**Scalpel** - HackMD

# **Scalpel** ## Введение **Parrot Security OS (или ParrotSec)** — дистрибутив Linux, основан на Debian с упором на компьютерную безопасность. Предназначен для тестирования системы на проникновение, оценки уязвимостей и ликвидации их последствий, компьютерной криминалистики и анонимного просмотра веб-страниц. Разработан командой Frozenbox. **Scalpel** - утилита для восстановления данных. Удаленные файлы ищутся по первым и последним байтам, а также другим характерным признакам. Конфигурационный файл утилиты очень похож на Foremost, на коде которого и основана утилита. Однако, программы имеют и свои отличия. ## Ход работы ### Подготовка Заходим в улититу Scalpel. Она должна быть установлена в системе изначально. Находится она по адресу: Pentesting -> Digital Forensics -> Forensic Carving Tools -> scalpel. Открывается приветственное окно: ![](https://i.imgur.com/EHV4xi9.png) Далее нужно создать три папки для трёх различных методов восстановлений файлов: restore1, restore2, restore3. ![](https://i.imgur.com/EegjtnM.png) Далее с помощью команды nano /etc/scalpel/scalpel.conf открываем конфигурационный файл. Нам нужно раскомментировать типы файлов doc, jpg, pdf, txt. ![](https://i.imgur.com/C7mBnZu.png) С помощью команды lblsk узнаем, какой диск нам нужен для восстановления. ![](https://i.imgur.com/rio5lZD.png) ### Восстановление с диска С помощью команды sudo scalpel /dev/sda1 -o /home/artem/restore1 Спустя некоторое время, утилита завершает сканирование и восстановление файлов в указанную папку. ![](https://i.imgur.com/26N13no.png) ### Восстановление с флеш-носителя Вставляем флеш-носитель и в появившемся меню выбираем "подключение к виртуальной машине". Далее, с помощью команды sudo fdisk -l узнаем, как именно называется наш флеш-носитель: ![](https://i.imgur.com/qpnkqnJ.png) Используем команду sudo scalpel /dev/sdb1 -o /home/artem/restore2 Восстановленные файлы найдем в папке restore2: ![](https://i.imgur.com/GGKoaOo.png) ### Восстановление с дополнительного раздела Сначала с помощью программы gparted из общей памяти выделяем необходимую для дополнительного раздела: ![](https://i.imgur.com/ovf8kyz.png) После этого с помощью команды mount смонтируем дополнительный раздел, чтобы его можно было отсканировать с помощью утилиты scalpel. Далее, открываем nano /etc/scalpel/scalpel.conf. Нам нужно добавить необходимые заголовки для таких типов файлов, как SYS, CDR, DSS, MDB, PDB. ![](https://i.imgur.com/okJSo8u.png) После этого, с помощью команды sudo scalpel /dev/sda2 -o /home/artem/restore3 -v запускаем сканирование и восстановление файлов из дополнительного раздела в указанную папку. Результат восстановления: ![](https://i.imgur.com/PNMYIbe.png) ### Заключение В этой практической работе я познакомился с утилитой Scaplel и с её помощью научился восстанавливать утерянные данные.