קראו תחילה את המאמר
פורנזיקה – Cyber Forensics – הסבר על ASCII, דיסק קשיח – Sector & Clusters,Image
שחזור קבצים
כאשר אתם מגיעים למצב בו אתם צריכים לחקור מערכת הפעלה, אתם תצטרכו לבדוק גם קבצים “חשודים” או לא חשודים שהמשתמש אולי מחק,
הדרך לבצע את השחזור בצורה הקלה ביותר היא ע”י כלי נוח, אחד מהם הוא Recuva הכלי משתמש בדיוק בטכניקה שלמדנו בה המערכת עוברת על כל ה Clusters שאינם מחוקים או אזורי Slack Space
כלי נוסף שנבדוק הוא File Scavanger
שחזור קבצים ב SSD הוא בעייתי יותר אם TRIM מופעל עליו, שכן TRIM מבצע מחיקה מלאה, הוא אינו משאיר את המידע “שהיה” זאת אומרת שמערכת הקבצים בדיסק רגיל, אומרת למערכת ההפעלה שה Clusters הבאים הוגדרו למחיקה ואם המערכת רוצה לכתוב אליו היא תצטרך קודם למחוק באופן מוחלט את המידע ורק אז לכתוב את המידע החדש.
בתצורת TRIM מערכת הקבצים אינה צריכה לחכות שהמידע ימחק סופית ורק אז לכתוב וכך מידע שנמחק ב SSD בו נמצא תצורת TRIM “מחוק לעד”
אופציה א’ – Recuva
תארו לכם מצב בו יש לכם DiskOnKey אבל אתם רוצים לבצע לו Image במחשב “מלוכלך” ואז להעביר את המידע בDOK אליכם למחשב שבו יש את כל הכלים שאתם צריכים, האופציה הזו היא ליצור בעזרת FTK היא Image
יצרתי כונן חדש בגודל 1 GB (מעבדה ושהImage יהיה קטן), יצרתי קובץ טקסט
ומחקתי אותו (מחיקה מלאה, גם בסל המחזור הקובץ לא קיים)
לאחר מכן בעזרת FTK, בהמשך המאמר מוסבר על כיצד ליצור Image (העתק של הכונן כולו לקובץ) כעת העברתי למחשב שבו מותקן לי OSmount ו Recuva
כעת הורידו את הכלי OSFMount בעזרתו נטען את קובץ ה Image ככונן
הורידו גם את Recuva
הפעילו את OSmount ולחצו על Mount New
כעת בחרו את הקובץ Image ולחצו הבא
לחצו על Mount ואז בחרו את הדיסק והבא
לחצו Mount
כעת רשום לנו שהImage נטען לכונן G
כעת נשחזר את הקבצים ונבחר בכל הקבצים, נפתח את Recuva ונלחץ על הבא
נבחר את הכונן G
נסמן Deep Scan והבא
מצויין! הקובץ שמחקתי חזר!
נסמן אותו ב V ונלחץ Recover
שוחזר!
אופציה ב’
כמו ב Recuva טענו את ה Image ככונן
הורדתי את הכלי File Scavenger – קיימים כלי נוספים ורבים
טענתי את הImage ובצעתי סריקה
נסמן כעת את TheSecrets.txt שמחקתי קודם לכן
ונעבור ל Save
סמנו בV את הקובץ ואז שמור
בסיום הקובץ שמחקנו שוחזר, זכרו הצלחנו לשחזר את הקובץ כי לא נכתב שום דבר על ה Cluster שבו היה הקובץ ולכן הוא היה עדיין קיים
