Gewiste bestanden bekijken met sleuthkit
Sleuthkit is een forensisch terminal tooltje, dat veel gebruikt wordt samen met Autopsy om forensisch onderzoek te doen met Linux. Autopsy is een grafische omgeving voor Sleuthkit.

Nu ga ik echter via de terminal, en alleen met Sleuthkit, gewiste bestanden bekijken. Volg de volgende stappen :

Installatie
# sudo apt-get install sleuthkit

Gebruik :

1. Eerst gaan we met sleutkit de partities bekijken in onze image van een schijf. De image is uiteraard gemaakt met dd, ddrescue of Guymager.

# mmls /pad/naar/image.dd

Opmerking : Om een lijst te krijgen van alle gewiste bestanden op de dd moet je de "start" van de partitie kennen. Dit vind je door het resultaat van voorgaande opvraging te bekijken.

2. Lijst aanmaken van alle gewiste bestanden in de partitie op de schijf.

# fls -d -r -p -o 2048 /pad/naar/image.dd > /pad/naar/niet//bestaand/bestand.txt

Opmerking : 2048 is de "start" van partitie kan dus een ander getal zijn. De lijst met gewiste bestanden worden weggeschreven naar een tekstbestand.

3.  Uit het tekstbestand hebben we het getal met twee koppeltekens nodig om het gewiste bestand te kunnen bekijken.

# icat -o 2048 /pad/naar/image.dd 167506-128-4 | less

Opmerking : je kunt eventueel ook proberen om het bestand terug te halen met ">" te gebruiken. vb
# icat -o 2048 /pad/naar/image.dd 167506-128-4 > /plaats/voor/bestand.jpg
Post a comment
Name
E-Mail
Comment