# **Scalpel** ### 1.Введение **Parrot Security OS** - это дистрибутив Linux, основанный на Debian и предназначенный для пентестеров и специалистов по информационной безопасности. По своей задаче Parrot Security OS похож на Kali Linux, здесь тоже вместе с системой поставляется огромное количество специального программного обеспечения для тестирования безопасности, взлома, шифрования и реверс инжиниринга программ. Среди поставляемых по умолчанию программ есть такие известные продукты, как Aircrack, Metasploit, Ettercap, Brup и многие другие. **Scalpel** – это программа с открытым исходным кодом для восстановления файлов используя базу данных заголовков, колонтитулов. Может восстанавливать с образов дисков или устройств с сырыми блоками, заголовки и колонтитулы устанавливаются пользователем. Программа используется не только для восстановления файлов, но и цифровых криминалистических исследований. ### 2. Подготовка к работе Для начала необходимо скачать образ Parrot OS и развернуть его на любом программном обеспечении для визуализации(виртуальной машине). Scalpel обычно предустановлен на Parrot,если программа отсутствует, необходимо установить ее. #### $sudo apt install scalpel Далее создаём папки, куда будут воостанавливаться файлы: restore_1, restore_2, restore_usb. В первую воостановим файлы с жёсткого диска, во вторую с дополнительного раздела памяти, в третью с флеш-накопителя.  Настройка приложения осуществляется в файле /etc/scalpel/scalpel.conf, где задаются соответствующие шаблоны поиска файлов. В нём можно увидеть уже готовые пресеты для поиска, к примеру по изображениям или doc файлам. Для восстановления потерянных данных следует раскомментировать соответствующие шаблоны и запустить приложение. Если в файле отсутствует шаблон нужного файла, или к примеру вы ищете какого-то определенного формата xml то возникает необходимость создания своего шаблона, который описывается подобно правилам представленным ниже. * **Type** – имеет значение только в контексте программы, никакого отношения к восстанавливаемым файлам не имеет и будет использовано только при отображении лога и названии директорий в востановленных данных. Можно не указывать, в таком случае просто поставить NONE * **Case sensitive** – учитывать ли регистр при поиске по заданному шаблону * **Size range** – если указано просто число, то максимальный размер искомого файла, если через двоеточие то min:max размер файла * **Header, Footer** – шаблоны поиска начала и конца файла. Допустимо использование TRE регулярных выражений. В качестве пробела используется символ \s, также можно использовать шестнадцатричное и восьмеричное представление искомых данных к примеру \x[0-f][0-f] или \[0-3][0-7][0-7] Нам необходимо разкомментировать строки, которые отвечают за pdf, doc, jpg, txt форматов. *nano /etc/scalpel/scalpel.conf*     ### 3. Восстановление данных с диска Далее можно приступать к сканированию. Сначала отсканируем основной диск. sudo scalpel /dev/sda4 -o /home/moris/restore1 В данной команде /dev/sda4 - путь к разделу, с которого будет происходить восстановление файлов; -o /home/moris/restore1 - путь к директории, в которую будут сохранены восстановленыы файлы; -v - опция, включающая подробный режим. Выводит информация об отладке.    **Восстановленные картинки**  **Восстановленный текстовый документ**  ### 4. Восстановление данных с USB-накопителя Просмотрим информацию о разделах, предварительно вставив USB-накопитель.  Восстановим данные с USB-накопителя. *sudo scalpel /dev/sdb1 -o /home/moris/restore_usb -v* Востановленные данные:  ### 5. Восстановления файлов с дополнительного раздела Для восстановления файлов с дополнительного раздела сначала необходимо увеличить размер диска выделенного для виртуальной машины до 45 Гб, :  Далее в GParted создаем дополнительный раздел.   Далее, добавим в конфиг следующие форматы: CDR, DSS, MDB, PDB, SYS  Создадим точку монтирования для доступа к созданному разделу.  Начнем восстановление!  Восстановленные файлы!  ### Заключение В данной работе мы познакомились с утилитой для восстановления файлов Scalpel и с ее помощью восстановили данные.