Введение в методы восстановления данных -
Методы восстановления данных являются неотъемлемой частью цифровой криминалистики. Это важно не только для этических хакеров и тестеров проникновения, но и для обычных людей в нашей повседневной жизни. Большинство из вас может даже подумать, что после форматирования жесткого диска или мобильного телефона все ваши данные исчезнут. Но это не факт. Данные могут быть восстановлены любым способом. Кроме того, если это просто форматирование, методы восстановления данных являются легкой задачей и могут быть выполнены с помощью простых и бесплатных инструментов, доступных онлайн. Но для начинающих людей, которые не имеют никакого представления об этом, методы восстановления данных могут быть сложной ситуацией.
Некоторые из вас могут даже не знать, что такое методы восстановления данных и каковы аспекты цифровой криминалистики. Итак, давайте углубимся в это.
Цифровая криминалистика
Поэтому большинство из вас может подумать, что если у вас есть защищенный паролем жесткий диск, ваши данные будут защищены. И если вы удалите все, а затем снова отформатируете, вы подумаете, что оно пропало, а? Но это не так. И именно здесь Digital Forensics вступает в игру.
Цифровая криминалистика является частью этического взлома. Это касается не только методов восстановления данных, но и манипулирования данными, отслеживания источника изображений, видео и mp3, загруженных в Интернете. Цифровая криминалистика - это разнообразная категория, с которой приходится иметь дело. Он также включает в себя сканирование, восстановление и сборку Intel с наиболее поврежденных жестких дисков и других устройств, таких как сотовые телефоны, КПК, портативные компьютеры, биометрические устройства и многое другое. Таким образом, методы восстановления данных являются одной из наиболее важных частей киберпреступности, поскольку достаточное количество данных о конкретном хакере / стороне поможет легко раскрыть преступление. Если нет, то, по крайней мере, восстановленные данные могут помочь определить метод работы хакера.
Сценарий повседневной жизни
Теперь вы думаете: хорошо, это хорошо для White Hat и тестера на проникновение, но как это полезно в нашей повседневной жизни? Позвольте мне дать вам реальный сценарий.
Сценарий I: Nexus 5 Revelation
В те дни, когда я начал изучать хакерство и прочее, я был фанатом гаджетов. У меня всегда была привычка покупать много устройств и экспериментировать с ними. Но поскольку деньги - это проблема, я покупал бывшие в употреблении сотовые телефоны, продаваемые на eBay, olx или у придорожных продавцов, за четверть первоначальной цены. Не так давно, когда я экспериментировал с Nexus 5, который я покупал у eBay для 8K, я потерял много данных, которые у меня были внутри. Материал произошел примерно так:
Nexus 5 Bootloader
После того, как я купил Nexus 5, он был полностью отформатирован предыдущим владельцем. Я рутировал его и установил Cyanogen Mod 11.00 (CM11-KitKat) и установил полностью ядро АК. На самом деле все работало так хорошо, что я начал использовать его в качестве ежедневного водителя. Но когда я попытался разогнать его, телефон фактически отключился. Аккумулятор сгорел из-за перегрузки. Я купил другую батарею и спаял ее. Но когда я запустил Cell, он застрял в цикле загрузки (Bootloop означает бесконечную загрузку при загрузке экрана при запуске). Итак, мне пришлось переустановить всю ОС. Но так как я хотел восстановить все данные, которые у меня были внутри, мне пришлось сделать несколько уловок, чтобы восстановить все данные. Это была не простая ситуация. И когда я говорю методы восстановления данных, я не имею в виду внутренние данные. Я имею в виду фактические данные телефона, где хранятся настройки и другие вещи. Итак, я начал искать в Интернете бесплатные инструменты для обучения восстановлению данных и нашел инструмент Safecopy для Linux. У меня было преимущество в Linux, но я ничего не знал об этом. Я установил его, набрав:
Рекомендуемые курсы
- Онлайн курс по HTML и HTML5
- Курс профессионального тестирования программного обеспечения
- Сертификационный онлайн-курс в Drupal 7
- Сертификационный онлайн-тренинг по JQuery
$ apt-get установить безопасную копию
После установки я попытался создать образ диска для раздела данных и кэша, используя Safecopy, используя следующую команду:
$ safecopy / dev / Nexus5 nexus5.iso
, Все мои данные были где-то 5-6 гигов, но восстановленные данные, казалось, были около 14 гигов. Я был шокирован, увидев это. Теперь, так как мне было отчаянно и любопытно вернуть мои данные без повреждения; Я также использовал инструменты ADB (Android Debug Bridge) для резервного копирования.
