Практическая работа №2: Scalpel.

# Практическая работа №2: Scalpel. [ToC] ## Введение **Scalpel** — это программа с открытым исходным кодом для восстановления файлов используя базу данных заголовков, колонтитулов. Может восстанавливать с образов дисков или устройств с сырыми блоками, заголовки и колонтитулы устанавливаются пользователем. Программа используется не только для восстановления файлов, но и в цифровых криминалистических исследованиях. Scalpel является форком проекта Foremost (с версии 0.69), начавший свою историю с 2005 года. Имеет свой github репозиторий и является более быстрым по скорости восстановления данных, а также эффективности чем Foremost. Основные возможности: - Выделение однородных массивов данных на диске для простого восстановления данных; - Возможность поиска удаленных файлов по любым заголовкам; - Скорость работы; - Доступен исходный код. ## Работа с Scalpel ### Установка Scalpel содержится по-умолчанию в дистрибутиве Parrot Linux Security Edition. Установку также можно выполнить с помощью командной строки: ``` sudo apt-get update sudo apt-get install scalpel ``` ### Использование #### Восстановление с основной партиции В первую очередь необходимо изменить конфигурационный файл утилиты с помощью ``` sudo nano /etc/scalpel/scalpel.conf ```. В нем необходимо убрать комментарии со строк, отвечающих за заголовки файлов форматов .jpg, .doc, .pdf и .txt. ![](https://i.imgur.com/zLfHqEN.png) > убираем комментарии с необходимых строк Попробуем восстановить данные с основной партиции. Основная партиция в Linux всегда находится по пути /dev/sda1 и примонтирована в раздел / или /home. Используем Scalpel для восстановления файлов - ``` sudo scalpel /dev/sda1 -o /home/pavviaz/parrot_restore -v ``` ![](https://i.imgur.com/be1js4o.png) > Процесс восстановления файлов ![](https://i.imgur.com/4Q9uRUn.png) > Найденные файлы Восстановленные файлы помещаются в папки, котоорые отображаются в проводнике как файлы. Скопировать их содержимое в обычные папки можно при помощи консольной команды cp. ![](https://i.imgur.com/vFgtBre.png) > Фотографии из главной партиции #### Восстановление с флеш-носителя Флеш-устройства в Linux называются /dev/sdb и монтируются в отдельные каталоги. Запускаем утилиту - ``` sudo scalpel /dev/sdb -o /home/pavviaz/parrot_restore_flash -v ``` ![](https://i.imgur.com/ERCsulu.png) > Восстановление фотографий из флешки #### Восстановление с дополнительной партиции Дополнительную партицию в Linux можно создать путем расширения текущего дискового пространства и созданием новой расширенной партиции на свободном разделе с помощью утилиты GParted. Такая партиция называется /dev/sda5. ![](https://i.imgur.com/IZ3oZNm.png) > 5 незанятых гигабайт ![](https://i.imgur.com/Hq7c7Th.png) > Новая дополнительная партиция /dev/sda5 Эту партицию необходимо монтировать в какую-либо директорию с помощью команды mount, например ``` sudo mount /dev/sda5 /home/pavviaz/Part ```. Также необходимо изменить конфигурационный файл Scalpel, дополнив его заголовками файлов .CDR, .DSS, .MDB, .PDB, .SYS: ``` SYS y 2500000 \xff\x4b\x45\x59\x42\x20\x20\x20 PDB y 2500000 \x4d\x2d\x57\x20\x50\x6f\x63\x6b PDB y 2500000 \x4d\x69\x63\x72\x6f\x73\x6f\x66\x74\x20\x43\x2f\x43\x2b\x2b\x20 PDB y 2500000 \x73\x6d\x5f PDB y 2500000 \x73\x7a\x65\x7a PDB y 2500000 \xac\xed\x00\x05\x73\x72\x00\x12 MDB y 2500000 \x00\x01\x00\x00\x53\x74\x61\x6e\x64\x61 DSS y 2500000 \x02\x64\x73\x73 CDR y 2500000 \x45\x4c\x49\x54\x45\x20\x43\x6f CDR y 2500000 \x52\x49\x46\x4 ``` Запускаем Scalpel для sda5: ``` sudo scalpel /dev/sda5 /home/pavviaz/parrot_restore_part/ ``` ![](https://i.imgur.com/EPJGWD5.png) > найденные файлы указанных форматов ## Вывод В данной практической работе были изучены методы восстановления информации с цифровых носителей при помощи утилиты Scalpel. Был рассмотрен процесс установки и использования ПО, что дало общее понимание принципов форензики. ## Автор Работу выполнил Вязников Павел Андреевич, БСБО-04-19