Въведение в техниките за възстановяване на данни -
Техниките за възстановяване на данни са съществена част от цифровата криминалистика. Това е не само важно за етичните хакери и тестери за проникване, но и за нормалните хора в ежедневния ни живот. Повечето от вас дори може да си помислят, че след като сте форматирали твърдия си диск или мобилния си телефон, всичките ви данни са изчезнали. Но това не е истинският факт. Данните могат да бъдат възстановени по всякакъв начин. Освен това, ако това е просто форматиране, техниките за възстановяване на данни са лесна задача и могат да се извършват с прости и безплатни инструменти, достъпни онлайн. Но за начинаещите хора, които нямат никаква представа за това, техниките за възстановяване на данни могат да бъдат разрушителна ситуация.
Някои от вас може да не знаят дори какви са техниките за възстановяване на данни и какви са аспектите на цифровата криминалистика. Така че, нека да разгледаме по-задълбочено това.
Дигитална криминалистика
Така че повечето от вас може да си помислят, че след като имате защитено с парола устройство на твърдия диск, вашите данни са защитени. И ако изтриете всичко и след това го форматирате отново, бихте си помислили, че го няма, нали? Но това не е така. И тук играят цифровата криминалистика.
Дигиталната криминалистика е част от етичното хакерство. Той не се занимава само с техники за възстановяване на данни, но и с манипулиране на данни, проследяване на източника на изображения, видеоклипове и mp3s, качени в мрежата. Дигиталната криминалистика е разнообразна категория, с която трябва да се справите. Той също така включва сканиране, поправяне и събиране на Intel от най-повредените твърди дискове и други устройства като мобилни телефони, PDA устройства, преносими компютри, биометрия и много други. По този начин техниките за възстановяване на данни са една от най-важните части на киберпрестъпността, тъй като достатъчно данни за конкретен хакер / страна биха помогнали за лесното разрешаване на престъплението. Ако не е това, то поне възстановените данни биха могли да помогнат за идентифициране на работния метод на хакера.
Сценарий на ежедневния живот
Сега си мислите: Добре, това е добре за Бяла шапка и тестер за проникване, но как е полезно в ежедневието ни? Нека ви дам сценарий в реалния живот.
Сценарий I: Nexus 5 Откровение
По време на моите дни, когато започнах да научавам за хакерство и други неща, бях изрод. Винаги имах навика да купувам много устройства и да експериментирам с него. Но тъй като парите са проблем, използвах да купувам мобилни телефони втора употреба, продавани на eBay, olx или от крайпътни продавачи за четвърт от първоначалната цена. Не толкова дълго назад, когато експериментирах с Nexus 5, който купувах от eBay за 8K, загубих много данни, които имах вътре. Нещата се случиха нещо подобно:
Nexus 5 Bootloader
След като закупих Nexus 5, той беше напълно форматиран от предишния собственик. Вкорених го и инсталирах Cyanogen Mod 11.00 (CM11-KitKat) и инсталирах изцяло AK ядро. Всъщност работеше толкова добре, че започнах да го използвам като ежедневен шофьор. Но когато се опитах да го овърклок, телефонът всъщност умря. Батерията изгоря поради претоварване. Закупих друга батерия и я спойках. Но когато стартирах Cell, тя беше залепена на цикъла за зареждане (Bootloop означава непрекъснато зареждане при зареждане на екрана при стартиране). И така, трябваше да инсталирам отново цялата ОС. Но тъй като исках да възстановя всички данни, които имах вътре, трябваше да направя няколко маймунски трикове, за да възстановя всички данни. Не беше пряка ситуация напред. И когато казвам техники за възстановяване на данни, нямам предвид вътрешни данни. Имам предвид действителните данни на телефона, където се съхраняват настройки и други неща. И така, започнах да търся онлайн безплатни инструменти за обучение за възстановяване на данни и намерих инструмента Safecopy за Linux. Имах превъзходство в Linux, но никога не знаех нищо за него. Инсталирах го като напишете:
Препоръчителни курсове
- Онлайн курс по HTML и HTML5
- Курс за професионално тестване на софтуер
- Курс за онлайн сертифициране в Drupal 7
- Обучение за онлайн сертифициране в JQuery
$ apt - вземете инсталирайте безопасно копие
Веднъж инсталиран, аз се опитах да направя изображение на цял диск на дяла на данни и кеш, използвайки Safecopy, използвайки командата по-долу:
$ safecopy / dev / Nexus5 nexus5.iso
, Целите ми данни бяха с нещо 5-6 гига, но възстановените данни изглеждаха около 14 гига. Бях шокиран да видя това. Сега, тъй като бях отчаян и любопитен да си върна данните без корупция; Използвах и ADB инструменти (Android Debug Bridge), за да взема резервното копие.
