Решил закинуть "статейку" с небольшим обзорчиком нескольких тулз для восстановления случайно (и не очень) удаленных данных с флешек, hdd и т.д.
При расследовании инцидентов часто на экспертизу попадают usb накопители, но методы изъятия из ПК или ноутбуков делают эти устройства потом не читаемыми, как пример такого устройства pqi usb flash 256 мб, при подключении в систему выдает "форматировать диск"
Подопытный: img образ, снятый утилитой dc3dd с 16гиговой флешки, на которой я чего только не таскал.
Инструментарий: Autopsy 4, Foremost, Scalpel, R-Studio, DMDE. Что-то кроссплатформерное, что-то нет. Что-то бесплатное, что-то платное.
Железо: ноут. 8 гигов оперативки, i5 проц с частотой 2,8. Так что если ваша машина мощнее, то и тулзы работать будут шустрее.
Критерии на которые я обращал внимание: скорость работы, какие типы файлов можно и нельзя восстановить, наличие кроссплатформерности и функционал.
Foremost
Легкая тулза для linux. Максимум простоты в обращении и в функционале. Типов файлов, которые она мне восстановила совсем не много, как и объем, который они занимали после восстаовления. Скоблил foremost это всё минут 5.
По моему личному мнению инструмент полезный по причине своей узконаправленности. Если вам не нужно восстанавливать утерянные iso'шники и всё возможное, а просто нужно вернуть удаленные картиночки, то тулза должна справиться и не забьет вам голову вопросом о том как с ней работать.
Scalpel
Инструмент уже помощнее. Есть под Linux и под Windows. Но я юзал его под Linux'ом и словил косяков. Сканит он в 2 этапа, судя по строкам в терминале.
И если первый скан проходит за 10 минут, то второй этап бухнул мне изначально 5 часов. Благо потом время спало до 1 часа, но чем дольше он сканировал, тем больше цифра становилась во времени ожидания.
В конце концов, спустя час ожидания, сканирование пришлось прервать из логических выводов. За 25 % сканирования во 2м этапе памяти на моем бедном hdd сталоменьше на 150 гигов. Напоминаю, что образ флешки всего 16 gb. Что за "ица трап"? До этого, с другими образами, была та же история. Если сканируемый образ был 30 mb, то папка с данными после полного сканирования весила 600 mb. Увеличение было примерно в 20 раз.
И ладно если бы scalpel реально наворотил там 150 гигов данных каких-то, но нет. Он создал тьму вот таких пустых папок. Они реально были пустыми,за исключением самых первых для одного типа. В первой папке находились файлы, а во всех последующих пустота.
Из-за возможных возникших проблем с прогой полной картины не дам, но по критериям скажу. Время занимает уйму, за час всего 20%. Касаемо количества типов восстанавливаемых файлов- достаточно не плохо, восстанавливаются самые распространенные типы. Жаль, что не совсем все. Функционал чуть пошире чем в foremost.
R-Studio
А теперь поговорим о платном кроссплатформерном чуде за 80+ баксов. Linux, Windows и OSX имеют установщики данной программы. Так что с кроссплатформерностью тут полнейший порядок (за такие деньги-то почему бы и нет). Ладно-ладно, есть бесплатная версия, но она может восстанавливать данные только размером меньше 256kb на сколько я помню.
Если не вникать в весь функционал (который достаточно не скудный) программы, то обращение сводится к 3м действиям: 1-Выбрать носитель; 2- Просканировать его; 3-Восстановить файлики. Все просто. Касаемо скорости тут тоже все прилично. Сканирование заняло около 5 минут. Касаемо типов файлов- восстанавливает всё, что найдет.
Отличная программа для популярных ОС с прекрасным функционалом и оптимизированной работой. Единственный минус- это минус 80+ баксов из кармана, если ее покупать.
Autopsy
А вот и конкурент для предыдущей программы, который тоже может похвастаться своей кроссплатформерностью и засесть на Linux, Windows и OSX. Но теперь инструмент бесплатный.
Функционал мало чем отличается от R-Studio. Всё так же можно работать как напрямую с носителями, так и с их образами. Всё те же манипуляции для восстановления файлов. Все тот же большой список типов файлов, которые можно восстановить... Отличие в более низкой производительности. Если R-Studio проделала работу за 5минут, то Autopsy пыхтел целых 30 минут.
