Merhaba, bu konuda Scalpel ile "data carving" işlemini, yani veri kazıma işlemini nasıl yapacağımızı anlatıyorum. Bu yöntemi kullanılarak silinmiş olan fotoğraflarınızı, pdf dosyalarınızı, müzik dosyalarınız vs. geri getirebilirsiniz. Yazının detaylı ve uzun haline websitemde paylaşmıştım, THT'ye özel kısa ve öz halini paylaşıyorum. Anlatım bir USB üzerinden yürütülmüştür.
Scalpel, data carving (veri kazıma) işlemi için kullanılan ve Kali Linux işletim sisteminde halihazırda yüklü olarak gelen bir araçtır. Eğer yüklü değilse tek yapmanız gerek "sudo apt-get install -y scalpel" komutunu uygulamak olacaktır.
USB belleğimin içerisi aşağıdaki gibidir, buradan siber-tehditler-1.jpg dosyasını siliyorum.
Gördüğünüz gibi artık içerisinde öyle bir resim yok.
Şimdi USB'nin bağlandığı konumu tespit etmemiz gerekiyor, eğer siz veri kazıma işlemini farklı bir disk için (mesela hard diskiniz) yapıyorsanız onun adını kullanmanız gerekiyor. "lsblk" komutu ile bilgisayarımdaki diskleri inceliyorum.
Yukarıdaki görselde de göreceğiniz üzere bağlı disklerim listelendi. Benim USB cihazım sdb1 olarak gördüğünüz taşınabilir disk. Peki bu sdb1 nerede bulunuyor ? Yani onun konumu ne? USB belleğim "/dev/sdb1" dizininde bulunuyor. Bunu bir kenara not ediyor ve devam ediyoruz.
Şimdi yapmamız gereken şey, Scalpel'in konfigürasyon dosyasını düzenleyerek kurtarmak istediğimiz veri tipini belirtmek oluyor. Bunun için "sudo gedit /etc/scalpel/scalpel.conf" komutunu çalıştırıyoruz. Ben burada gedit ile düzenlemeyi tercih ettim, bilmeyenler için gedit bir metin editörüdür. Kali 2020'de mousepad olmuştur, dilerseniz gedit,mousepad yada nano'dan istediğinizi tercih edebilirsiniz...
Burada bizleri uzun bir liste karşılıyor, hepsi "#" işareti ile yorum satırı haline getirilmiş vaziyette. Kurtarmak istediğimiz veri tipine ait bloğa geliyor ve başındaki "#" işaretini kaldırıyoruz. (Örneğin pdf dosyası kurtarmak istiyorsunuz ve pdf için 3 tane satır var, o halde 3 satırın başında yer alan "#" işaretini de silmelisiniz. Burada yaptığımız işlem dosyanın olası header ve footer adreslerini belirtmek aslında. )
Daha sonra kaydedip konfigürasyon dosyasını kapatıyoruz.
Aşağıda yer alan kod kalıbına uygun olacak şekilde kendi kodunuzu yazıp scalpeli çalıştırıyoruz:
Benim için bu kod "sudo scalpel /dev/sdb1 -o /root/Desktop/kurtarilanDosyalar" şeklinde oluyor. Aşağıdaki resimde gördüğünüz gibi kazıma işlemi başladı.
,
İşlem bittiğinde output olarak belirttiğiniz dizinde kurtarılan dosyaları görebilirsiniz.
Gördüğünüz gibi bende sildiğim fotoğrafa ek olarak bir bonus ile geldi...
Scalpel, data carving (veri kazıma) işlemi için kullanılan ve Kali Linux işletim sisteminde halihazırda yüklü olarak gelen bir araçtır. Eğer yüklü değilse tek yapmanız gerek "sudo apt-get install -y scalpel" komutunu uygulamak olacaktır.
USB belleğimin içerisi aşağıdaki gibidir, buradan siber-tehditler-1.jpg dosyasını siliyorum.
Gördüğünüz gibi artık içerisinde öyle bir resim yok.
Şimdi USB'nin bağlandığı konumu tespit etmemiz gerekiyor, eğer siz veri kazıma işlemini farklı bir disk için (mesela hard diskiniz) yapıyorsanız onun adını kullanmanız gerekiyor. "lsblk" komutu ile bilgisayarımdaki diskleri inceliyorum.
Yukarıdaki görselde de göreceğiniz üzere bağlı disklerim listelendi. Benim USB cihazım sdb1 olarak gördüğünüz taşınabilir disk. Peki bu sdb1 nerede bulunuyor ? Yani onun konumu ne? USB belleğim "/dev/sdb1" dizininde bulunuyor. Bunu bir kenara not ediyor ve devam ediyoruz.
Şimdi yapmamız gereken şey, Scalpel'in konfigürasyon dosyasını düzenleyerek kurtarmak istediğimiz veri tipini belirtmek oluyor. Bunun için "sudo gedit /etc/scalpel/scalpel.conf" komutunu çalıştırıyoruz. Ben burada gedit ile düzenlemeyi tercih ettim, bilmeyenler için gedit bir metin editörüdür. Kali 2020'de mousepad olmuştur, dilerseniz gedit,mousepad yada nano'dan istediğinizi tercih edebilirsiniz...
Burada bizleri uzun bir liste karşılıyor, hepsi "#" işareti ile yorum satırı haline getirilmiş vaziyette. Kurtarmak istediğimiz veri tipine ait bloğa geliyor ve başındaki "#" işaretini kaldırıyoruz. (Örneğin pdf dosyası kurtarmak istiyorsunuz ve pdf için 3 tane satır var, o halde 3 satırın başında yer alan "#" işaretini de silmelisiniz. Burada yaptığımız işlem dosyanın olası header ve footer adreslerini belirtmek aslında. )
Daha sonra kaydedip konfigürasyon dosyasını kapatıyoruz.
Aşağıda yer alan kod kalıbına uygun olacak şekilde kendi kodunuzu yazıp scalpeli çalıştırıyoruz:
Kod:
sudo scalpel disk_konumu -o output_konumuİşlem bittiğinde output olarak belirttiğiniz dizinde kurtarılan dosyaları görebilirsiniz.
Gördüğünüz gibi bende sildiğim fotoğrafa ek olarak bir bonus ile geldi...
Moderatör tarafında düzenlendi:
