• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Статья Восстановление замененных файлов с помощью Winhex

Восстановление данных с помошью программы winhex.
Происшествие: Сотрудник работал с текстовым документом, удалил из него информацию и сохранил под тем же именем.
Задача: восстановить предыдущую редакцию документа без потери информации.

Для имитации будем использовать текстовый документ формата docx. Создаем документ на флешки, и заполняем его информацией, для примера в исходный файл я ввел одной строкой единицы, сохранил документ, далее ввел двойки, сохранил, и так далее до пяти.
Задача восстановить документ до исходного состояния с единицами.

Запускаем программу Winhex с правами администратора, заходим Tools->open disk или клавиша F9.
1.png

Выбираем физический носитель на котором находится документ.
2.png

Откроется редактор данных, заходим Tools->Disk Tools -> File Recovery by Type,
3-.png

Вам будет предложено выбрать типы файлов, которые вы хотите восстановить, так как у нас документ Docx то его мы и выберем, заходим в
Documents и ставим галочку напротив MS Office 2007+.
4.png

5.png
Программа вам предложит выбрать каталог в который вы хотите сохранить результаты восстановления.
Помните что сохранять восстановленные файлы следует на другой носитель, во избежании потери файлов !

Дальше идем наливать себе чаю и курить, процесс восстановления довольно долгий.
6.png

7.png


Как программа отработает идем в каталог с восстановленными файлами и радуемся !
8.png

10.png
 
F

forgot

Если будет интересно то расскажу как я восстанавливал информацию с CD диска просверленного дрелью.
 
  • Нравится
Реакции: IioS, Глюк и Sunnych

Sunnych

Mod. Forensics
Gold Team
01.06.2018
276
1 446
BIT
20
Последнее редактирование:
  • Нравится
Реакции: Vander, DefWolf и Глюк

alexoron

Green Team
20.05.2018
11
1
BIT
0
Если будет интересно то расскажу как я восстанавливал информацию с CD диска просверленного дрелью.
Чисто для эксперимента: у меня есть старый CD Red Hat 7.1 заюзанный до неузнаваемости, в некоторых местах прозрачный.
Такой сидюк возможно восстановить? )))
 

Sunnych

Mod. Forensics
Gold Team
01.06.2018
276
1 446
BIT
20
Чисто для эксперимента: у меня есть старый CD Red Hat 7.1 заюзанный до неузнаваемости, в некоторых местах прозрачный.
Такой сидюк возможно восстановить? )))
[1 часть] Восстановления данных с CD дисков.
[2 часть] Восстановления данных с CD дисков.
В теме Форензика есть:
Компьютерная криминалистика (форензика): каталог статей.
 
Последнее редактирование:

Kevgen

Cybercoliseum II
04.08.2020
41
84
BIT
366
Доброго времени суток!
Вопрос: А как это работает с технической точки зрения?
Я имею ввиду программа использует "System Volume Information", папки со временным удалённым содержимым, или там вообще другой принцип?
Спасибо! :)
 

unickname3

One Level
06.12.2023
6
3
BIT
125
Доброго времени суток!
Вопрос: А как это работает с технической точки зрения?
Я имею ввиду программа использует "System Volume Information", папки со временным удалённым содержимым, или там вообще другой принцип?
Спасибо! :)
подозреваю, что дело во флешке - она, в отличии от магнитных носителей, не перезаписывает файл, а для равномерного износа ячеек памяти при каждой записи данных находит те, что меньше использовались и пишет в них.

Таким образом, гарантированное удаление данных с флешки процесс сложный, а восстановление, наоборот, бесхитростное.
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!