Программа лично мне понравилась. И бесплатная, и функциональная, и поддерживает разные ОС. Но если в Windows установка происходит в пару кликов, то под Linux (Mint в моем случае) я немного подпыхтел и отложил установку 4й версии в дальнейшие планы. Про OSX не скажу ничего, ибо нет возможности попробовать данный инструмент там.
DMDE
И вот подобрались мы к последнему инструменту. Он тоже занимает высь в кроссплатформерности и расселяется на Linux, Windows и OSX. Но инструмент снова платный (90 баксов вроде как). Но имеет бесплатную версию. В каких краях эта бесплатная версия урезана я не понял. Юзалось все без каких-либо ограничений.
Функционал прекрасный, мне даже показалось, что пожирнее, чем у R-Studio будет. Производительность тоже прекрасная. Сканирование шло минут 7. Это конечно больше, чем у R-Studio, но DMDE выплюнула более целые файлы и структуру флешки. Типы восстанавливаемых файлов опять-таки на максимуме.
Выводы
Сначала скажу про конечное трио (Autopsy, R-studio, DMDE). Инструменты очень схожие между собой. Все достаточно функциональны, удобны и полезны. Так же все они кроссплатформерны. Остается вопрос в цене. Есть хороший бесплатный Autopsy, есть бесплатные версии R-Studio и DMDE. А есть и платные версии R-Studio и DMDE, которые, не будем врать друг другу, все могут спокойно найти на торрентах с кряками. Выбор за вами.
Теперь про Foremost и Scalpel. Они не имеют такого огромного функционала, но и не являются бесполезными, т.к. могут найти файлы определенного типа (если поддерживают его) в кротчайший период. Я запускал скан всех возможных файлов, но если бы я захотел восстановить чисто картиночки jpg, то инструменты справились бы секунд за 10. Так что не стоит сбрасывать со счетов маленькие программы.
Почему не рассматривались другие программы?
Я уверен, что найдутся люди, которые скажут про TestDisk, Recuva, Puran, R-Linux и прочий подобный инструментарий, поэтому пояснение. Я рассматривал программы, которые лично мне показались наиболее функциональными и которые были бы максимально кроссплатфорерными. Вдобавок я рассмотрел пару тулз, которые достаточно узконаправленные, но не бесполезны. Такие же не бесполезные, но и не мощные я не стал рассматривать по причине их большого количества. Все они полезны в определенные моменты и имеют свою изюменку, но...
Автор: @Dmitry__
При расследовании инцидентов часто на экспертизу попадают usb накопители, но методы изъятия из ПК или ноутбуков делают эти устройства потом не читаемыми, как пример такого устройства pqi usb flash 256 мб, при подключении в систему выдает "форматировать диск"
Подопытный: img образ, снятый утилитой dc3dd с 16гиговой флешки, на которой я чего только не таскал.
Инструментарий: Autopsy 4, Foremost, Scalpel, R-Studio, DMDE. Что-то кроссплатформерное, что-то нет. Что-то бесплатное, что-то платное.
Железо: ноут. 8 гигов оперативки, i5 проц с частотой 2,8. Так что если ваша машина мощнее, то и тулзы работать будут шустрее.
Критерии на которые я обращал внимание: скорость работы, какие типы файлов можно и нельзя восстановить, наличие кроссплатформерности и функционал.
Foremost
Легкая тулза для linux. Максимум простоты в обращении и в функционале. Типов файлов, которые она мне восстановила совсем не много, как и объем, который они занимали после восстаовления. Скоблил foremost это всё минут 5.
По моему личному мнению инструмент полезный по причине своей узконаправленности. Если вам не нужно восстанавливать утерянные iso'шники и всё возможное, а просто нужно вернуть удаленные картиночки, то тулза должна справиться и не забьет вам голову вопросом о том как с ней работать.
Scalpel
Инструмент уже помощнее. Есть под Linux и под Windows. Но я юзал его под Linux'ом и словил косяков. Сканит он в 2 этапа, судя по строкам в терминале.
И если первый скан проходит за 10 минут, то второй этап бухнул мне изначально 5 часов. Благо потом время спало до 1 часа, но чем дольше он сканировал, тем больше цифра становилась во времени ожидания.
В конце концов, спустя час ожидания, сканирование пришлось прервать из логических выводов. За 25 % сканирования во 2м этапе памяти на моем бедном hdd сталоменьше на 150 гигов. Напоминаю, что образ флешки всего 16 gb. Что за "ица трап"? До этого, с другими образами, была та же история. Если сканируемый образ был 30 mb, то папка с данными после полного сканирования весила 600 mb. Увеличение было примерно в 20 раз.
