# Компьютерная экспертиза. Практическая работа №2 - работа с утилитой Scalpel > [name= Беличенко Д., Шабанова М. БСБО-04-19] # Теоретическое введение **Parrot Security OS** - это дистрибутив Linux, основанный на Debian и предназначенный для пентестеров и специалистов по информационной безопасности. По своей задаче Parrot Security OS похож на Kali Linux, здесь тоже вместе с системой поставляется огромное количество специального программного обеспечения для тестирования безопасности, взлома, шифрования и реверс инжиниринга программ. **Scalpel** - простая консольная утилита для восстановления файлов в Linux. Scalpel не зависит от файловой системы и будет восстанавливать удаленные файлы даже с неотформатированного жесткого диска. В состав пакета Scalpel входят бинарник, мануал и конфигурационный файл, находящийся по адресу /etc/scalpel/scalpel.conf. В конфигурационном файле перечислены типы файлов, которые Scalpel будет искать. По умолчанию все закомментировано, поэтому перед использованием необходимо раскомментировать нужные типы файлов. # Подготовка Прежде чем приступить к работае с утилитой Scalpel, нам необходимо создать новый раздел с помощью утилиты *fdisk*. > **fdisk** — общее название системных утилит для управления разделами жёсткого диска. С помощью этой утилиты можнно просматривать, создавать, изменять размер, удалять, копировать и перемещать разделы на жестком диске. На скриншоте ниже представлено создание нового раздела sda2, а также таблица со всеми существующими разделаими.  Команда `lsblk` позволяет нам посмотреть краткие сведения о всех разделах.  Далее нам необходимо изменить конфигурационный файл scalpel.conf для дальнейшей работы с утилитой. Необходимо убрать комментарии перед расширениями файлов, которые мы будем восстанавливать. На скриншоте показаны расскомментированные расширения pdf, jpg, doc, txt.  # Работа с утилитой ### 1. Восстановление данных pdf, doc, jpg, txt форматов с основного раздела Parrot linux в заранее созданную директорию С помощью команды `scalpel /dev/sda1 -o /home/baaanan01/parrot_restore_primary_partition -v` восстановим файлы с основного раздела в указанную директорию. На скриншоте ниже показана папка, в которую были восстановлены данные, а также была открыта папка с восстановленными jpg файлами.  ### 2. Восстановление данных pdf, doc, jpg, txt форматов с флеш-носителя в заранее созданную директорию С помощью команды `scalpel /dev/sdb1 -o /home/baaanan01/parrot_restore_usb1 -v` восстановим файлы с флеш-носителя в указанную директорию. На скриншоте ниже показана папка, в которую были восстановлены данные, а также была открыта папка с восстановленными jpg файлами и один файл формата jpg.  ### 3. Восстановление данных pdf, doc, jpg, txt форматов с дополнительного раздела, который необходимо добавить в Parrot в заранее созданную директорию С помощью команды `scalpel /dev/sda2 -o /home/baaanan01/parrot_restore_sda2 -v` восстановим файлы с ранее созданного нами раздела sda2 в указанную директорию. На скриншоте ниже показана папка, в которую были восстановлены данные, а также была открыта папка с восстановленными jpg файлами и файл формата jpg.  ### 4. Восстановление с дополнительного раздела следующие форматы: CDR, DSS, MDB, PDB, SYS Для восстановления файлов формата CDR, DSS, MDB, PDB, SYS необходимо изменить конфигурационный файл scalpel.conf и добавить туда строки: ``` MDB y 1000000 \x00\x01\x00\x00 DSS y 1000000 \x3c\x62\x72\x20 PDB y 1000000 \x43\x4f\x4d\x50 CDR y 1000000 \x52\x49\x46\x46\x46\x0a\x71 SYS y 1000000 \x44\x45\x56\x49 ``` Далее с помощью команды `scalpel /dev/sda2 -o /home/baaanan01/parrot_restore_formats -v` восстановим файлы с ранее созданного нами раздела sda2 в указанную директорию. На скриншоте ниже показана папка, в которую были восстановлены данные, а также была открыта папка с восстановленными pdb файлами и файл формата pdb.