• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Soft Несколько инструментов для восстановления удаленных данных с носителей.

external drive.jpg

Приветствую всех гостей и форумчан codeby. Решил закинуть "статейку" с небольшим обзорчиком нескольких тулз для восстановления случайно (и не очень) удаленных данных с флешек, hdd и т.д. Сразу говорю, что это не мануалы к инструментам, а, можно сказать, поверхностный взгляд на них. Так же я не учитываю то, что носители могут быть шифрованы или же испорчены до невыносимости. Однако это не значит, что программы не могут работать с такими носителями, подробности читайте на официальных сайтах программ. Прошаренным чувачкам скорее это будет не интересно, но тем, кто только начинает вливаться в облать сбережет немного времени в выборе или направлении выбора инструментов.

Подопытный: img образ, снятый утилитой dc3dd с 16гиговой флешки, на которой я чего только не таскал.
Инструментарий: Autopsy 4, Foremost, Scalpel, R-Studio, DMDE. Что-то кроссплатформерное, что-то нет. Что-то бесплатное, что-то платное.
Железо: ноут. 8 гигов оперативки, i5 проц с частотой 2,8. Так что если ваша машина мощнее, то и тулзы работать будут шустрее.
Критерии на которые я обращал внимание: скорость работы, какие типы файлов можно и нельзя восстановить, наличие кроссплатформерности и функционал.

Foremost

Screenshot_2019-09-12_19-39-04.png


Легкая тулза для linux. Максимум простоты в обращении и в функционале. Типов файлов, которые она мне восстановила совсем не много, как и объем, который они занимали после восстаовления. Скоблил foremost это всё минут 5.

Screenshot_2019-09-12_20-44-46.png


По моему личному мнению инструмент полезный по причине своей узконаправленности. Если вам не нужно восстанавливать утерянные iso'шники и всё возможное, а просто нужно вернуть удаленные картиночки, то тулза должна справиться и не забьет вам голову вопросом о том как с ней работать.

Scalpel

Screenshot_2019-09-12_19-39-16.png


Инструмент уже помощнее. Есть под Linux и под Windows. Но я юзал его под Linux'ом и словил косяков. Сканит он в 2 этапа, судя по строкам в терминале.

Screenshot_2019-09-12_19-39-35.png


И если первый скан проходит за 10 минут, то второй этап бухнул мне изначально 5 часов. Благо потом время спало до 1 часа, но чем дольше он сканировал, тем больше цифра становилась во времени ожидания.

Screenshot_2019-09-12_20-00-01.png


В конце концов, спустя час ожидания, сканирование пришлось прервать из логических выводов. За 25 % сканирования во 2м этапе памяти на моем бедном hdd сталоменьше на 150 гигов. Напоминаю, что образ флешки всего 16 gb. Что за "ица трап"? До этого, с другими образами, была та же история. Если сканируемый образ был 30 mb, то папка с данными после полного сканирования весила 600 mb. Увеличение было примерно в 20 раз.

Screenshot_2019-09-12_20-44-02.png


И ладно если бы scalpel реально наворотил там 150 гигов данных каких-то, но нет. Он создал тьму вот таких пустых папок. Они реально были пустыми,за исключением самых первых для одного типа. В первой папке находились файлы, а во всех последующих пустота.

Screenshot_2019-09-12_20-49-03.png


Из-за возможных возникших проблем с прогой полной картины не дам, но по критериям скажу. Время занимает уйму, за час всего 20%. Касаемо количества типов восстанавливаемых файлов- достаточно не плохо, восстанавливаются самые распространенные типы. Жаль, что не совсем все. Функционал чуть пошире чем в foremost.

R-Studio

А теперь поговорим о платном кроссплатформерном чуде за 80+ баксов. Linux, Windows и OSX имеют установщики данной программы. Так что с кроссплатформерностью тут полнейший порядок (за такие деньги-то почему бы и нет). Ладно-ладно, есть бесплатная версия, но она может восстанавливать данные только размером меньше 256kb на сколько я помню.