И ладно если бы scalpel реально наворотил там 150 гигов данных каких-то, но нет. Он создал тьму вот таких пустых папок. Они реально были пустыми,за исключением самых первых для одного типа. В первой папке находились файлы, а во всех последующих пустота.
Из-за возможных возникших проблем с прогой полной картины не дам, но по критериям скажу. Время занимает уйму, за час всего 20%. Касаемо количества типов восстанавливаемых файлов- достаточно не плохо, восстанавливаются самые распространенные типы. Жаль, что не совсем все. Функционал чуть пошире чем в foremost.
R-Studio
А теперь поговорим о платном кроссплатформерном чуде за 80+ баксов. Linux, Windows и OSX имеют установщики данной программы. Так что с кроссплатформерностью тут полнейший порядок (за такие деньги-то почему бы и нет). Ладно-ладно, есть бесплатная версия, но она может восстанавливать данные только размером меньше 256kb на сколько я помню.
Если не вникать в весь функционал (который достаточно не скудный) программы, то обращение сводится к 3м действиям: 1-Выбрать носитель; 2- Просканировать его; 3-Восстановить файлики. Все просто. Касаемо скорости тут тоже все прилично. Сканирование заняло около 5 минут. Касаемо типов файлов- восстанавливает всё, что найдет.
Отличная программа для популярных ОС с прекрасным функционалом и оптимизированной работой. Единственный минус- это минус 80+ баксов из кармана, если ее покупать.
Autopsy
А вот и конкурент для предыдущей программы, который тоже может похвастаться своей кроссплатформерностью и засесть на Linux, Windows и OSX. Но теперь инструмент бесплатный.
Функционал мало чем отличается от R-Studio. Всё так же можно работать как напрямую с носителями, так и с их образами. Всё те же манипуляции для восстановления файлов. Все тот же большой список типов файлов, которые можно восстановить... Отличие в более низкой производительности. Если R-Studio проделала работу за 5минут, то Autopsy пыхтел целых 30 минут.
Программа лично мне понравилась. И бесплатная, и функциональная, и поддерживает разные ОС. Но если в Windows установка происходит в пару кликов, то под Linux (Mint в моем случае) я немного подпыхтел и отложил установку 4й версии в дальнейшие планы. Про OSX не скажу ничего, ибо нет возможности попробовать данный инструмент там.
DMDE
И вот подобрались мы к последнему инструменту. Он тоже занимает высь в кроссплатформерности и расселяется на Linux, Windows и OSX. Но инструмент снова платный (90 баксов вроде как). Но имеет бесплатную версию. В каких краях эта бесплатная версия урезана я не понял. Юзалось все без каких-либо ограничений.
Функционал прекрасный, мне даже показалось, что пожирнее, чем у R-Studio будет. Производительность тоже прекрасная. Сканирование шло минут 7. Это конечно больше, чем у R-Studio, но DMDE выплюнула более целые файлы и структуру флешки. Типы восстанавливаемых файлов опять-таки на максимуме.
Выводы
Сначала скажу про конечное трио (Autopsy, R-studio, DMDE). Инструменты очень схожие между собой. Все достаточно функциональны, удобны и полезны. Так же все они кроссплатформерны. Остается вопрос в цене. Есть хороший бесплатный Autopsy, есть бесплатные версии R-Studio и DMDE. А есть и платные версии R-Studio и DMDE, которые, не будем врать друг другу, все могут спокойно найти на торрентах с кряками. Выбор за вами.
Теперь про Foremost и Scalpel. Они не имеют такого огромного функционала, но и не являются бесполезными, т.к. могут найти файлы определенного типа (если поддерживают его) в кротчайший период. Я запускал скан всех возможных файлов, но если бы я захотел восстановить чисто картиночки jpg, то инструменты справились бы секунд за 10. Так что не стоит сбрасывать со счетов маленькие программы.
Почему не рассматривались другие программы?
Я уверен, что найдутся люди, которые скажут про TestDisk, Recuva, Puran, R-Linux и прочий подобный инструментарий, поэтому пояснение. Я рассматривал программы, которые лично мне показались наиболее функциональными и которые были бы максимально кроссплатфорерными. Вдобавок я рассмотрел пару тулз, которые достаточно узконаправленные, но не бесполезны. Такие же не бесполезные, но и не мощные я не стал рассматривать по причине их большого количества. Все они полезны в определенные моменты и имеют свою изюменку, но...
Автор: @Dmitry__
