Médecine légale

Outils de sculpture de fichiers

Outils de sculpture de fichiers
Dans les ordinateurs, fichier de sculpture consiste à récupérer et reconstruire, reconstruire ou réassembler des fichiers fragmentés après qu'un disque a été formaté, son système de fichiers ou sa partition corrompus ou endommagés ou les métadonnées d'un fichier supprimées. Tous les fichiers contiennent des métadonnées, les métadonnées signifient : "des données qui fournissent des informations sur d'autres données". Parmi plus d'informations, les métadonnées des fichiers contiennent l'emplacement et la structure d'un fichier dans le système de fichiers et les blocs physiques.  Le File Carving consiste à ramener des fichiers même si leurs métadonnées avec les informations de leur emplacement dans le système de fichiers ne sont pas disponibles.

Cet article décrit certains des outils de sculpture de fichiers disponibles les plus populaires pour Linux, notamment PhotoRec, Scalpel, Bulk Extractor avec Record Carving, Foremost et TestDisk.

Outil de sculpture PhotoRec

Photorec vous permet de récupérer des médias, des documents et des fichiers à partir de disques durs, de disques optiques ou de mémoires d'appareils photo. PhotoRec essaie de trouver le bloc de données du fichier à partir du superbloc pour les systèmes de fichiers Linux ou à partir de l'enregistrement de démarrage du volume pour les systèmes de fichiers Windows. Si ce n'est pas possible, le logiciel vérifiera bloc par bloc en le comparant avec une base de données de PhotoRec. Il vérifie tous les blocs alors que d'autres outils ne vérifient que le début ou la fin d'un en-tête, c'est pourquoi les performances de PhotoRec ne sont pas les meilleures par rapport aux outils utilisant différentes méthodes de sculpture comme la recherche d'en-tête de bloc, mais PhotoRec est peut-être l'outil de sculpture de fichier avec de meilleurs résultats dans cette liste, si le temps n'est pas un problème, PhotoRec est la première recommandation.

Si PhotoRec parvient à collecter la taille du fichier à partir de l'en-tête du fichier, il comparera le résultat des fichiers récupérés avec l'en-tête en supprimant les fichiers incomplets. Pourtant, PhotoRec laissera des fichiers récupérés partiels lorsque cela est possible, par exemple dans le cas de fichiers multimédias.

PhotoRec est Open Source et il est disponible pour Linux, DOS, Windows et MacOS, vous pouvez le télécharger gratuitement depuis son site officiel à l'adresse https://www.cgsecurity.org/.

Outil de sculpture de scalpel :

Scalpel est une autre alternative pour le découpage de fichiers disponible pour Linux et Windows OS. Scalpel fait partie de The Sleuth Kit décrit à  Outils médico-légaux en direct article. Il est plus rapide que PhotoRec et fait partie des outils de gravure de fichiers les plus rapides mais sans les mêmes performances que PhotoRec. Il recherche sur des blocs ou des clusters d'en-tête et de pied de page. Parmi ses fonctionnalités, il y a le multithreading pour les processeurs multicœurs, les E/S asynchrones augmentant les performances. Scalpel est utilisé à la fois en médecine légale professionnelle et en récupération de données, il est compatible avec tous les systèmes de fichiers.

Vous pouvez obtenir Scalpel pour sculpter des fichiers en exécutant dans le terminal :

# git clone https://github.com/sleuthkit/scalpel.git

Entrez le répertoire d'installation avec la commande CD (Changer de répertoire) :

# cd scalpel

Pour l'installer, exécutez :

# ./amorcer
#  ./configurer
# Fabriquer

Sur les distributions Linux basées sur Debian telles que Ubuntu ou Kali, vous pouvez installer scalpel à partir du gestionnaire de paquets apt en exécutant :

# sudo apt installer scalpel

Les fichiers de configuration peuvent se trouver dans  /etc/scalpel/scalpel.conf' ou  /etc/scalpel.conf selon votre distribution Linux. Vous pouvez trouver les options de Scalpel dans la page de manuel ou en ligne à l'adresse https://linux.mourir.filet/homme/1/scalpel.

En conclusion Scalpel est plus rapide que PhotoRect qui a de meilleurs résultats lors de la récupération de fichiers, le prochain outil est BulkExtractor With Record Carving.

