• Открыта запись на вторую часть курса по анонимности и безопасности в сети интернет "Paranoid II" от команды codeby. Анонимные роутеры, Подъём, настройка и администрирование Tor-ноды, Работа с железом ПК, Удаление аппаратных закладок, Минимизация рисков, Авторские разработки и многое другое. Подробнее ...

  • Напоминаем, что 1 декабря стартует курс "Тестирование Веб-Приложений на проникновение с нуля" от команды codeby. Общая теория, подготовка рабочего окружения, пассивный фаззинг и фингерпринт, активный фаззинг, уязвимости, пост-эксплуатация, инструментальные средства, Social Engeneering и многое другое. Подробнее ...

Soft Несколько инструментов для восстановления удаленных данных с носителей.

Dmitry__

Dmitry__

Премиум
14.01.2017
96
22
Приветствую всех гостей и форумчан codeby. Решил закинуть "статейку" с небольшим обзорчиком нескольких тулз для восстановления случайно (и не очень) удаленных данных с флешек, hdd и т.д. Сразу говорю, что это не мануалы к инструментам, а, можно сказать, поверхностный взгляд на них. Так же я не учитываю то, что носители могут быть шифрованы или же испорчены до невыносимости. Однако это не значит, что программы не могут работать с такими носителями, подробности читайте на официальных сайтах программ. Прошаренным чувачкам скорее это будет не интересно, но тем, кто только начинает вливаться в облать сбережет немного времени в выборе или направлении выбора инструментов.

Подопытный: img образ, снятый утилитой dc3dd с 16гиговой флешки, на которой я чего только не таскал.
Инструментарий: Autopsy 4, Foremost, Scalpel, R-Studio, DMDE. Что-то кроссплатформерное, что-то нет. Что-то бесплатное, что-то платное.
Железо: ноут. 8 гигов оперативки, i5 проц с частотой 2,8. Так что если ваша машина мощнее, то и тулзы работать будут шустрее.
Критерии на которые я обращал внимание: скорость работы, какие типы файлов можно и нельзя восстановить, наличие кроссплатформерности и функционал.

Foremost

Несколько инструментов для восстановления удаленных данных с носителей.


Легкая тулза для linux. Максимум простоты в обращении и в функционале. Типов файлов, которые она мне восстановила совсем не много, как и объем, который они занимали после восстаовления. Скоблил foremost это всё минут 5.

Несколько инструментов для восстановления удаленных данных с носителей.


По моему личному мнению инструмент полезный по причине своей узконаправленности. Если вам не нужно восстанавливать утерянные iso'шники и всё возможное, а просто нужно вернуть удаленные картиночки, то тулза должна справиться и не забьет вам голову вопросом о том как с ней работать.

Scalpel

Несколько инструментов для восстановления удаленных данных с носителей.


Инструмент уже помощнее. Есть под Linux и под Windows. Но я юзал его под Linux'ом и словил косяков. Сканит он в 2 этапа, судя по строкам в терминале.

Несколько инструментов для восстановления удаленных данных с носителей.


И если первый скан проходит за 10 минут, то второй этап бухнул мне изначально 5 часов. Благо потом время спало до 1 часа, но чем дольше он сканировал, тем больше цифра становилась во времени ожидания.

Несколько инструментов для восстановления удаленных данных с носителей.


В конце концов, спустя час ожидания, сканирование пришлось прервать из логических выводов. За 25 % сканирования во 2м этапе памяти на моем бедном hdd сталоменьше на 150 гигов. Напоминаю, что образ флешки всего 16 gb. Что за "ица трап"? До этого, с другими образами, была та же история. Если сканируемый образ был 30 mb, то папка с данными после полного сканирования весила 600 mb. Увеличение было примерно в 20 раз.

Несколько инструментов для восстановления удаленных данных с носителей.


И ладно если бы scalpel реально наворотил там 150 гигов данных каких-то, но нет. Он создал тьму вот таких пустых папок. Они реально были пустыми,за исключением самых первых для одного типа. В первой папке находились файлы, а во всех последующих пустота.

Несколько инструментов для восстановления удаленных данных с носителей.


