Практическая работа №2: Scalpel.

# Практическая работа №2: Scalpel. # Введение Scalpel — это программа с открытым исходным кодом для восстановления файлов используя базу данных заголовков, колонтитулов. Может восстанавливать с образов дисков или устройств с сырыми блоками, заголовки и колонтитулы устанавливаются пользователем. Программа используется не только для восстановления файлов, но и в цифровых криминалистических исследованиях. Scalpel является форком проекта Foremost (с версии 0.69), начавший свою историю с 2005 года. Имеет свой github репозиторий и является более быстрым по скорости восстановления данных, а также эффективности чем Foremost. # Основные возможности: - Выделение однородных массивов данных на диске для простого восстановления данных; - Возможность поиска удаленных файлов по любым заголовкам; - Скорость работы; - Доступен исходный код. # Использование ## Восстановление с основной раздела В первую очередь необходимо изменить конфигурационный файл утилиты с помощью `sudo nano /etc/scalpel/scalpel.conf`. В нем необходимо убрать комментарии со строк, отвечающих за заголовки файлов форматов .jpg, .doc, .pdf и .txt. ![](https://i.imgur.com/43lH9vc.png) Попробуем восстановить данные с основной партиции.Используем Scalpel для восстановления файлов `- sudo scalpel /dev/sda1 -o /home/daniil/proverka` ![](https://i.imgur.com/kHgNUZv.png) > Процесс восстановления файлов ![](https://i.imgur.com/D9XE0eU.png) > Найденные файлы ## Восстановление с флеш-носителя Флеш-устройства в Linux называются `/dev/sdb` и монтируются в отдельные каталоги. Запускаем утилиту `- sudo scalpel /dev/sdb -o /home/daniil/proverka_2` ![](https://i.imgur.com/VCQ24yu.png) ## Восстановление фотографий из флешки ### Дополнительный раздел Дополнительную партицию в Linux можно создать путем расширения текущего дискового пространства и созданием новой расширенной партиции на свободном разделе с помощью утилиты GParted. Такая партиция называется `/dev/sda2`. Эту партицию необходимо монтировать в какую-либо директорию с помощью команды mount, например `sudo mount /dev/sda2 /home/daniil/Photo`. После этого я скачиваю файлы в папку Pictures.Копирую папку командой и удаляю файлы: ![](https://i.imgur.com/MrT2DOR.png) Запускаем Scalpel для sda2: `sudo scalpel /dev/sda2 /home/daniil/proverka3` ![](https://i.imgur.com/O3aMDpH.png) И вот результат: ![](https://i.imgur.com/HTPlmiM.png) ### Дополнительный раздел Необходимо изменить конфигурационный файл Scalpel, дополнив его заголовками файлов .CDR, .DSS, .MDB, .PDB, .SYS: Запускаем Scalpel для sda2: `sudo scalpel /dev/sda2 /home/daniil/proverka4` ![](https://i.imgur.com/Yx1L992.png) # Вывод: В данной практической работе были изучены методы восстановления информации с цифровых носителей при помощи утилиты Scalpel. Был рассмотрен процесс установки и использования ПО, что дало общее понимание принципов форензики. # Автор Работу выполнил Евтеев Даниил Олегович , БСБО-06-19