Screenshot_2019-09-12_21-13-26.png


Если не вникать в весь функционал (который достаточно не скудный) программы, то обращение сводится к 3м действиям: 1-Выбрать носитель; 2- Просканировать его; 3-Восстановить файлики. Все просто. Касаемо скорости тут тоже все прилично. Сканирование заняло около 5 минут. Касаемо типов файлов- восстанавливает всё, что найдет.

Screenshot_2019-09-12_21-30-27.png


Отличная программа для популярных ОС с прекрасным функционалом и оптимизированной работой. Единственный минус- это минус 80+ баксов из кармана, если ее покупать.

Autopsy

А вот и конкурент для предыдущей программы, который тоже может похвастаться своей кроссплатформерностью и засесть на Linux, Windows и OSX. Но теперь инструмент бесплатный.

Screenshot_2019-09-12_21-31-37.png


Функционал мало чем отличается от R-Studio. Всё так же можно работать как напрямую с носителями, так и с их образами. Всё те же манипуляции для восстановления файлов. Все тот же большой список типов файлов, которые можно восстановить... Отличие в более низкой производительности. Если R-Studio проделала работу за 5минут, то Autopsy пыхтел целых 30 минут.

Screenshot_2019-09-12_22-08-14.png


Программа лично мне понравилась. И бесплатная, и функциональная, и поддерживает разные ОС. Но если в Windows установка происходит в пару кликов, то под Linux (Mint в моем случае) я немного подпыхтел и отложил установку 4й версии в дальнейшие планы. Про OSX не скажу ничего, ибо нет возможности попробовать данный инструмент там.

DMDE

И вот подобрались мы к последнему инструменту. Он тоже занимает высь в кроссплатформерности и расселяется на Linux, Windows и OSX. Но инструмент снова платный (90 баксов вроде как). Но имеет бесплатную версию. В каких краях эта бесплатная версия урезана я не понял. Юзалось все без каких-либо ограничений.


Screenshot_2019-09-12_22-27-47.png


Функционал прекрасный, мне даже показалось, что пожирнее, чем у R-Studio будет. Производительность тоже прекрасная. Сканирование шло минут 7. Это конечно больше, чем у R-Studio, но DMDE выплюнула более целые файлы и структуру флешки. Типы восстанавливаемых файлов опять-таки на максимуме.

Выводы

Сначала скажу про конечное трио (Autopsy, R-studio, DMDE). Инструменты очень схожие между собой. Все достаточно функциональны, удобны и полезны. Так же все они кроссплатформерны. Остается вопрос в цене. Есть хороший бесплатный Autopsy, есть бесплатные версии R-Studio и DMDE. А есть и платные версии R-Studio и DMDE, которые, не будем врать друг другу, все могут спокойно найти на торрентах с кряками. Выбор за вами.

Теперь про Foremost и Scalpel. Они не имеют такого огромного функционала, но и не являются бесполезными, т.к. могут найти файлы определенного типа (если поддерживают его) в кротчайший период. Я запускал скан всех возможных файлов, но если бы я захотел восстановить чисто картиночки jpg, то инструменты справились бы секунд за 10. Так что не стоит сбрасывать со счетов маленькие программы.

Почему не рассматривались другие программы?

Я уверен, что найдутся люди, которые скажут про TestDisk, Recuva, Puran, R-Linux и прочий подобный инструментарий, поэтому пояснение. Я рассматривал программы, которые лично мне показались наиболее функциональными и которые были бы максимально кроссплатфорерными. Вдобавок я рассмотрел пару тулз, которые достаточно узконаправленные, но не бесполезны. Такие же не бесполезные, но и не мощные я не стал рассматривать по причине их большого количества. Все они полезны в определенные моменты и имеют свою изюменку, но...

Надеюсь я не зря убил на "статейку" эти часы и она будет кому-то полезна.
 
Последнее редактирование модератором:
06.09.2019
164
1
BIT
0
Добрый день! R-Studio пробовал удалить потом восстановить файл ничего не получилось в windows. Может вы приведете пример как вы удалите файл, потом его восстановите.
 
