Scalpel - HackMD

# Scalpel ## Введение Многие компьютеры стирают файлы не полностью, и многие из них удается восстановить с помощью специальных инструментов даже через значительное время после очистки корзины. Один из таких инструментов называется Scalpel. **Scalpel** - это утилита командной строки с открытым исходным кодом, написаная на основе Foremost. Scalpel умеет восстанавливать удаленную информацию по их заголовкам, окончаниям и внутренним структурам. Позволяет восстанавливать файлы размером больше 4 Гб. Поддерживает FATx, NTFS, Ext2/3/4, HFS +, «сырые разделы» (raw partitions). Scalpel имеет файл конфигурации scalpel.conf, в котором можно настроить форматы для восстановления. Программа доступна на Linux и Mac OS, но также может быть использована в Windows. ## Установка Scalpel содержится по-умолчанию в дистрибутиве Parrot Linux Security Edition. Установку также можно выполнить с помощью следующей команды: ``` sudo apt-get install scalpel ``` ## Использование Для начала необходимо изменить конфигурационный файл scalpel.conf с помощью редактора nano командой `sudo nano /etc/scalpel/scalpel.conf` Сначала будем восстанавливать файлы с расширениями .jpg, .doc, .pdf и .txt. Эти строки необходимо найти и раскомментировать: ![](https://i.imgur.com/YMIqCv7.png) ### Восстановление с основного раздела (/dev/sda1) Для восстановления данных с основного раздела я создала папку `/home/tanya/scalpel_restore`, куда будут восстановлены удаленные файлы. Используем команду: ``` sudo scalpel /dev/sda1 -o /home/tanya/scalpel_restore -v ``` Флаг `-o` позволяет указать путь для восстановления данных, а `-v` запускает восстановление в интерактивном режиме. ![](https://i.imgur.com/fizOdE7.png) Файлы успешно восстановлены, их можно найти в указанной раннее папке: ![](https://i.imgur.com/5nDk8ka.png) ![](https://i.imgur.com/KX30G7m.png) ### Восстановление с флэш-носителя Для восстановления данных с основного раздела я создала папку `/home/tanya/scalpel_restore_from_flash` Используем команду: ``` sudo scalpel /dev/sda1 -o /home/tanya/scalpel_restore_from_flash -v ``` Данные успешно восстановлены: ![](https://i.imgur.com/i6YFQlo.png) ![](https://i.imgur.com/w3UrM0X.png) ### Восстановление с дополнительного раздела (/dev/sda5) Я расширила выделяемую память в VirtualBox еще на 5 гб. С помощью утилиты GParted видим появившееся неразмеченное пространство: ![](https://i.imgur.com/Fg4YSzH.png) Создаем дополнительный раздел, появляется /dev/sda5: ![](https://i.imgur.com/V149BUR.png) Для получения доступа к разделу необходимо создать для него дочку монтирования. Делаем это с помощью команды mount, например: ``` sudo mount /dev/sda5 /home/tanya/sda5 ``` Также нужно дополнительно восстановить файлы расширений .CDR, .DSS, .MDB, .PDB, .SYS. Список необходимых сигнатур для форматов можно найти [здесь](https://github.com/int0x80/anti-forensics/blob/main/scalpel.conf). ![](https://i.imgur.com/YNiG5KZ.png) Запускаем восстановление данных для /dev/sda5 командой `sudo scalpel /dev/sda5 -o /home/tanya/scalpel_restore_from_disk -v` и получаем восстановленные файлы: ![](https://i.imgur.com/AyBbaBh.png) ![](https://i.imgur.com/cWvkvxX.png) ## Заключение В данной практической работе №2 были изучены методы восстановления информации с цифровых носителей при помощи утилиты Scalpel.