Из-за возможных возникших проблем с прогой полной картины не дам, но по критериям скажу. Время занимает уйму, за час всего 20%. Касаемо количества типов восстанавливаемых файлов- достаточно не плохо, восстанавливаются самые распространенные типы. Жаль, что не совсем все. Функционал чуть пошире чем в foremost.

R-Studio

А теперь поговорим о платном кроссплатформерном чуде за 80+ баксов. Linux, Windows и OSX имеют установщики данной программы. Так что с кроссплатформерностью тут полнейший порядок (за такие деньги-то почему бы и нет). Ладно-ладно, есть бесплатная версия, но она может восстанавливать данные только размером меньше 256kb на сколько я помню.

Несколько инструментов для восстановления удаленных данных с носителей.


Если не вникать в весь функционал (который достаточно не скудный) программы, то обращение сводится к 3м действиям: 1-Выбрать носитель; 2- Просканировать его; 3-Восстановить файлики. Все просто. Касаемо скорости тут тоже все прилично. Сканирование заняло около 5 минут. Касаемо типов файлов- восстанавливает всё, что найдет.

Несколько инструментов для восстановления удаленных данных с носителей.


Отличная программа для популярных ОС с прекрасным функционалом и оптимизированной работой. Единственный минус- это минус 80+ баксов из кармана, если ее покупать.

Autopsy

А вот и конкурент для предыдущей программы, который тоже может похвастаться своей кроссплатформерностью и засесть на Linux, Windows и OSX. Но теперь инструмент бесплатный.

Несколько инструментов для восстановления удаленных данных с носителей.


Функционал мало чем отличается от R-Studio. Всё так же можно работать как напрямую с носителями, так и с их образами. Всё те же манипуляции для восстановления файлов. Все тот же большой список типов файлов, которые можно восстановить... Отличие в более низкой производительности. Если R-Studio проделала работу за 5минут, то Autopsy пыхтел целых 30 минут.

Несколько инструментов для восстановления удаленных данных с носителей.


Программа лично мне понравилась. И бесплатная, и функциональная, и поддерживает разные ОС. Но если в Windows установка происходит в пару кликов, то под Linux (Mint в моем случае) я немного подпыхтел и отложил установку 4й версии в дальнейшие планы. Про OSX не скажу ничего, ибо нет возможности попробовать данный инструмент там.

DMDE

И вот подобрались мы к последнему инструменту. Он тоже занимает высь в кроссплатформерности и расселяется на Linux, Windows и OSX. Но инструмент снова платный (90 баксов вроде как). Но имеет бесплатную версию. В каких краях эта бесплатная версия урезана я не понял. Юзалось все без каких-либо ограничений.


Несколько инструментов для восстановления удаленных данных с носителей.


Функционал прекрасный, мне даже показалось, что пожирнее, чем у R-Studio будет. Производительность тоже прекрасная. Сканирование шло минут 7. Это конечно больше, чем у R-Studio, но DMDE выплюнула более целые файлы и структуру флешки. Типы восстанавливаемых файлов опять-таки на максимуме.

Выводы

Сначала скажу про конечное трио (Autopsy, R-studio, DMDE). Инструменты очень схожие между собой. Все достаточно функциональны, удобны и полезны. Так же все они кроссплатформерны. Остается вопрос в цене. Есть хороший бесплатный Autopsy, есть бесплатные версии R-Studio и DMDE. А есть и платные версии R-Studio и DMDE, которые, не будем врать друг другу, все могут спокойно найти на торрентах с кряками. Выбор за вами.

Теперь про Foremost и Scalpel. Они не имеют такого огромного функционала, но и не являются бесполезными, т.к. могут найти файлы определенного типа (если поддерживают его) в кротчайший период. Я запускал скан всех возможных файлов, но если бы я захотел восстановить чисто картиночки jpg, то инструменты справились бы секунд за 10. Так что не стоит сбрасывать со счетов маленькие программы.

Почему не рассматривались другие программы?

