A ferramenta de recuperação do sistema Scalpel excluiu arquivos e pastas no Linux. Esta ferramenta é usada para recuperar arquivos do sistema, é uma ferramenta de código aberto para sistemas operacionais Linux. Para a recuperação de dados excluídos, é uma bifurcação atualizada, embora seja mais rápida e eficiente no rastreamento e na pesquisa de padrões de arquivo.
O Scalpel usa um banco de dados que armazena padrões de bytes de arquivo conhecidos e identifica arquivos excluídos e os recupera instantaneamente. Muitas vezes acontece que, por acidente ou erro do sistema, são solicitadas informações de arquivos ou pastas importantes. O escalpelo é uma ferramenta que nos permite restaurar informações que você possa ter excluído. Quando excluímos informações, o sistema operacional geralmente remove apenas os metadados do arquivo, como nome de arquivo, proprietário e local. Os dados do usuário permanecem no meio de armazenamento até que sejam substituídos.
O Scalpel analisa um disco ou dispositivo de armazenamento em busca de padrões de bytes que respondam aos cabeçalhos e rodapés dos arquivos, desta forma tentará recuperar os dados pertencentes ao arquivo. O Scalpel pode detectar vários tipos de arquivos. Suporta diferentes estruturas de disco e formatos de arquivo para isso, utiliza uma base de dados com cabeçalhos e rodapés de arquivos com regras de expressão para detectar qual formato pode recuperar.
Muitas distribuições têm Scalpel em seus repositórios, embora seja uma boa ideia manter o Scalpel atualizado para adicionar novas expressões regulares para cabeçalhos e rodapés de arquivo. O Scalpel oferece desempenho de digitalização de alta velocidade, durante o rastreamento, ele lê um banco de dados de cabeçalho e rodapé de formatos de arquivo e extrai arquivos que correspondem entre um conjunto de definições e expressões regulares de um dispositivo.
O Scalpel suporta formatos de disco de partições FAT, NTFS, ext2 ou raw. É útil para investigação forense digital e recuperação de arquivos. Esta ferramenta faz parte do Seulkit que se integra com a autópsia que vimos no tutorial sobre análise forense de discos rígidos e partições com autópsia.
Para instalá-lo, podemos ir a uma janela de terminal e escrever o seguinte código:
sudo apt-get install scalpel
Em seguida, devemos configurar bisturi para isso podemos localizar o arquivo de instalação usando o seguinte comando:
onde está bisturi
Em seguida, abrimos o arquivo com um editor de texto como o nano ou vi. Por padrão, todas as linhas de expressões são comentadas com # no arquivo de configuração. No arquivo de configuração scalpel.conf, existem algumas linhas que contêm os tipos de arquivos que podemos recuperar. Por exemplo jpg.webp, png, doc, etc.
AtençãoAntes de executar o Scalpel, devemos descomentar o formato do arquivo que queremos que o Scalpel recupere.
Aqui, removemos o comentário das extensões de arquivo que queremos que o Scalpel pesquise; se não forem comentadas, esses arquivos serão ignorados.
Uma etapa importante, se encontrarmos um erro durante a execução, devemos criar manualmente o / et / pasta de escalpelo e dentro copie o arquivo scalpel.conf.
A seguir executamos o bisturi a partir de sua pasta, indicamos a pasta onde os arquivos recuperados são salvos.
bisturi -c /etc/scalpel/scalpel.conf / dev / sda -o test
Na imagem podemos ver como 16 GB foram recuperados em apenas 3% do disco total. O parâmetro -o é enviado, ele indica um diretório de saída, no qual você deseja restaurar os arquivos excluídos. Devemos verificar se este diretório está vazio antes de executar qualquer comando, caso contrário, ocorrerá um erro.
O Scalpel iniciará o processo de digitalização e, dependendo do espaço em disco ou dispositivo que você está tentando digitalizar e recuperar, pode demorar muito para recuperar os arquivos excluídos.
Se quisermos recuperar dados de um pendrive ou de um dispositivo externo, devemos saber qual é a partição através do comando fdsikSe for um pendrive ou memória flash, geralmente estará localizado como uma partição sdb.
bisturi -c /etc/scalpel/scalpel.conf / dev / sdb -o recu
Dentro da pasta, é salvo um arquivo chamado audit.txt, que contém informações sobre todo o processo e os arquivos recuperados.
Neste caso, podemos ver que os arquivos png foram recuperados do pendrive e os temos disponíveis na pasta que chamamos de recu. Um dos utilitários do Scalpel é copiar o conteúdo de um dispositivo externo USB quebrado ou defeituoso e criar uma imagem de disco img ou dd, para então podermos ver em outro software ou montá-lo, o código para gerar a imagem de disco é o seguinte:
bisturi -c -c /etc/scalpel/scalpel.conf / dev / sdb -o recovery.ddScalpel é ideal para trabalhar com servidores Centos para recuperar arquivos da janela do terminal remotamente. O Scalpel funciona em outras distribuições Linux orientadas para servidor, incluindo:
- Chapéu vermelho
- Fedora
- Debian.
Uma das desvantagens do Scalpel é que você tem que saber muito bem como é a estrutura de um disco ou dispositivo de armazenamento e os comandos para gerenciar suas partições, bem como o funcionamento do sistema de arquivos.
Cada arquivo excluído permanece em algum lugar do seu disco rígido. sendo o sistema operacional aquele que mantém um ponteiro para a lista de blocos do dispositivo de armazenamento que contém os dados dos arquivos,
Normalmente no Windows temos muitas ferramentas muito simples de usar, como o Recuva que é usado para recuperar dados perdidos, mas no Linux apenas algumas se quisermos usá-lo no nível do servidor com segurança.
O Scalpel percorre todo o disco rígido, funciona muito bem com dispositivos de armazenamento externos e recupera arquivos perdidos de acordo com expressões regulares o que o torna muito versátil.
