Linux’ta Scalpel ile Silinmiş Dosya Kurtarma

Scalpel sisteminizden,harici disklerinizden her hangi bir nedenle silinen dosyalarınızı kurtarmanızı sağlayabilen küçük,hızlı ve kullanışlı bir araçtır.Bu yazımda kurulumu ve nasıl kullanıldığını anlatmaya çalışacağım.

Öncelikle sudo apt-get install scalpel komutu ile sistemimize kuruyoruz.Paket depoları dağıtımtan dağıtıma farklılık gösterir  debian tabanlı bir dağıtım kullanmıyorsanız paket yöneticisi farklı olacaktır.

scalpel

 

Scalpel i sistemimize kurduktan sonra sudo vim /etc/scalpel /scalpel.conf  diyerek scalpel in ayar dosyasını açıyoruz.

2

Ben ayar dosyasını vim ile açtım siz vi,nano,gedit gibi editörler ilede açabilirsiniz.vim kurulu olarak gelmemekte bir live cd ile çalıştığınızda vim i kurmadıysanız bu komut hata verecektir.

3

Şimdi scalpel in ayar dosyasında bolca # (diyez) işareti görmekteyiz.Bunlarda yorum satırı olarak algılanıp çalışmamaktadır.Kurtarmak istediğiniz dosya formatının önündeki #(diyez) işaretlerini kaldırarak arama esnasında o uzantılı dosyayı arayıp kurtarmasını sağlayacağız.Ayar dosyasında gördüğünüz y nin yanındakiler bytes olarak dosyanın büyüklüğüdür.Daha büyük dosyaları aramayacaktır onuda değiştirmek elinizdedir.Son olarak #(diyez) i kaldırıp vim in :wq komutu ile dosyayı kaydetip ve çıktım.Bundan sonrası istediğimiz disk,kurtarılcak alanı gösterip dosylarımızı kurtarmaya kaldı.

4

 

sudo scalpel /dev/sda1 -o /home/ahmet-gurel/Desktop/output diyerek scalpel i sda1 disk bölümündeki .jpg ve .png uzantılı silinmiş dosyaları arayarak kurtardığı dosyaları  masaüstünde output adlı bir klasöre kaydetmiştir.Diskin büyüklüğüne göre tarama ve kurtarma işlemi uzayacaktır ben deneme amaçlı 100 mb lık küçük bir alanı taradım genel anlamda kullanımı bu şekildedir. -o parametresinden sonraki kısım kurtarılan dosyaların nereye kaydedileciğini göstermektedir istediğiniz gibi bir yol klasör verebilirsiniz.

Silinen dosyalarınızı kurtarmak için bir çok başka araç mevcuttur.

ENCASE
FTK
Restorer
R-Studio
PC Inspector™ File Recovery
Active Partition Recovery
Scalpel    bunlardan bazılarıdır.Encase ve FTK adli bilişim analizlerinde en çok kullanılan programlardır.Scalpel ın kurtaramadığı bulamadığı büyük veri kayıpları için diğer araçları deneyebilirsiniz.

Umarım işinize yarayan bir yazı olmuştur sorularınızı yorum ve mail olarak atabilirsiniz 🙂

Ahmet Gürel

Cyber Security Researcher | Penetration Tester

2 Comments

  1. Ağacını kaybetmiş kualo Reply to Ağacını

    Faydalı ve Güzel bir yaZı olmuş farklı alternatifleri de bilgi olarak verdiğin için teşekkürler.

Ağacını kaybetmiş kualo için bir cevap yazın Cevabı iptal et