Vraćanje obrisanih podataka
1️⃣ Kako brisanje zapravo funkcioniše?
Kada obrišeš fajl, operativni sistem ne briše stvarne podatke sa diska — samo označi taj prostor kao slobodan i uklanja zapis iz fajl sistema. Podaci ostaju fizički na disku sve dok ih novi fajl ne prepiše.
Ovo znači da se obrisani fajlovi mogu oporaviti — sve dok disk nije previše korišćen nakon brisanja.
Realna primena
- ✔ digitalna forenzika — oporavak dokaza sa zaplenjenih uređaja
- ✔ istraga — pronalaženje fajlova koje je osumnjičeni pokušao da uništi
- ✔ incident response — šta je napadač preuzeo ili obrisao
- ✔ oporavak slučajno obrisanih fajlova
2️⃣ Alati
| Alat | Opis |
|---|---|
| foremost | Oporavlja fajlove po magic bytes potpisu |
| photorec | Specijalizovan za slike, video i dokumente |
| testdisk | Oporavak particija i fajl sistema |
| Autopsy | Grafički forenzički alat, koristi ga FBI i policija |
| strings | Izvlači čitljiv tekst iz binarnih fajlova i diskova |
3️⃣ Foremost
Foremost skenira fajl ili disk image i oporavlja fajlove na osnovu njihovih magic bytes — traži poznate potpise i izvlači sve što pronađe.
Instalacija
sudo apt install foremost
Osnovna upotreba
foremost -i disk.img -o recovered/
-i— ulazni fajl (disk image ili uređaj)-o— folder gde se čuvaju oporavljeni fajlovi
Oporavak samo određenih tipova fajlova
foremost -t jpg,pdf,zip -i disk.img -o recovered/
Rezultat
Foremost kreira folder za svaki tip fajla koji je pronašao:
recovered/
├── jpg/
│ ├── 00000001.jpg
│ └── 00000002.jpg
├── pdf/
│ └── 00000001.pdf
└── audit.txt
audit.txt sadrži izveštaj o svemu što je pronađeno.
4️⃣ Photorec
Photorec je alat sa tekstualnim interfejsom koji oporavlja fajlove sa diskova, memorijskih kartica i USB uređaja. Uprkos nazivu, podržava stotine formata — ne samo slike.
Instalacija
sudo apt install testdisk
Pokretanje
photorec disk.img
Photorec otvara interaktivni meni gde biraš particiju, fajl sistem i destinaciju.
5️⃣ Kreiranje diskova
U forenzici se nikad ne radi direktno na originalnom uređaju — prvo se pravi bit-po-bit kopija (disk image) kako bi se sačuvali originalni dokazi.
# Napravi image USB uređaja
dd if=/dev/sdb of=usb.img bs=4M status=progress
# Napravi image sa hash verifikacijom
dd if=/dev/sdb | tee usb.img | md5sum > usb.md5
6️⃣ Zadatak
Na serveru je pronađen disk image evidence.img. Sumnja se da je korisnik obrisao
važne fajlove pre nego što je uređaj zaplenjen.
Koristi foremost da oporaviš obrisane fajlove i pronađi flag.
📎 Fajl:
evidence.img💡 Koristiti SajberEdu terminal.
Hint
Pokreni `foremost` i pregledaj oporavljene fajlove:foremost -i evidence.img -o recovered/
📝 Provera Znanja
Unesite svoj odgovor ispod da biste proverili da li ste razumeli lekciju:
💻 Terminal Simulator
Ova lekcija uključuje interaktivni terminal simulator za praktičnu vežbu:
Simulirani terminal sa komandama specifičnim za ovu lekciju.