  • Нравится
Реакции: Dmitry__

Dmitry__

Green Team
14.01.2017
193
26
BIT
45
Добрый день! R-Studio пробовал удалить потом восстановить файл ничего не получилось в windows. Может вы приведете пример как вы удалите файл, потом его восстановите.
Подопытный: образ флешки, на которой когда то была музычка

Первым делом создадим, а затем удалим файлик. Пусть это будет вот так:

Screenshot_2019-09-15_10-45-49.png

Screenshot_2019-09-15_10-46-44.png


Далее я лично снимаю образы носителей,а затем работаю с ними. Но R-Studio и многие другие программы позволяют работать напрямую с носителями, так что можно образ и не снимать.

Screenshot_2019-09-15_10-47-33.png


Запускаем программу и открываем образ.

Screenshot_2019-09-15_10-55-12.png


Затем запускаем сканирование.

Screenshot_2019-09-15_10-55-37.png


А после сканирования можно восстановить файлы сразу в папку или же расковырять всё в программе. Я восстановлю...

Screenshot_2019-09-15_10-56-31.png

Screenshot_2019-09-15_10-57-03.png

Screenshot_2019-09-15_10-57-31.png


Теперь открываем папку и ищем наш файлик.

Screenshot_2019-09-15_10-59-13.png


P.S. На самом деле удобнее не восстанавливать всё и сразу, а найти в тех краях, которые нам выкинула программа (а она надыбала сектора разных размеров. в одном наш файл мог быть, а в другом нет) и уже отдельно восстановить один файл. Имена файлов могут слетать и выглядеть как рандомное число (793455320 к примеру). Так же Если носитель был форматирован в другую ФС, то файлика может просто не оказаться, т.к. он как бы записался на сектор(а), но после удаления и форматирования этот(ти) сектор(а) съехали и файл просто ушел в небытие. Я форматировал из fat32 в ext4 и наш Flag.txt просто испарился, хотя файлы, которые занимали больший объем остались в живых и смогли восстановиться.
 
06.09.2019
164
1
BIT
0
Спасибо, то есть получается файловая система какая была? Какой именно продукт R-Studio? То есть создавали и удаляли файл в Linux, а воссанавливали в windows так?
 

Sunnych

Mod. Forensics
Gold Team
01.06.2018
276
1 446
BIT
20
Спасибо, то есть получается файловая система какая была? Какой именно продукт R-Studio? То есть создавали и удаляли файл в Linux, а восстанавливали в windows так?
Вот ещё примеры у нас на форуме Comparison of file recovery programs usb mass storage device (Windows)
 
06.09.2019
164
1
BIT
0
Sunnych спасибо пока меня интересует только R-Studio.

Добрый день! У вас есть видео? Где это делается в винде, прям как удалил и восстановил?
 

kot-gor

Grey Team
07.09.2016
529
705
BIT
0
Добрый день! R-Studio пробовал удалить потом восстановить файл ничего не получилось в windows. Может вы приведете пример как вы удалите файл, потом его восстановите.
Добрый вечер, там очень просто ей пользоваться, очень хороший инструмент,не раз меня выручал.

видео я не снимал...)
 

Nubusers

Green Team
23.07.2019
55
21
BIT
0
Програмки супер, но вот для windows надо бы новые освещать.
 

