Scalpel ile Veri Kurtarma

[dimetokavi]

(via@http://goo.gl/SxYjH)

Scalpel Foremost isimli uygulamayı temel alan, Golden G. Richard III tarafından yazılmış ve DFRWS Konferansında (2005) duyurulmuş, açık kaynak bir "veri kurtarma" yazılımı. Hattâ, yapısı, duyurulduğu yer ve internet sitesinin yapısı sebebiyle bir "inceleme yazılımı" aynı zamanda.

Scalpel doğası gereği hızlı; FATx, NTFS, ext2/3 ve RAW (ham) formatlarının "başlık" ve "bitiş" tanımlamalarını okur, inceler ve kurtarabilir. Adlî Bilişim ve veri kurtarma işlemleri için (göreceli) kullanışlıdır. Hattâ, yapılan yorumlara göre Scalpel, GNU/Linux (Ubuntu) altındaki "en iyi komut satırından veri kurtarma yazılımı" imiş.

Yazım, Ubuntu (ve temelli dağıtımlar) kullandığım için bu sistemler üzerinden anlatıldı; Ancak diğer dağıtımlarda da yöntemin benzer olduğunu belirtmeme gerek yok sanırım (Hattâ, kabaca, Windows ve Mac'de de). Evvelâ uygulamamızı tedarik edelim; Bunun için internet sitesini ziyâret edebileceğiniz gibi komut satırından yalnızca sudo apt-get install scalpel yazarak da sisteminize "Scalpel" kurulumunu yapabilirsiniz. Uçbirimde, man scalpel komutuyla kullanımına dair bilgi alabilirsiniz.

Evvelâ belirtmeliyim ki, hemen her veri kurtarma ya da inceleme işleminde olduğu gibi Scalpel ile yapılan denemeleriniz de "her zaman" başarılı olamazsınız.

Scalpel'i kullanmadan evvel Scalpel'in hangi türde dosyaları kurtaracağını seçmemiz gerekiyor. Bunun için scalpel.conf dosyasında değişiklik yapacağız; sudo gedit /etc/scalpel/scalpel.conf komutuyla dosyamıza erişelim ve pdf uzantılı dosyalar için ayarın yer aldığı satırın önündeki # işaretini kaldıralım (scalpel.conf isimli dosyayı açtığınızda pek dosya uzantısının varsayılan olarak tanımlı olduğunu göreceksiniz, kullanmak için satırın önündeki # işaretini kaldırmalısınız).

Kod Seç Genişlet

[...]
pdf y 5000000 %PDF %EOF\x0d REVERSE
pdf y 5000000 %PDF %EOF\x0a REVERSE
[...]

Kurulum ve ayarlamalardan sonra uçbirim'den vereceğiniz scalpel /dev/sda1 -o output komutu ile Scalpel'i kulllanmaya başlayabiliriz. Buradaki -o parametresi "kurtarılacak" olan dosyaların nereye kaydedileceğini gösterir (Ki /home/KULLANICI/output dizininde oluşturulur ve Scalpel kullanımı esnasında kilitlidir). Ancak, -o parametresi ile gösterdiğiniz dizinin daha evvel oluşturulmamış olması gerekiyor; Yoksa Scalpel "You have attempted to use a non-empty output directory. In order to maintain forensic soundness, this is not allowed" hata mesajını yazarak sizi uyarır; Kabaca, "boş olmayan bir çıkış dizinini adlî sağlamlık yönünden kabûl edilemez" diyor. /dev/sda1 ise "kurtarma işlemi" yapacağınız diskin yolunu gösterir. Diskin yolunu bilmiyorsanız uçbirimde mount komutunu verebilirsiniz. Aşağıdaki resimde /dev/sda1 yolunda ext4 formatlı bilgisayarın tek parçalı sabit diskini, /dev/sdb1 yolunda ise NTFS formatlı harici diskimi görüyorsunuz. Ayrıca, Sistem >> Yönetim >> Disk Aracı (Disk Utility) yolundan ulaşacağınız "enfes" uygulama ile diskinizin (bölümünüzün) bilgisayardaki adını öğrenebilirsiniz.

Kurtarılacak diskimizi belirliyoruz...

Bütün bu adımlardan sonra PDF dosyalarımızı kurtarmaya başlayalım. Uçbirim açıp scalpel /dev/sda1 -o output komutumuzu verelim ve beklemeye başlayalım (Elbette diskinizin büyüklüğü ile orantılı olarak bekleme süreniz değişecektir).

PDF dosyalarımızı kurtarmaya başladık...


İşlem tamam!

İşimiz henüz, sudo ön-komutuyla işlem yaptığımız için bitmedi. Hâlâ uçbirim'deyken sudo nautilus komutunu verelim yönetici haklarıyla nautilus'u çalıştıralım ve output dizinimize erişelim. Aşağıdaki resimde de gözdüğünüz gibi bir dosya ve iki klasör mevcût output dizini içerisinde. Bunlardan audit.txt, süreç hakkındaki log kayıtlarını gösteriyor; İki klasörde ise kurtarılan "PDF" uzantılı dosyalar var. Bundan sonrası size kalmış...

Kurtarma işlemimiz tamamlandı...

Scalpel 80 GB'lık disk içerisinden yalnızca 'PDF' uzantılı dosyaları hemem hemen yarım saat içerisinde taradı ve kurtardı (Diskimde pek pdf uzantılı dosya olmadığını sonuçlardan anladım! , ki hızı gayet güzel. Ama, bu yazıyı yazarken bu ayrıntıyı es geçmiş olsam da muhakkak output dizinini "veri kurtarması" yapılacak olan diskin haricindeki bir diske ayarlayın; Zirâ, veri kurtarma yaparken veri kaybı yaşabilirsiniz!


Faydalı olması dileğimle,
İrf.

[heartsmagic]

Öncelikle haberdar ettiğin ve yazı için teşekkürler.
Hemen sormak istiyorum, kurtardığı dosyaların isimlendirmesi nasıl? Uçbirimden çalışması falan hiçbiri umurumda olmayacak açıkçası fakat kurtardığı dosyaların nasıl isimlendirildiği benim için çok önemli, sanırım birçok kullanıcı için de öyledir.

[raspacı]

Denedim programı, teşekkür ederim tanıtım için. Heartsmagic maalesef isimlendirme rakamlardan oluşuyor.  Photorec ile kıyaslama yapma imkanım yok çünkü kurtarılan dosya miktarını karşılaştırmadım ama isimlendirme benzer.

[heartsmagic]

Üzüldüm yine. Şu konuda büyük oranda güzel bir uygulamaya ihtiyacımız var. Gerçi hem bu uygulama hem de Photorec için kötü diyemem fakat isimlendirme konusu büyük bir sorun, en azından benim için.

[dimetokavi]

Evet, maalesef isimlendirme işlemi rakamlardan ibaret; Elbette çok sayıda dosya varsa sıkıntılı bir durum...

[Mx0Ub]

Üzüldüm yine. Şu konuda büyük oranda güzel bir uygulamaya ihtiyacımız var. Gerçi hem bu uygulama hem de Photorec için kötü diyemem fakat isimlendirme konusu büyük bir sorun, en azından benim için.

r-linux

http://www.r-tt.com/free_linux_recovery/Download.shtml

[heartsmagic]

Bir ara incelenecekler listesine alalım r-linux uygulamasını.