Я установил инструменты ADB в Linux, набрав:
$ apt-get install android-tools-ADB
Я использовал следующую команду, чтобы сделать полную резервную копию моего мобильного телефона:
$ adb backup -apk -shared -all -f /root/temp.ab
Если вы просто хотите сделать резервную копию без apk, вы можете использовать любой из следующих:
$ adb backup -all -f /root/temp.ab
Однако вы можете проверить команду справки, чтобы проверить наличие дополнительных флагов и параметров.
Теперь наступает самая шокирующая часть. Полное резервное копирование сотового телефона заняло примерно 3-4 часа. Когда я закончил, общий файл, который я получил, составлял 33 гига. Я был в шоке, когда увидел это. Весь мой Nexus 5 был от 16 концертов, из которых у меня было только 12 гигов, доступных для хранения вещей, и опять же, я использовал только 5-6 гигов от этого. Тогда откуда, черт возьми, остались оставшиеся 26 концертов? Худший вопрос был где все это хранилось? Смущенный этим, я использовал Средство просмотра SQLite, чтобы просмотреть файл резервной копии прежде, чем я мог восстановить его снова, и то, что я видел, было невероятно. Это не только сделало мою резервную копию, но когда я попытался восстановить данные, все данные, которые сохранял предыдущий владелец, были также восстановлены. Я мог просматривать чаты Facebook и данные чата, а также использовать браузер SQLite и средство просмотра SQLite. Это было лишь вопросом времени, прежде чем я смог отделить старые данные восстановления от моих собственных данных. Я мог бы также восстановить SMS и информацию о контактах, используя печально известный комплект Sleuth Kit, но я подумал немного подождать, прежде чем смогу освоить базовое восстановление базы данных. Я также восстановил базу данных WhatsApp, и с помощью небольшой социальной инженерии я также взломал зашифрованный ключ человека, у которого я купил сотовый телефон. Но, тем не менее, я позже позвонил конкретному человеку, поскольку он был скромным человеком, и сообщил ему о проблемах, которые могли бы произойти, если бы это попадало в чужие руки.
Сценарий II: метод Кевина Митника
Я сомневаюсь, что большинство из вас, возможно, слышали о печально известном хакере Кевине Митнике. Он написал множество книг, связанных с социальной инженерией и взломом. Он был в списке наиболее разыскиваемых ФБР и также отбывал 5 лет тюрьмы за то же самое, но позже был освобожден, так как против него не было найдено много улик. Вы можете быть удивлены, почему я говорю это. Причина этого в том, что; Кевин был отличным социальным инженером. И я использовал несколько его уловок, чтобы проникнуть на веб-сайты и в организации (очевидно, юридически). То, что он делал, было очень впечатляющим, поскольку он выдавал себя за кого-то вроде себя, получал физический доступ к организации и затем взламывал ее. Он также делал вождение мусорного контейнера, через которое он мог получить доступ к чувствительным файлам, выброшенным как мусор в мусоре.
Теперь, когда я прочитал его книгу «Искусство обмана», я подумал, давайте попробуем. И это было два года назад, когда я работал в другой ИТ-организации. Я знал, что каждые 3 года компания постоянно обновлялась, меняя некоторые аппаратные средства, и продавала эти компоненты самой продаваемой компании на eBay партиями. По-видимому, я купил несколько жестких дисков оттуда. Все было чисто, отформатировано и медленно. Итак, я использовал этот инструмент, известный как EASEUS Data Recovery для восстановления удаленных данных. На тот момент я не знал о безопасном копировании. Итак, я использовал это программное обеспечение для восстановления данных. Сначала я использовал пробную версию и нашел много файлов, но был сильно поврежден и не смог их восстановить. Кроме того, файлы, которые были показаны как «можно восстановить файлы», были старше 2-3 лет. Итак, у меня был живой диск, которым был Knoppix, известный живой диск для устранения неполадок. Но потом я понял, что это можно сделать с помощью любого дистрибутива Linux, а не только Knoppix. Я использовал команду dd для клонирования всего жесткого диска и сканирования его сектор за сектором. dd - это утилита копирования дисков для Linux. Здесь вы можете даже указать практически все, от размера блока до клонирования всего диска.
Я использовал следующую команду для клонирования жесткого диска:
$ dd if = / dev / sdb1 of = / root / tempclone.iso bs = 2048
Здесь вы можете указать любой размер блока по вашему желанию в диапазоне от 512 К до 4096, пока вы не знаете, что делаете. Здесь dd просит компьютер проверить диск с меткой sdb1 и, если он есть, скопировать весь диск в iso или файл образа в зависимости от вашего использования с размером блока 2048 Кб, а затем сохранить его. в корневой каталог с именем tempclone.iso. Вы также можете изменить процесс преобразования iso-клона в физический жесткий диск, введя следующее:
$ dd if = / root / tempclone.iso из = / dev / sdb1 bs = 1024
Здесь я всегда предпочитаю использовать меньший размер бокового блока из-за личных предпочтений. Вы можете увеличить его, если хотите, но у меня был плохой опыт в прошлом. Таким образом, низкий размер блока.
