел на диске.(рис. 37)  *Рис. 38 - новый раздел*  *Рис. 39 - раздел диска*  *Рис. 40 - сканирование и восстановление данных*  *Рис. 41 - результат сканирования* Появилась папка output на диске 2, куда сохранились востановленные данные.(рис. 42, рис. 43)  *Рис. 42 - папка output*  *Рис. 43 - папка output* Данные восстановились. Монтирование диска, описанное выше, было произведено через утилиту GParted. Так же можно добавить в настройках VMWare ещё один жёсткий диск и монитровать его через терминал.  *Рис. 44 - результат восстановления данных*