Инсталирах ADB инструменти в Linux, като напишете:
$ apt - вземете инсталирайте android-tools-ADB
Използвах следната команда, за да взема пълния архив на мобилния си телефон:
$ adb backup -apk -shared -all -f /root/temp.ab
Ако просто искате да архивирате без apk, можете да използвате едно от следните:
$ adb backup -all -f /root/temp.ab
Можете, обаче, да проверите командата за помощ, за да проверите за още флагове и опции.
Сега идва най-шокиращата част. Отне около 3-4 часа, за да получите пълното архивиране на мобилния телефон. След като направих, общият файл, който получих, беше от 33 концерта. Бях шокиран, когато видях това. Целият ми Nexus 5 беше с 16 концерта, от които имах само 12 гига на разположение за съхранение на неща и отново използвах само 5-6 гига от това. Тогава откъде по дяволите са дошли останалите 26 концерта? Най-лошият въпрос беше къде е съхраняван? Объркан с това, използвах SQLite Viewer за преглед на архивния файл, преди да мога да го възстановя отново, и това, което видях, беше невероятно. Той не само отне архивиране на моите, но когато се опитах да възстановя данните, всички данни, които предишния собственик съхранява, бяха възстановени. Бих могъл да прегледам Facebook чатовете и данните от We-chat, както и да използвам браузъра SQLite и SQLite Viewer. Беше въпрос на време, преди да успея да отделя старите данни за възстановяване от собствените си данни. Можех също да възстановя SMS и информацията за контактите, използвайки скандалния Sleuth Kit, но реших да му отделя малко време, преди да успея да овладея основната база данни за възстановяване. Възстанових и базата данни на Whatsapp и с малко социално инженерство хакнах и шифрования ключ на човека, от когото бях закупил Мобилния телефон. Но по-късно аз се обадих на конкретния човек, тъй като той беше скромен човек и го информирах за проблемите, които биха могли да се случат, ако това попадна в грешните ръце.
Сценарий II: Методът на Кевин Митник
Съмнявам се дали повечето от вас може да са чували за скандалния хакер Кевин Митник. Той е написал множество книги, свързани със социалното инженерство и хакерството. Той беше в списъка на най-търсените от ФБР и също излежава 5 години затвор за същото, но по-късно беше освободен, тъй като срещу него не бяха намерени много доказателства. Може би се чудите защо казвам това. Причината за това е, защото; Кевин беше отличен социален инженер. И използвах няколко негови трика, за да проникна в уебсайтове и организации (очевидно по закон). Това, което той правеше, беше много впечатляващо, тъй като той се представяше за себе си като някой и да получи физически достъп до организация и след това да го хакне. Освен това правеше самосвал, през който можеше да получи достъп до чувствителни файлове, изхвърлени като боклук в боклука.
Сега, когато прочетох книгата му „Изкуство на измамата“, реших да опитаме. И това беше две години назад, когато работех в друга ИТ организация. Знаех, че на всеки 3 години компанията постоянно се актуализира чрез промяна на част от хардуера и използва за продажба на тези компоненти на най-високия участник в eBay в много партиди. Изглежда купих няколко твърди диска от там. Всичко беше чисто и форматирано и бавно. И така, използвах този инструмент, известен като техники за възстановяване на данни на EASEUS, за да възстановя изтритите данни. В този момент не знаех за безопасно копие. И така, използвах този софтуер за обучение за възстановяване на данни. Първо използвах пробната версия и намерих много файлове, но беше силно повреден и не можах да ги възстановя. Освен това файловете, показани като „могат да бъдат възстановени файлове“, бяха на повече от 2-3 години. И така, имах жив диск тогава, който беше Knoppix, известният жив диск за отстраняване на неизправности с нещо. Но това, което направих и по-късно разбрах, е, че това може да се направи чрез всяка Linux дистрибуция, а не само Knoppix. Използвах командата dd, за да клонирам целия твърд диск и да го сканирам по сектори. dd е инструмент за копиране на дискови програми за Linux. Тук дори можете да посочите почти всичко - от размера на блока до клонирането на цял диск.