Таким образом, благодаря клонированию жесткого диска у вас теперь есть полный клон всего жесткого диска на вашем компьютере. Но обратите внимание, что это не будет работать на обычном отформатированном жестком диске, так как нечего клонировать. Сначала вам нужно будет восстановить поврежденные данные, используя хорошее программное обеспечение для восстановления дисков, такое как EASEUS, даже если оно нечитаемо, это не проблема. После восстановления вы можете клонировать его с помощью команды dd. Причина этого в том, что, если на вашем жестком диске есть неисправимые поврежденные сектора, жесткий диск даже не позволит вам прочитать оставшуюся часть данных рядом с этим сектором. Но мы можем сделать это путем клонирования диска. После клонирования вы можете использовать следующие инструменты для выявления и удаления плохих секторов и сохранения только хороших и восстанавливаемых секторов, а затем читать их:
- HDDScan
(Http://hddscan.com/)
- HDDLLF
(Http://hddguru.com/)
- Проверьте Flash
(Http://mikelab.kiev.ua/index_en.php?page=PROGRAMS/chkflsh_en)
- Чип Гений
(Www.usbdev.ru/files/chipgenius/)
Таким образом, я извлек примерно 390 гигабайт данных с жесткого диска на 500 гигабайт, и из них я смог восстановить нетронутые данные размером около 236 гигабайт. Теперь это была серьезная проблема, так как информация, которую я получил, была чрезвычайно конфиденциальной. Просматривая данные, я обнаружил, что это был жесткий диск, который использовался отделом кадров для экономии зарплаты, резервного фонда и другой учетной информации. Я быстро вернул эту информацию главе ИТ-отдела и сообщил ему об этом, но, поскольку это Индия, никаких надлежащих действий предпринято не было. Я рекомендовал компании уничтожать жесткие диски, а не продавать их, потому что это может стать кошмаром, если информация о банковском счете попадет в чужие руки. Тем не менее, меня попросили уйти в отставку, но, тем не менее, я получил повышение по службе из-за этого, что в целом является другой историей.
Цифровая криминалистика и методы восстановления данных: последствия
Но дело здесь в том, что методы восстановления данных применимы не только к любой другой организации, но и к обычным людям, использующим электронные устройства для хранения конфиденциальных данных. Я мог бы продолжать и продолжать об этом, но это не имеет значения. Важная вещь, которую нужно знать, - это как уничтожить улики, полученные с помощью цифровой криминалистики. В настоящее время хакеры используют шифрование LUKS для уничтожения данных, если кто-то подделывает их, при этом каждый байт перезаписывается нулями, а не любым другим шестнадцатеричным числом. Это, однако, делает методы восстановления данных бесполезными. Но опять же, не всем нравится использовать шифрование LUKS. Кроме того, использование шифрования LUKS имеет большой недостаток: если вы сами забудете пароль к хранимым данным, его невозможно будет восстановить ни при каких условиях. Вы застрянете навсегда. Но очевидно, что лучше, чтобы никто не имел доступа к данным, а не какой-то вор, использующий их в злонамеренных целях.
Методы восстановления данных и цифровая криминалистическая экспертиза - еще одна важная причина, по которой хакеры обычно удаляют все данные с помощью безопасного удаления с жертвы или подчиненного компьютера после того, как их работа завершена, чтобы ничего не было прослежено до них. Это всегда больше, чем кажется. Методы восстановления данных, как и любая другая вещь на планете, являются благом и проклятием. Это две стороны одной медали. Вы не можете сохранить одно, уничтожая другое.
Первый источник изображения: Pixabay.com
Рекомендуемые статьи: -
Вот несколько статей, которые помогут вам получить более подробную информацию о цифровой экспертизе и важных аспектах методов восстановления данных, поэтому просто перейдите по ссылке.
- Мощный План Кампании Цифрового Маркетинга
- 5 простых цифровых маркетинговых стратегий для успеха в бизнесе
- 11 важных навыков, которые должен иметь менеджер по цифровому маркетингу
- Как цифровое обучение может изменить образование?
- Правильное руководство по Drupal против Joomla
- Drupal 7 против Drupal 8: особенности
- ACCA против CIMA: функции