Neşter sistem kurtarma aracı, Linux'taki dosya ve klasörleri sildi. Bu araç sistem dosyalarını kurtarmak için kullanılır, Linux işletim sistemleri için açık kaynaklı bir araçtır. Silinen verilerin kurtarılması için, dosya kalıplarını izleme ve aramada daha hızlı ve daha verimli olmasına rağmen, her şeyden önce güncellenmiş bir çataldır.
Scalpel, bilinen dosya bayt modellerini depolayan ve silinen dosyaları tanımlayan ve anında kurtaran bir veritabanı kullanır. Çoğu zaman, önemli olan dosya veya klasörlerden yanlışlıkla veya sistem hatası bilgisi istenebilir. Neşter, silmiş olabileceğiniz bilgileri geri yüklememizi sağlayan bir araçtır. Bilgileri sildiğimizde, işletim sistemi genellikle dosyanın yalnızca dosya adı, sahibi ve konumu gibi meta verilerini kaldırır. Kullanıcı verileri, üzerine yazılana kadar depolama ortamında kalır.
Scalpel, dosya üstbilgilerine ve dosya altbilgilerine yanıt veren bayt kalıpları arayan bir diski veya depolama aygıtını analiz eder, bu şekilde dosyaya ait verileri kurtarmaya çalışır. Neşter çeşitli dosya türlerini algılayabilir. Bunun için farklı disk yapısını ve dosya formatlarını destekler, hangi formatı kurtarabileceğini tespit etmek için ifade kurallarına sahip dosyaların üstbilgi ve altbilgilerini içeren bir veritabanı kullanır.
Dosya üstbilgileri ve altbilgileri için yeni düzenli ifadeler eklemek için Scalpel'i güncel tutmak iyi bir fikir olsa da, birçok dağıtımın depolarında Scalpel vardır. Neşter yüksek hızlı tarama performansı sunar, tarama sırasında dosya biçimlerinin üstbilgi ve altbilgi veritabanını okur ve bir cihazdan bir dizi tanım ve normal ifade arasında eşleşen dosyaları ayıklar.
Scalpel, FAT, NTFS, ext2 veya ham bölümlerden disk formatlarını destekler. Hem dijital adli soruşturma hem de dosya kurtarma için kullanışlıdır. Bu araç, Otopsi ile sabit disklerin ve bölümlerin adli analizi hakkındaki eğitimde gördüğümüz Otopsi ile entegre olan Seulkit'in bir parçasıdır.
Yüklemek için bir terminal penceresine gidip aşağıdaki kodu yazabiliriz:
sudo apt-get install neşter
Sonraki neşter yapılandırmak Bunun için aşağıdaki komutu kullanarak kurulum dosyasını bulabiliriz:
neşter nerede
Daha sonra dosyayı nano veya vi gibi bir metin düzenleyici ile açıyoruz. Varsayılan olarak, tüm ifade satırları yapılandırma dosyasında # ile yorumlanır. Yapılandırma dosyasında neşter.conf, kurtarabileceğimiz dosya türlerini içeren bazı satırlar var. Örneğin jpg.webp, png, belge vb.
DikkatScalpel'i çalıştırmadan önce, Scalpel'in kurtarmasını istediğimiz dosya biçiminin yorumunu kaldırmalıyız.
Burada Scalpel'in aramasını istediğimiz dosya uzantılarının yorumunu kaldırıyoruz, eğer yorumlanmazlarsa bu dosyalar yok sayılır.
Önemli bir adım, çalıştırırken bir hata bulursak, manuel olarak oluşturmamız gerekir. / et / neşter klasörü ve içeride kopyalayın neşter.conf dosyası.
Sonra neşterini klasöründen çalıştırıyoruz, kurtarılan dosyaların kaydedildiği klasörü belirtiyoruz.
neşter -c /etc/scalpel/scalpel.conf / dev / sda -o testi
Resimde toplam diskin sadece %3'ünde 16 GB'nin nasıl kurtarıldığını görebiliriz. -o parametresi çıktıdır, silinen dosyaları geri yüklemek istediğiniz çıktı dizinini belirtir. Herhangi bir komutu çalıştırmadan önce bu dizinin boş olduğunu doğrulamalıyız, aksi takdirde bize bir hata verecektir.
Neşter tarama işlemini başlatır ve taramaya ve kurtarmaya çalıştığınız disk veya cihaz alanına bağlı olarak silinen dosyaların kurtarılması uzun zaman alabilir.
Bir pendrive'dan veya harici bir cihazdan veri kurtarmak istiyorsak, hangisinin bölüm aracılığıyla olduğunu bilmeliyiz. fdsik komutuBir pendrive veya flash bellek ise, genellikle bir sdb bölümü olarak bulunur.
neşter -c /etc/scalpel/scalpel.conf / dev / sdb -o recu
Klasörün içinde, tüm süreç ve kurtarılan dosyalar hakkında bilgi içeren audit.txt adlı bir dosya kaydedilir.
Bu durumda, png dosyalarının pendrive'dan kurtarıldığını görebiliriz ve bunları recu dediğimiz klasörde hazır bulundururuz. Scalpel'in yardımcı programlarından biri, bozuk veya arızalı bir USB harici aygıtının içeriğini kopyalamak ve bir img veya dd disk görüntüsü oluşturmaktır, böylece onu başka bir yazılımdan görebilir veya monte edebiliriz, disk görüntüsünü oluşturacak kod şudur:
neşter -c -c /etc/scalpel/scalpel.conf / dev / sdb -o kurtarıldı.ddNeşter, Centos ile sunucu çalışması için idealdir dosyaları terminal penceresinden uzaktan almak için. Scalpel, aşağıdakiler de dahil olmak üzere diğer sunucu odaklı Linux dağıtımlarında çalışır:
- Kırmızı şapka
- fötr şapka
- Debian.
Scalpel'in dezavantajlarından biri, bir diskin veya depolama aygıtının yapısının nasıl olduğunu ve bölümlerini yönetme komutlarının yanı sıra dosya sisteminin nasıl çalıştığını çok iyi bilmeniz gerekmesidir.
Silinen her dosya sabit sürücünüzde bir yerde kalır. Dosyaların verilerini içeren depolama aygıtının blok listesine bir işaretçi tutan işletim sistemi olmak,
Normalde Windows'ta, kayıp verileri kurtarmak için kullanılan Recuva gibi kullanmak için çok basit araçlara sahibiz, ancak Linux'ta sunucu düzeyinde güvenlikle kullanmak istiyorsak yalnızca birkaçı.
Neşter tüm sabit diski çalıştırır, harici depolama aygıtlarıyla çok iyi çalışır ve kayıp dosyaları düzenli ifadelere göre kurtarır, bu da onu çok yönlü kılar.