Pokaż wyniki 1 do 9 z 9

Temat: odzyskiwanie nadpisanych plików

  1. #1
    Zarejestrowany
    Apr 2010
    Postów
    35

    Domyślnie odzyskiwanie nadpisanych plików

    Straciłem cały folder plików worda, który został częściowo nadpisany zdjęciami. Nie mam pojęcia jak to się stało. Tj. zdjęcia zrzuciłem na dysk D świadomie, ale folderu nie kasowałem.Włożyłem też pendriva ze starszą wersją żeby zrobić back-up z kompa. Pendriva teraz mi w ogóle nie czyta. Gdy próbuję odzyskać konkretny plik worda, na którym mi najbardziej zależy, to w niektórych programach jest on uszkodzony (nadpisany zdjęciami) a w innych znajduje mi starszą wersję z pendriva na dysku D jakby go nadpisało.

    Jak odzyskać plik najpierw usunięty, a potem częściowo nadpisany zdjęciami w całości albo starszą wersję pliku nadpisanego przez worda? system windows xp, word 2007

    Bardzo proszę o pomoc.

  2. #2
    Zarejestrowany
    Jun 2010
    Postów
    226

    Domyślnie

    Skad pewnosc ze zostaly nadpisane?
    Sproboj FTK Imager

  3. #3
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    FTK Imager robi jedynie obrazy dysku a do tego wskazane jest uzycie sprzetowego write-blocker'a aby nie zmodyfikowac systemu plikow. FTK Imager nie robi wyszukiwania plikow ani nic takiego.

    Zrob image dysku (FTK Imager albo nawet zwykly 'dd' z linuxa) do pliku - oczywiscie na inny dysk twardy... i odpal foremost albo scalpel - moze odzyskasz to czego szukasz ale jesli czesc pliku jest napisana to np foremost zatrzyma sie na limicie wielkosci pliku a nie na znaczniku konca - byla sieczka, bedzie sieczka.

    Przygotuj sie tylko ze ten proces trwa sporo czasu i wymaga duzo wolnego miejsca na dysku.

    Robiac analizy dyskow 120GB potrzebowalem minimum 500GB wolnego miejsca aby odzyskac dane i dowody ktore byly potrzebne... no i kompletna analiza zajela mi 2 tygodnie (siedzialem jedynie wieczorami).
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  4. #4
    Zarejestrowany
    Jun 2010
    Postów
    226

    Domyślnie

    Wiesz mi raczej chodzilo wlasnie o dowiedzenie sie czy pliki same w sobie zostaly nadpisane czy tylko MFT. Tak czy siak FTK Imager pomoglby mu troche sie rozeznac w sytuacji moze daloby sie odtworzyc File Structure i pozniej wyciac to uzywajac dd jak sie myle to mnie popraw bo teraz babram sie na uczelni z System File Forensics/Analysis.
    Wlasciwie kazda uwaga bylaby dla mnie pomocna.

  5. #5
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Spoko...

    Zrobienie obrazu dysku to podstawa - nigdy nie pracujemy na oryginale, zawsze robi sie obraz uzywajac write-blocker'a aby przypadkiem nie zmodyfikowac oryginalu... pozniej ten obraz kopiuje sie jeszcze raz albo dwa razy i dopiero na tych kopiach sie pracuje. Na przyklad samo podmontowanie NTFS powoduje zmiany na dysku, dlatego jest to tak bardzo istotne, poza tym ludzie popelniaja bledy... bardzo latwo zniszczyc material zrodlowy. Pierwsza kopia jako najlepszy material dowodowy idzie razem z oryginalem do sejfu itd (to na wypdek gdyby sprawa szla do sadu - zapewnienie ze lancuch dowodowy jest nalezycie utrzymany).

