# КЭ.Практическая работа №2 - Scalpel > [name=Лаврентьев Ю.С. БСБО-04-19] ## Цель работы: ● Научиться азам работы с Parrot linux, вам поможет следующее. ● Изучить работу утилиты Scalpel (в дистрибутивах Parrot утилита должна быть предустановленна, если нет, то необходимо установить) ● Восстановить данные pdf, doc, jpg, txt форматов с основного раздела Parrot linux в заранее созданную вами директорию ● Восстановить данные pdf, doc, jpg, txt форматов с флеш-носителя в заранее созданную вами директорию ● Восстановить данные pdf, doc, jpg, txt форматов с дополнительного раздела, который необходимо добавить в Parrot в заранее созданную вами директорию ● Восстановить с дополнительного раздела следующие форматы: CDR, DSS, MDB, PDB, SYS. (необходимо изменить файл конфигурации утилиты scalpel) Scalpel – это программа с открытым исходным кодом для восстановления файлов используя базу данных заголовков, колонтитулов. Может восстанавливать с образов дисков или устройств с сырыми блоками, заголовки и колонтитулы устанавливаются пользователем. ## Установка Установить программу scalpel в Linux можно при помощи следующей команды: sudo apt install scalpel Загруска будет происходить из основного репозитория. В линукс дистрибутивах Parrot OS и Kali Linux программа scalpel установлена по умолчанию. Для того чтобы открыть утилиту Scalpel перейдем в панель Applications, далее выберем раздел Pentesting -> Digital Forensics -> Forensic Carving Tools и среди предоставленных утилит выберем Scalpel.  При открытии утилиты появляется окно командной строки (терминала) с экраном приветствия и просьбой ввода пароля.  зайдём в конфигруционный файл при помощи следующей команды: nano /etc/scalpel/scalpel.conf Это нужно для тогочтобы разрешить утилите востанавливать файлы определенных форматов. Нам нужно разрешить востановление следующих форматов данных: pdf, doc, jpg, txt. Для этого раскомментируем соответствующие строки в файле конфигурации.     Далее создадим папку, в которую будем востанавливать данные. Для этого воспользуемся утилитой mkdir в терминале  В директории home появилась создалась папка:  При помощи команды cd scalpel_data откроем эту папку в терминале.  ### Востановление данных из основной директории. Узнаем какие разделы на жеском диске имеются в системе. Для этого можно использовать разные команды в терминале например fdisk или lsblk.  Востановим удаленные данные с раздела sda1.Для этого была использована следующая команда sudo scalpel (название/раздела) -о (название папки для востановления) -v.   Проверим файлы в папке scalpel_data/data. Просмотр востановленных данных при помоши графического интерфейса:  Можно также посмотреть через командную строку:  ### Востановление данных с нового раздела. Создадим новый раздел /dev/sda2 объемом 20 Gb  Используя команду fdisk -l просмотрим в терминале данные о новом разделе.  Затем запустим команду sudo scalpel /dev/sda2 -o /home/wombat/scalpel_data/newdata -v.   Откроем папку в графическом интерфейсе и теперь можем просмотреть востановленные данные в разных форматах.  ### Востановление данных с флеш накопителя. Создадим ещё одну папку (назовем её fleshdata), в которую будем востанавливать данные с флеш накопителя.  Перед востановлением стоит сказать, что на флеш накопитель были загружены и удалены 9 файлов. Среди этих файлов были файлы форматов .txt, .pdf, .doc, .jpg. Используя команду sudo parted -l посмотрим список доступных разделов.  Из приведенного результата выполнения команды видно, что у нас появился новый disk, который имеет объем 15,5 Gb и имеет путь /dev/sdb. Востановим данные в папку fleshdata.  Посмотрим папки с востановленными данными в терминале, используя команду ls.  И посмотрим сами востанновленные данные в графическом интерфейсе.  ## Вывод Таким образом, была проделана работа по изучению работы утилиты scalpel и соответственно, восстановление данных с помощью этого инструмента с основного раздела, дополнительного раздела и флеш-носителя.