Sunnych

Mod. Forensics
Gold Team
01.06.2018
276
1 446
BIT
20
Програмки супер, но вот для windows надо бы новые освещать.
их сотни:
FTK, X-Ways, Axiom, DMDE, Belkasoft, Paraben's Electronic Evidence Examiner,
DataNumen Access Repair 2.8
DataNumen Excel Repair 2.8
DataNumen Word Repair 3.4
DataNumen PowerPoint Recovery 1.1
DataNumen Outlook Repair 6.9
DataNumen Outlook Express Repair 2.2
DataNumen Outlook Express Undelete 2.2
DataNumen Outlook Express Drive Recovery 1.0
DataNumen Exchange Recovery 6.9
DataNumen Outlook Drive Recovery 2.0
DataNumen Outlook Password Recovery 1.0
DataNumen BKF Repair 2.5
DataNumen Zip Repair 2.7
DataNumen TAR Repair 2.0
DataNumen CAB Repair 2.1
DataNumen RAR Repair 2.6
DataNumen SQL Recovery 4.2
DataNumen DBF Repair 2.0
DataNumen Oracle Recovery 1.0
DataNumen PDF Repair 2.1
DataNumen DWG Recovery 1.6
DataNumen PSD Repair 2.0
DataNumen Data Recovery 2.0
DataNumen NTFS Undelete 2.0
DataNumen Office Repair 4.1
DataNumen Database Recovery 2.1
DataNumen Archive Repair 2.5
DataNumen Disk Image 1.8
DataNumen Backup 1.5
DataNumen File Splitter 1.1
Excel Recovery™ 2.7
FAT Recovery™ 3.0
Internet Spy™ 2.0
NTFS Recovery™ 3.0
Office Recovery™ 2.7
Partition Recovery™ 3.0
Photo Recovery™ 4.8
Uneraser™ 5.0
Word Recovery™ 2.7
и.т.д
Выше я показывал сравнения Comparison of file recovery programs usb mass storage device (Windows)
 
  • Нравится
Реакции: Nubusers

SearcherSlava

Red Team
10.06.2017
943
1 259
BIT
130
их сотни:
FTK, X-Ways, Axiom, DMDE, Belkasoft, Paraben's Electronic Evidence Examiner,
DataNumen Access Repair 2.8
DataNumen Excel Repair 2.8
DataNumen Word Repair 3.4
DataNumen PowerPoint Recovery 1.1
DataNumen Outlook Repair 6.9
DataNumen Outlook Express Repair 2.2
DataNumen Outlook Express Undelete 2.2
DataNumen Outlook Express Drive Recovery 1.0
DataNumen Exchange Recovery 6.9
DataNumen Outlook Drive Recovery 2.0
DataNumen Outlook Password Recovery 1.0
DataNumen BKF Repair 2.5
DataNumen Zip Repair 2.7
DataNumen TAR Repair 2.0
DataNumen CAB Repair 2.1
DataNumen RAR Repair 2.6
DataNumen SQL Recovery 4.2
DataNumen DBF Repair 2.0
DataNumen Oracle Recovery 1.0
DataNumen PDF Repair 2.1
DataNumen DWG Recovery 1.6
DataNumen PSD Repair 2.0
DataNumen Data Recovery 2.0
DataNumen NTFS Undelete 2.0
DataNumen Office Repair 4.1
DataNumen Database Recovery 2.1
DataNumen Archive Repair 2.5
DataNumen Disk Image 1.8
DataNumen Backup 1.5
DataNumen File Splitter 1.1
Excel Recovery™ 2.7
FAT Recovery™ 3.0
Internet Spy™ 2.0
NTFS Recovery™ 3.0
Office Recovery™ 2.7
Partition Recovery™ 3.0
Photo Recovery™ 4.8
Uneraser™ 5.0
Word Recovery™ 2.7
и.т.д
Выше я показывал сравнения Comparison of file recovery programs usb mass storage device (Windows)

Здрав будь! Ты прав. Великое множество.
 
  • Нравится
Реакции: Sunnych

textman

New member
15.02.2022
4
0
BIT
0
Благодарю, а какая лучше, дабы найти тхт файл весом пару килобайт зная часть название, не помню есть ли тире. Спасибо
 
У

Удалённый пользователь 250334

Так же остановил свой выбор на DMDE, есть free версия со всеми функциями, а так же простой и удобный интерфейс. Из похожих программ понравилась Hetman Partition Recovery для восстановления файлов, отлично справляется со своей работой, удобный и приятный глазу интерфейс
 
  • Нравится
Реакции: Lcaven113

Sunnych

Mod. Forensics
Gold Team
01.06.2018
276
1 446
BIT
20
Так же остановил свой выбор на DMDE, есть free версия со всеми функциями, а так же простой и удобный интерфейс. Из похожих программ понравилась Hetman Partition Recovery для восстановления файлов, отлично справляется со своей работой, удобный и приятный глазу интерфейс

Вот у нас есть подробное сравнение: Comparison of file recovery programs usb mass storage device (Windows)
 
  • Нравится
Реакции: Сергей Попов
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!