    Teraz wszystko zalezy od tego jak sformatowany jest dysk. Jesli FAT32 to sprawdzasz FAT i koniec. Jesli jesst rozwalony, to odpalasz narzedzia typu foremost/scalpel/photorec - wyciagania plikow nie robi sie recznie za pomoca dd bo to zaleloby wiecznosc doslownie.
    Jesli masz NTFS i rozwalony $MFT to jest kopia $MFT, znajduje sie zaraz za polowa dysku (liczac po sektorach) i nazywa sie $MFTMirr. $MFTMirr jest okrojona wersja $MFT ale zawiera na tyle informacji ze najczesciej da sie naprawic glowny $MFT. Jesli te dwa sie roznia, to system wywali blad a jeli to dysk C: to nie wstanie juz. Ogromny problem zaczyna sie wtedy gdy oba sie roznia i sa ze soba niezgodne co do tego co tam jest... np nadpisany $MFTMirr i uszkodzony $MFT to koniec zabawy. Mozesz jedynie probowac file carving (foremost/scalpel/photores/etc). Te narzedzia ida przez cala powierzchnie dysku nie patrzac na to czy plik oznaczono jako skasowany czy nie... szukaja markera poczatku pliku wg formatu (np JPEG, DOC, itp) i markera konca albo dlugosci... te dane wyciagaja i zapisuja w nowym miejscu na nowym dysku. Czasami odzyskasz co chcesz, czasami beda smieci.


    Dziedzina kryminalistyki (forensics) jest fascynujaca - ja wielkiego doswiadczenia moze nie mam, prowadzilem raptem kilka analiz i to wewnetrznie w firmie, zadna sprawa nie trafila do sadu (taka decyzja firmy) ale tyle co wiem to podpowiem. Narzedzia i zasady pracy sa w duzej mierze te same, wiec moga sie przydac przy odzyskiwaniu waznych danych.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  6. #6
    Zarejestrowany
    Jun 2010
    Postów
    226

    Domyślnie

    Wiem ze pracujesz na kopiach to oczywiste oraz to ze recznie nie wycinasz z dd ale wlasnie teraz robimy to recznie zeby wiedziec na czym to mniej wiecej polega. Teraz zajmujemy sie FAT32 i pracujemy na niewielkich obrazach pozniej zaczniemy juz cos bardziej wymagajacego. Poziej dopier NTFS

  7. #7
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    IMHO grzebanie recznie nieco za duzo zajmuje ale fakt - najlepiej sie w ten sposub zrozumie o co chodzi... zwlaszcza jak pojawia sie 'indirect blocks', wtedy zaczyna sie nieco wiecej zabawy.

    Rozumiem ze uzywacie ksiazki File System Forensic Analysis (Brian Carrier, wyd. Addison Wesley)? Ja zazwyczaj mam ja pod reka jak cos robie - przydaje sie jako material referencyjny.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  8. #8
    Zarejestrowany
    Jun 2010
    Postów
    226

    Domyślnie

    Tak to ta ksiazka osobiscie uwazam ze to bardzo dobry pomysl by najpierw nauczyc sie na smiesznie malych obrazach jak to w ogole wszystko dziala od zaplecza chociaz sie przyznam ze robienie to recznie naprawde jest meczace i az sie w oczach kreci jak patrzy sie na to wszystko ale rektor uspokaja
    "Autopsy" bedzie pozniej i ze chce zebysmy mieli pojecie co tak wlasciwie sie dzieje. Ale dla mnie to naprawde ciekawe jak krok po kroku dowiaduje sie wiecej. BTW pracowales z EnCase?

  9. #9
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Nie, EnCase nie uzywalem bo nie mialem licencji i nie mialem w sumie potrzeby kupowac - wszytko to co robi EnCase mozna zrobic w innych (darmowych) narzedziach. Jesli kiedys ktos Ci powie ze tylko EnCase jest uznawane w sadach to zapytaj co jaral...

    Tak dlugo jak dlugo narzedzie daje powtarzalne wyniki tak dlugo powinno byc akceptowane przed sadem. W USA jest to prawnie udokumentowane jako test Daubert'a i Frye - wiecej informacji na ten temat ma Wikipedia Scientific evidence (law) - Wikipedia, the free encyclopedia

    Prawda taka ze wiekszosc darmowych narzedzi przejdzie te testy z marszu, tylko wiem od kolegow zajmujacych sie tym zawodowo, ze czasami szkoda na to czasu przed sadem wiec robia analizy w Autopsy na przyklad a pozniej jak juz maja to czego szukaja, wrzucaja do EnCase i generuja raport koncowy - w pelni zgodny z tym co znalezli uzywajac darmowych narzedzi, co tylko potwierdza oba testy :-D

    Idziemy off-topic za daleko - jesli chcesz to zaloz prosze temat o forensics i tam bedziemy kontynuowac.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52