HackMD - Collaborative Markdown Knowledge Base

## Практическая работа №2 Scalpel ### 1. Введение **Parrot Security OS** — набирающий популярность security-дистрибутив, основанный на Debian-linux. Простой в освоении, подходит и для новичков и для профессионалов. Этот дистрибутив нацелен как на проведение тестирования на проникновение, так и на анонимную работу в сети Интернет. Использует оболочку MATE и дисплей-менеджер LightDM. По фукнционалу он похож на Kali Linux, здесь тоже вместе с системой поставляется огромное количество специального программного обеспечения для тестирования безопасности. Из отличительных особенностей можно назвать больший, нежели в Kali, уклон в анонимность: интеграция I2P (invisible internet project) и предустановленные сервисы TOR. Существует несколько версий (включающих 32 и 64 битные платформы) Parrot Security OS (3.8 — JollyRoger): **Scalpel** – это программа с открытым исходным кодом для восстановления файлов используя базу данных заголовков, колонтитулов. Может восстанавливать с образов дисков или устройств с сырыми блоками, заголовки и колонтитулы устанавливаются пользователем. Программа используется не только для восстановления файлов, но и цифровых криминалистических исследований. ### 2. Подготовка Перед началом работы необходимо разкомментировать строки, которые отвечают за pdf, doc, jpg, txt форматов в конфигурационном файле. Переходим в кон.файл с помощью команды: ``` sudo nano /etc/scalpel/scalpel.conf ``` Разкоментируем строчки нужных форматов: ![](https://i.imgur.com/NIjihC1.png) ![](https://i.imgur.com/uTLMH9U.png) ![](https://i.imgur.com/Hgihp3R.png) ![](https://i.imgur.com/7g1rtSF.png) Создаем директории (recover) для восстановленных данных: ![](https://i.imgur.com/ErdRnpi.png) ### 3. Восстановление данных с диска Для восстановления данных была использована команда: `sudo scalpel /dev/sda1 -o /home/arina/recover -v` где: * /dev/sda1 - это диск с которого производится восстановление данных * опция -o указывает директорию, в которую будут сохраняться восстановленные файлы * /home/arina/recover - куда мы сохраняем восстановленные данные * опция -v даёт возможно визуализировать процесс восстановления данных. Процесс восстановления данных: ![](https://i.imgur.com/5lm1hDs.png) ![](https://i.imgur.com/FNnUKNO.png) Найденные и восстановленые данные расположены в папках: ![](https://i.imgur.com/N1KLEqz.png) Результат в каждом типе файлов: Формат doc: ![](https://i.imgur.com/HD9pfz5.png) Формат jpg: ![](https://i.imgur.com/tEjNawu.png) Формат pdf: ![](https://i.imgur.com/Xb82BPD.png) Формат txt: ![](https://i.imgur.com/LjQbzcY.png) ### 4.Восстановление данных с флеш-носителя в заранее созданную директорию Вставляем в компьютер флэш-носитель с удаленными данными. Создаем отдельную директорию для восстановления данных с флэшки (recover2). Флеш-устройства в Linux называются /dev/sdb, поэтому для восстановления данных воспользуемся командой: ``` sudo scalpel /dev/sdb -o /home/arina/recover2 -v ``` Процесс восстановления данных: ![](https://i.imgur.com/qKdHOIq.png) Результат восстановления: ![](https://i.imgur.com/K0n8UzM.png) Результат в папках: ![](https://i.imgur.com/6DtAdNL.png) ![](https://i.imgur.com/BT6ff3f.png) ![](https://i.imgur.com/hCjpWqC.png) ![](https://i.imgur.com/c54TBV8.png) ### 5. Восстановление данных с дополнительного раздела, который необходимо добавить в Parrot в заранее созданную директорию Создадим дополнительный раздел с помощью GParted: ![](https://i.imgur.com/0WrHx4G.png) Заполним раздел файлами, затем удалим их. Вводим команду для восстановления данных с дополнительного раздела в созданную папку: ![](https://i.imgur.com/GxJhsP5.png) ![](https://i.imgur.com/W4QV9LX.png) ![](https://i.imgur.com/ztXe7ja.png)