Kopiëren van bestanden met zelfde naam in 1 folder
Een handig scriptje om bestanden met een zelfde naam en extensie te kopiëren in 1 folder zonder dat ze worden overschreven :

# find /naam/van/map -iname "Thumbs.db" | while IFS= read -r NAME; do cp -v "$NAME" "/naam/van/andere/map/${NAME////_}";done

Opmerking :
 1. De naam van het bestand wordt aangevuld met het pad waar het is gevonden.
 2. Weetje : Bij bovenstaand voorbeeld kan je nadien alle Thumbs.db in een iso-bestand laden om nadien te carven met scalpel om alle afbeeldingen eruit te halen.
  # genisoimage -o /pad/naar/map/met.iso /pad/naar/map/met/thumbs
  # sudo scalpel -o /pad/naar/map/voor/resultaten/ /pad/naar/map/met.iso
 3. Nog iets beter dan het eerste Weetje (mappen met bestandsnaam worden aangemaakt met daarin de afbeeldingen):
  # find thumbs_bestanden/ -type f -ctime -1 | while read i; do scalpel -o "test/$i" "$i" ; done ;
dls : Recover de Slack space
Om de slack space of de overgebleven ruimtes tussen de data de recupereren kun je dls van sleutkit op je dd laten lopen met het volgende commando :

# dls -s -f ntfs -o 63 -i raw /pad/naar/map/sda-img.dd > /pad/naar/map/slack.dd

Opmerking :

Om unallocated space met dls te recupereren gebruiken we het volgende (hier uit een EWF-bestand): 

# dls /pad/naar/map/image.E01 > /pad/naar/map/output.dls


Doorzoeken met :

# strings -t d /pad/naar/mapoutput.dls > /pad/naar/map/output.dls.str
# cat /pad/naar/map/output.dls.str
# grep 'keyword' /pad/naar/map/output.dls.str
Unallocated of Free Space Afzonderen
Om de niet toegewezen of vrije ruimte af te zonderen gebruiken we sleuthkit en xmount (bij gebruik van ewf-bestanden).
Te installeren met :
# sudo apt-get install sleuthkit xmount

Gebruik

Om ons ewf-bestand om te zetten naar dd-bestand (raw)

# sudo xmount --in ewf ~/image.e?? /mnt/foo

Om het begin van onze partitie, waaruit we de vrije ruimte willen afzonderen, te bekomen.

# mmls /mnt/foo/image.dd

de vrije ruimte afzonderen met blkls (het getal 411648 is de start van de sector van de partitie, bekomen met mmls)

# sudo blkls -o 411648 /mnt/foo/image.dd > ~/Evidence/image.unalloc

Nadien kan je het gerecupereerde bestand doorzoeken met de gekende forensiche tools zoals scalpel, foremost, photorec,... etc.
analyse Sticky Notes
De Sticky Notes of m.a.w. de digitale "Post-itjes". Kun je altijd op de volgende manier bekijken in Linux.

 1. Eerst ga je op zoek naar het bestand  : Users/AppData/Roaming/Microsoft/Sticky Notes. Dit is een snt-bestand.
 2. Nadien moet je het bestand unzippen met 7zip
  7z x StickyNotes.snt -oOutput/
 3. In de uitgepakte mappen vind je bestanden die gewoon genummerd zijn van 1 tot 3. Het is het bestand 3 dat de tekst bevat, dat op de Sticky Note werd geschreven. Om het een beetje leesbaar te maken, kan je het bestand bekijken met het commando "cat".
 4. Om het in gedit te kunnen lezen moet het eerst van met iconv geconverteerd worden
  iconv -c -f 'UTF-8' -t 'UTF-8//IGNORE' 3 | tr -d '/0' > output-file.txt
 5. Je kan ook de stappen 3 & 4 samen uitvoeren met het commmando :
  find Output/ -name 3 | while read this; do iconv -c -f 'UTF-8' -t 'UTF-8//IGNORE' $this | tr -d '/0'; done
Opmerking :
Houd er rekening mee dat de berichten in elkaar overlopen bij het uitvoeren van punt 5
Partitioneren van schijf groter dan 2TB
Om een schijf te partitioneren gebruiken we "parted"

 • Eerst het schijf een GPT-label geven  met mklabel :
# parted /dev/sdb

 GNU Parted 2.1 
Using /dev/sdb
Welcome to GNU Parted! Type 'help' to view a list of commands.

(parted) print
Error: /dev/sdb: unrecognised disk label (parted)

mklabel gpt

(parted) print
Model: Unknown (unknown) 
Disk /dev/sdb: 5909GB 
Sector size (logical/physical): 512B/512B 
Partition Table: gpt 

 Number Start End Size File system Name Flags

Meer lezen in "Read More"

Gui voor ddrescue
Er is een kleine grafische schil in Python voor ddrescue. Het is via de terminal te installeren met volgende commando's :

# sudo add-apt-repository ppa:hamishmb/myppa
# sudo apt-get update
# sudo apt-get install ddrescue-gui


Verklein Pdf-bestanden
Om Pdf bestanden te verkleinen, vb. wanneer een database alleen kleine bestanden toelaat voor upload/import, kan je volgende commando gebruiken :

# gs -dNOPAUSE -dBATCH -sDEVICE=pdfwrite -dCompatibilityLevel=1.4 -dPDFSETTINGS=/screen -sOutputFile=output.pdf input.pdf

Uiteraard gaat de kwaliteit achteruit bij het verkleinen van het bestand.
Ubuntu : Paladin Edge
Paladin Edge is een handige (forensische) Live DVD (64-bit) voor het kopiëren van iMac's en andere Apple-toestanden. Deze linuxversie is een freeware en geen Open Source. Let dus op bij het aanpassen en verspreiden van deze distro. De iso is gratis te downloaden. Er is ook een USB-versie waarvoor je moet betalen. Zelf kun je de gratis iso op een USB-stik schrijven met Unetbootin. (# sudo apt-get install unetbootin)
Let ook op : Bij het aansluiten van een USB-device zal de distro automatisch mouten.
Als er nog andere disto's zijn, die goed zijn voor het kopiëren en onderzoeken Apple-apparaten, mag je dit altijd laten weten.
Ubuntu afsluiten via terminal
Er zijn verschillende manieren om je computer af te sluiten via terminal. Ik gebruik vooral de volgende :

Shutdown :

Onmiddellijk afsluiten :
# sudo shutdown -h now

In tien minuten afsluiten :
# sudo shutdown - h 10

Om 20:00 uur afsluiten :
# sudo shutdown - 20:00

Poweroff :
Is te gebruiken bij het afsluiten van een LiveCD. Bij het shutdown commando wordt er namelijk gevraagd om op "enter" te drukken na het uitwerpen van de LiveCD om de computer af te zetten. De computer zal stoppen op het 22ste uur.

# sleep 75600 ; sync ; sync; sudo poweroff --force
Tor Browser met PPA installeren
Net een handige PPA installatieprocedure gevonden voor de Tor Browser (anoniem surfen):
sudo add-apt-repository ppa:webupd8team/tor-browser
sudo apt-get update
sudo apt-get install tor-browser