آموزش ابزار tsk_recover

در این بخش به بررسی ابزار tsk_recover می پردازیم، ابزارهای بازیابی اطلاعات نقش حیاتی در زمینه امنیت اطلاعات و جرائم دیجیتال دارند. یکی از این ابزارهای مهم که به خصوص در توزیع‌های لینوکس نظیر کالی لینوکس استفاده می‌شود، ابزار tsk_recover است. tsk_recover یکی از ابزارهای مجموعه Sleuth Kit است که به بازیابی فایل‌ها و داده‌های حذف‌شده از سیستم فایل می‌پردازد. این ابزار با توانایی‌های خاص خود می‌تواند فایل‌هایی که به طور تصادفی یا عمدی حذف شده‌اند را بازگردانی کند و به این ترتیب به محققان امنیت و متخصصان IT در بازیابی اطلاعات کمک کند.

در این مقاله، ما به بررسی tsk_recover خواهیم پرداخت. ابتدا نحوه نصب این ابزار را شرح می‌دهیم و سپس به پیش نیازها و وابستگی‌های آن خواهیم پرداخت. در ادامه، نحوه استفاده از ابزار با جزئیات و مثال‌های عملی مورد بررسی قرار خواهد گرفت. این مقاله جامع، گام به گام شما را با این ابزار آشنا کرده و تمامی نکات لازم را برای بهره‌برداری از tsk_recover در کالی لینوکس ارائه خواهد داد.

نحوه نصب ابزار tsk_recover

برای نصب tsk_recover در کالی لینوکس، ابتدا باید بسته Sleuth Kit را نصب کنید. این بسته شامل مجموعه‌ای از ابزارهای تحقیقاتی و بازیابی داده است. برای نصب Sleuth Kit از دستورات زیر استفاده کنید:

sudo apt update
sudo apt install sleuthkit

با اجرای این دستورات، Sleuth Kit به همراه تمامی ابزارهای وابسته نصب خواهد شد و شما می‌توانید از tsk_recover استفاده کنید. این نصب ساده و مستقیم است و تنها نیاز به دسترسی به اینترنت و دسترسی‌های کاربر سطح بالا (sudo) دارد.

پیش نیازها (Dependencies)

پیش از استفاده از tsk_recover، باید مطمئن شوید که سیستم شما تمامی وابستگی‌های لازم را داراست. اصلی‌ترین وابستگی این ابزار، بسته Sleuth Kit است که در مرحله قبل نصب شد. علاوه بر این، برخی کتابخانه‌ها و ابزارهای دیگر نیز باید نصب باشند:

libewf: برای کار با فرمت‌های EWF (Expert Witness Format) مورد نیاز است. نصب آن به این صورت انجام می‌شود:

sudo apt install libewf-dev

libaff: برای کار با فرمت‌های AFF (Advanced Forensics Format) مورد نیاز است. نصب آن به این صورت انجام می‌شود:

sudo apt install libafflib-dev

پایتون: برای استفاده از اسکریپت‌های پایتون که ممکن است به عنوان مکمل برای tsk_recover استفاده شوند، نیاز به نصب پایتون دارید:

sudo apt install python3

نحوه استفاده از ابزار tsk_recover

پس از نصب و اطمینان از داشتن تمامی پیش نیازها، می‌توانید از tsk_recover برای بازیابی فایل‌های حذف‌شده استفاده کنید. این ابزار با سیستم فایل‌های مختلفی نظیر FAT، NTFS، و EXT سازگار است. نحوه استفاده از tsk_recover به این صورت است:

شناسایی پارتیشن مورد نظر: ابتدا باید دیسک یا پارتیشنی که قصد بازیابی از آن را دارید شناسایی کنید. می‌توانید از دستور fdisk یا lsblk برای نمایش لیست دیسک‌ها و پارتیشن‌ها استفاده کنید:

sudo fdisk -l

اجرای tsk_recover: پس از شناسایی پارتیشن، از دستور tsk_recover برای بازیابی استفاده کنید. مثال زیر نحوه استفاده از tsk_recover را برای بازیابی از یک پارتیشن NTFS نشان می‌دهد:

sudo tsk_recover /dev/sdX1 /مسیر/مقصد

1. در این مثال، /dev/sdX1 پارتیشن مورد نظر و /مسیر/مقصد مسیری است که فایل‌های بازیابی‌شده در آن ذخیره خواهند شد.
2. توضیحات دستورات:
   • tsk_recover: دستور اصلی برای بازیابی فایل‌ها.
   • /dev/sdX1: مسیر پارتیشن مورد نظر.
   • /مسیر/مقصد: مسیر ذخیره‌سازی فایل‌های بازیابی‌شده.

مثال عملی

فرض کنید می‌خواهید فایل‌های حذف‌شده از پارتیشن /dev/sda1 را بازیابی کنید و آنها را در پوشه /home/user/recovered ذخیره نمایید. دستورات به این صورت خواهند بود:

sudo mkdir -p /home/user/recovered
sudo tsk_recover /dev/sda1 /home/user/recovered

با اجرای این دستورات، tsk_recover تمام فایل‌های قابل بازیابی از پارتیشن /dev/sda1 را در پوشه /home/user/recovered ذخیره خواهد کرد. اگر پارتیشن دارای سیستم فایل متفاوتی است، باز هم می‌توانید از همین دستور استفاده کنید.

ابزار tsk_recover یکی از ابزارهای قدرتمند برای بازیابی فایل‌های حذف‌شده است که به خصوص در کالی لینوکس بسیار مفید واقع می‌شود. این ابزار با استفاده از دستورات ساده، توانایی بازیابی اطلاعات از سیستم فایل‌های مختلف را فراهم می‌کند و به این ترتیب به محققان امنیت و متخصصان IT در حفظ و بازیابی اطلاعات کمک شایانی می‌کند. با استفاده صحیح از tsk_recover می‌توانید به راحتی و با اطمینان اطلاعات حیاتی خود را بازیابی کنید.