Extracteur en vrac avec outil de gravure de disques :

Comme les outils mentionnés précédemment, Bulk Extractor with Record Carving est multi-thread, il s'agit d'une amélioration de la version précédente "Bulk Extractor". Il permet de récupérer tout type de données à partir de systèmes de fichiers, de disques et de dump mémoire. Bulk Extractor with Record Carving peut être utilisé pour développer d'autres scanners de récupération de fichiers. Il prend en charge des plugins supplémentaires qui peuvent être utilisés pour la sculpture, mais pas pour l'analyse. Cet outil est disponible à la fois en mode texte pour être utilisé depuis un terminal et une interface graphique conviviale.

Bulk Extractor with Record Carving peut être téléchargé à partir de son site officiel à l'adresse https://www.kazamiya.net/en/bulk_extractor-rec.

Outil de sculpture le plus important :

Foremost est peut-être, avec PhotoRect l'un des outils de sculpture les plus populaires disponibles pour Linux et sur le marché en général, une curiosité est qu'il a été initialement développé par l'US Air Force. Foremost a des performances plus rapides par rapport à PhotoRect, mais PhotoRec récupère mieux les fichiers. Il n'y a pas d'environnement graphique pourForemost, il est utilisé depuis le terminal et recherche sur les en-têtes, les pieds de page et la structure des données.  Il est compatible avec les images d'autres outils tels que dd ou Encase pour Windows.

Foremost prend en charge tout type de sculpture de fichiers, y compris jpg, gif, png, bmp, avi, EXE, mpg, wav, riff, wmv, déplacer, pdf, vieux, doc, Zip *: français, rar, htm, et cpp. Foremost vient par défaut dans les distributions Forensic et orientées sécurité comme Kali Linux avec une suite d'outils Forensic.

Sur les systèmes Debian, Foremost peut être installé à l'aide du gestionnaire de paquets APT, sur une distribution Debian ou basée sur Linux :

# sudo apt install avant tout

Une fois installé, consultez la page de manuel pour les options disponibles ou vérifiez en ligne sur https://linux.mourir.net/homme/1/avant tout.
Bien qu'il s'agisse d'un programme en mode texte, Foremost est simple à utiliser pour la gravure de fichiers.

Disque de test :

TestDisk fait partie de PhotoRec, il peut réparer et récupérer des partitions, des secteurs de démarrage FAT32, il peut également réparer les systèmes de fichiers NTFS et Linux ext2, ext3, ext3 et restaurer les fichiers de tous ces types de partitions. TestDisk peut être utilisé à la fois par les experts et les nouveaux utilisateurs, ce qui facilite le processus de récupération des fichiers pour les utilisateurs domestiques, il est disponible pour Linux, Unix (BSD et OS), MacOS, Microsoft Windows dans toutes ses versions et DOS.

TestDisk peut être téléchargé depuis son site officiel (celui de PhotoRec) à l'adresse https://www.cgsecurity.org/wiki/TestDisk.

PhotoRect dispose d'un environnement de test pour vous entraîner à la sculpture de fichiers, auquel vous pouvez accéder à https://www.cgsecurity.org/wiki/TestDisk_and_PhotoRec_in_various_digital_forensics_testcase#Test_your_knowledge.

La plupart des outils répertoriés ci-dessus sont inclus dans les distributions Linux les plus populaires axées sur la criminalistique informatique, telles que l'outil de criminalistique en direct Deft/Deft Zero, l'outil de criminalistique en direct CAINE et probablement aussi sur Santoku en direct https://linuxhint.com/live_forensics_tools/.

J'espère que vous avez trouvé ce tutoriel sur les outils de sculpture de fichiers utile. Continuez à suivre LinuxHint pour plus de conseils et de mises à jour sur Linux et les réseaux.

Souris Comment changer la taille, la couleur et le schéma du pointeur et du curseur de la souris sous Windows 10
Comment changer la taille, la couleur et le schéma du pointeur et du curseur de la souris sous Windows 10
Le pointeur et le curseur de la souris dans Windows 10 sont des aspects très importants du système d'exploitation. Cela peut également être dit pour d...
Jeux Moteurs de jeux gratuits et open source pour le développement de jeux Linux
Moteurs de jeux gratuits et open source pour le développement de jeux Linux
Cet article couvrira une liste de moteurs de jeux gratuits et open source qui peuvent être utilisés pour développer des jeux 2D et 3D sur Linux. Il ex...
Jeux Tutoriel Shadow of the Tomb Raider pour Linux
Tutoriel Shadow of the Tomb Raider pour Linux
Shadow of the Tomb Raider est le douzième ajout à la série Tomb Raider - une franchise de jeux d'action-aventure créée par Eidos Montréal. Le jeu a ét...