Използвах следната команда за клониране на твърдия диск:
$ dd, ако = / dev / sdb1 от = / root / tempclone.iso bs = 2048
Тук можете да определите всеки размер на блока според вашето желание, вариращ от 512k до 4096, докато не знаете какво правите. Тук dd моли компютъра да провери за диск с етикет sdb1 и ако е там, направете копие на целия диск в iso или файл с изображение в зависимост от използването му с размера на блока да бъде 2048k и след това го запазете към корен директория с името на tempclone.iso. Можете също така да обърнете процеса на конвертиране на iso клонинг във физически HDD, като въведете следното:
$ dd, ако = / root / tempclone.iso от = / dev / sdb1 bs = 1024
Тук винаги предпочитам да използвам размера на ниския страничен блок поради лични предпочитания. Можете да го увеличите, ако искате, но имах лоши преживявания с него в миналото. По този начин ниският размер на блока.
И така, като клонирате HDD, вече имате пълен клон на целия HDD на вашия компютър. Но имайте предвид, че това няма да работи на обикновен форматиран твърд диск, тъй като няма какво да се клонира. Първо ще трябва да възстановите повредените данни, като използвате добър софтуер за възстановяване на дискове като EASEUS, дори ако е нечетлив, това не е проблем. След като бъде възстановен, можете да го клонирате с помощта на командата dd. Причината за това е, че ако на твърдия ви диск има невъзстановими лоши сектори, твърдият диск дори няма да ви позволи да четете останалата част от данните в близост до този сектор. Но можем да направим това, като клонираме устройството. След като бъдете клонирани, можете да използвате следните инструменти, за да идентифицирате и премахнете лошите сектори и да запазите само добрите и възстановими сектори и след това да ги прочетете:
- HDDScan
(Http://hddscan.com/)
- HDDLLF
(Http://hddguru.com/)
- Проверете Flash
(Http://mikelab.kiev.ua/index_en.php?page=PROGRAMS/chkflsh_en)
- Чип гений
(Www.usbdev.ru/files/chipgenius/)
Така че, правейки това, извадих приблизително 390 гига данни от 500-те гига твърди диска и от които успях да възстановя некорумпирани данни от около 236 гигабайта. Това беше сериозен проблем, тъй като получената от мен информация беше изключително поверителна. Преглеждайки данните, видях, че това е твърдият диск, използван от екипа на човешките ресурси, за да спести заплата, осигурителен фонд и друга счетоводна информация. Бързо върнах тази информация на ръководителя на IT отдела и го информирах за това, но тъй като това е Индия, не бяха предприети подходящи действия. Препоръчах на компанията да унищожи твърдите дискове, а не да ги продава, защото това всъщност може да е кошмар, ако данните на банковата сметка попаднат в грешни ръце. Въпреки това ме помолиха да се оттегля, но въпреки това получих повишение поради това, което е съвсем различна история.
Цифрова криминалистика и техники за възстановяване на данни: След
Но въпросът тук е, че техниките за възстановяване на данни са приложими не само за всяка друга организация, но и за нормалните хора, които използват електронни устройства за съхраняване на поверителни данни. Бих могъл да продължа по въпроса, но това няма значение. Важното, което трябва да знаете, е как да унищожите доказателствата от цифровата криминалистика. В днешно време хакерите използват LUKS криптиране, за да унищожат данни, ако някой го подправя, което презаписва всеки байт с нули, а не с всяко друго шестнадесетично число. Това обаче прави техниките за възстановяване на данни безполезни. Но отново, това не е детска игра за всички, които използват LUKS криптиране. Освен това използването на LUKS криптиране има голям недостатък, че ако вие сами забравите паролата за съхранените данни, тя няма как да бъде възстановена, независимо какво. Ще останеш завинаги. Но очевидно е по-добре никой да няма достъп до данните, отколкото някой крадец да го използва за злонамерена цел.
Техники за възстановяване на данни и цифрова криминалистика е друга важна причина, поради която хакерите обикновено унищожават всички данни със сигурно изтриване от жертвата или подчинения компютър, след като работата им бъде извършена, така че нищо да не може да бъде проследено до тях. Винаги има повече, отколкото изглежда. Техники за възстановяване на данни, като всяко друго нещо на планетата, е благодат, както и проклятие. Те са две страни на една и съща монета. Не можете да спасите едното, докато унищожавате другото.
Първи източник на изображения: Pixabay.com
Препоръчителни статии: -
Ето няколко статии, които ще ви помогнат да получите повече подробности за цифровата криминалистика и важните аспекти на техниките за възстановяване на данни, така че просто преминете през линка.
- Мощен план за цифрова маркетингова кампания
- 5 прости цифрови маркетингови стратегии за успех в бизнеса
- 11 Важни умения, които трябва да има мениджърът по дигитален маркетинг
- Как цифровото обучение ще промени образованието?
- Правилно ръководство за Drupal vs Joomla
- Drupal 7 срещу Drupal 8: Характеристики
- ACCA срещу CIMA: Функции