Я уверен, что найдутся люди, которые скажут про TestDisk, Recuva, Puran, R-Linux и прочий подобный инструментарий, поэтому пояснение. Я рассматривал программы, которые лично мне показались наиболее функциональными и которые были бы максимально кроссплатфорерными. Вдобавок я рассмотрел пару тулз, которые достаточно узконаправленные, но не бесполезны. Такие же не бесполезные, но и не мощные я не стал рассматривать по причине их большого количества. Все они полезны в определенные моменты и имеют свою изюменку, но...

Надеюсь я не зря убил на "статейку" эти часы и она будет кому-то полезна.
 

Вложения

Последнее редактирование:
Ильдар Зиганшин

Ильдар Зиганшин

Well-known member
06.09.2019
57
1
Добрый день! R-Studio пробовал удалить потом восстановить файл ничего не получилось в windows. Может вы приведете пример как вы удалите файл, потом его восстановите.
 
  • Нравится
Реакции: Dmitry__
Dmitry__

Dmitry__

Премиум
14.01.2017
96
22
Добрый день! R-Studio пробовал удалить потом восстановить файл ничего не получилось в windows. Может вы приведете пример как вы удалите файл, потом его восстановите.
Подопытный: образ флешки, на которой когда то была музычка

Первым делом создадим, а затем удалим файлик. Пусть это будет вот так:

Несколько инструментов для восстановления удаленных данных с носителей.

Несколько инструментов для восстановления удаленных данных с носителей.


Далее я лично снимаю образы носителей,а затем работаю с ними. Но R-Studio и многие другие программы позволяют работать напрямую с носителями, так что можно образ и не снимать.

Несколько инструментов для восстановления удаленных данных с носителей.


Запускаем программу и открываем образ.

Несколько инструментов для восстановления удаленных данных с носителей.


Затем запускаем сканирование.

Несколько инструментов для восстановления удаленных данных с носителей.


А после сканирования можно восстановить файлы сразу в папку или же расковырять всё в программе. Я восстановлю...

Несколько инструментов для восстановления удаленных данных с носителей.

Несколько инструментов для восстановления удаленных данных с носителей.

Несколько инструментов для восстановления удаленных данных с носителей.


Теперь открываем папку и ищем наш файлик.

Несколько инструментов для восстановления удаленных данных с носителей.


P.S. На самом деле удобнее не восстанавливать всё и сразу, а найти в тех краях, которые нам выкинула программа (а она надыбала сектора разных размеров. в одном наш файл мог быть, а в другом нет) и уже отдельно восстановить один файл. Имена файлов могут слетать и выглядеть как рандомное число (793455320 к примеру). Так же Если носитель был форматирован в другую ФС, то файлика может просто не оказаться, т.к. он как бы записался на сектор(а), но после удаления и форматирования этот(ти) сектор(а) съехали и файл просто ушел в небытие. Я форматировал из fat32 в ext4 и наш Flag.txt просто испарился, хотя файлы, которые занимали больший объем остались в живых и смогли восстановиться.
 
Ильдар Зиганшин

Ильдар Зиганшин

Well-known member
06.09.2019
57
1
Спасибо, то есть получается файловая система какая была? Какой именно продукт R-Studio? То есть создавали и удаляли файл в Linux, а воссанавливали в windows так?
 
Sunnych

Sunnych

Mod. Forensics
Gold Team
01.06.2018
218
998
Спасибо, то есть получается файловая система какая была? Какой именно продукт R-Studio? То есть создавали и удаляли файл в Linux, а восстанавливали в windows так?
Вот ещё примеры у нас на форуме Comparison of file recovery programs usb mass storage device (Windows)
 
Ильдар Зиганшин

Ильдар Зиганшин

Well-known member
06.09.2019
57
1
Sunnych спасибо пока меня интересует только R-Studio.

Добрый день! У вас есть видео? Где это делается в винде, прям как удалил и восстановил?
 
kot-gor

kot-gor

Gold Team
07.09.2016
525
689
Добрый день! R-Studio пробовал удалить потом восстановить файл ничего не получилось в windows. Может вы приведете пример как вы удалите файл, потом его восстановите.
Добрый вечер, там очень просто ей пользоваться, очень хороший инструмент,не раз меня выручал.

видео я не снимал...)
 
Мы в соцсетях:  ТелеграмВконтактеДзенФейсбукТвиттерЮтуб