Здравствуйте!
Сегодня случайно удалил файл паролей KeePass...
Он находился на разделе с ext4. Теперь пытаюсь его восстановить с помощью scalpel. Но проблема в том, что он не знает такого формата *.kbd. Пытаюсь создать сигнатуру сам. Нашел небольшой мануал на русском.
Небольшое отступление: утилита распознаёт файлы более 350 форматов, но существует также возможность добавить вручную свои, для этого в корне каталога с программой создаём файл с именем photorec.sig, далее открываем его в редакторе и в каждой строке прописываем нужные форматы файлов; строка должна иметь вид
<расширение> <смещение сигнатуры> <сигнатура> или <магическое значение>
Смещение сигнатуры по умолчанию равно 0. «Магическое значение» (или MagicValue) может содержать:
строку, например, "data", при этом специальные символы могут быть выделены как "\b", "\n", "\r", "\t", "\0" или "\\";
данные в шестнадцатеричном HEX-формате, например, 0x12, 0x1234, 0x123456 и т. д.; обратите внимание, что записи 0x123456, 0x12 0x34 0x56 и 0x12, 0x34, 0x56 являются эквивалентами.
Разделители «пробел» или «запятая» игнорируются.
Пример: нужно добавить формат PFI, для этого берём тестовый файл и смотрим его сигнатуру в HEX-редакторе командой:
hexdump -C ~/sample.pfi | head
Вывод будет таков:
00000000 50 68 6f 74 6f 46 69 6c 74 72 65 20 49 6d 61 67 |PhotoFiltre Imag|
00000010 65 03 40 06 00 00 b0 04 00 00 40 19 01 00 40 19 |e.@.......@...@.|
00000020 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 |................|
Теперь в файл photorec.sig прописываем строку в виде:
pfi 0 "PhotoFiltre Image"
или
pfi 0 "PhotoFiltre", 0x20, "Image"
Для того, чтобы дополнительные форматы могли быть использованы, в меню File Opt должен стоять флаг Own сustom signatures (по умолчанию он уже установлен).
Также можно внести нужные форматы файлов в исходники перед компиляцией, но это уже более сложная процедура.
Но там не все понятно. Как ее создать.
Создал пару аналогичных баз паролей и ищу в них сигнатуру. Примеры баз паролей в архиве в прикрепленном вложении.
В общем такие вот начали и концы файлов.
a@a-H61MLV2:~$ hexdump -C ~/Desktop/ewqe.kdb | head
00000000 03 d9 a2 9a 65 fb 4b b5 03 00 00 00 02 00 03 00 |....e.K.........|
00000010 ee f4 a4 5c b0 cb cd e2 f2 eb c4 12 f6 0e 95 12 |...\............|
00000020 a9 13 b3 51 a4 58 1a 5a 3d bf c7 c2 4a 34 2b 0c |...Q.X.Z=...J4+.|
00000030 02 00 00 00 02 00 00 00 8f 37 1b dd 97 9c ee 1d |.........7......|
00000040 5d a3 e7 40 38 a3 1a c1 89 69 98 ef a1 2f c8 73 |]..@8....i.../.s|
00000050 68 da 80 f6 bd d1 a6 7d 08 81 fc 84 0f af 7e 63 |h......}......~c|
00000060 7d 27 6d 96 2f 89 39 48 3d d7 17 f4 e3 bd 28 2b |}'m./.9H=.....(+|
00000070 81 48 fa 06 44 35 7e c1 50 c3 00 00 e0 0e 83 3b |.H..D5~.P......;|
00000080 bb 36 94 9d 05 06 7b 24 f1 7d c0 d3 4f 64 df 36 |.6....{$.}..Od.6|
00000090 6a 9a 3a 9e db 28 f3 15 6c 13 f4 74 e8 b5 32 a5 |j.:..(..l..t..2.|
a@a-H61MLV2:~$ hexdump -C ~/Desktop/ewqe.kdb | tail
00000250 e8 65 f7 02 37 28 bb e9 c6 96 d1 ff 02 75 ff ae |.e..7(.......u..|
00000260 d4 e2 50 23 bf c3 87 c1 a4 d6 92 5f 71 32 a5 8e |..P#......._q2..|
00000270 67 f3 d2 e1 42 45 80 56 35 f3 9c 13 05 5b 66 fd |g...BE.V5....[f.|
00000280 77 6c 3a 7c f3 b1 97 7d 77 15 04 ab 09 22 14 0f |wl:|...}w...."..|
00000290 7b f2 67 9e 39 ae 54 72 a7 06 f8 d8 45 d9 ee bf |{.g.9.Tr....E...|
000002a0 c0 7e 0d b9 41 47 37 84 21 bf cd 5c 0f 85 47 50 |.~..AG7.!..\..GP|
000002b0 1b 0d fd 41 e4 a7 e1 89 55 6e 18 06 9c 1c 75 c3 |...A....Un....u.|
000002c0 98 60 cd 45 49 c1 13 44 34 01 ad d1 8d 9b e3 5d |.`.EI..D4......]|
000002d0 23 0f 2b aa 03 fb d1 7c 6b e2 5d bf |#.+....|k.].|
000002dc
a@a-H61MLV2:~$ hexdump -C ~/Desktop/gfhgf.kdb | head
00000000 03 d9 a2 9a 65 fb 4b b5 03 00 00 00 02 00 03 00 |....e.K.........|
00000010 65 cc 16 b0 9f 0e 58 d2 d3 c2 2a 4c db 0e 11 90 |e.....X...*L....|
00000020 0c bd ba 3e 73 2e ec 23 f2 50 44 e0 c7 6f dd 25 |...>s..#.PD..o.%|
00000030 02 00 00 00 02 00 00 00 c6 e5 8b 85 f0 e5 55 fc |..............U.|
00000040 d5 15 85 84 63 42 ca fa 8b 26 e2 a2 52 df af eb |....cB...&..R...|
00000050 be 7f 95 41 4d 1d 4e ba 6d 2a 1d 7d 9f a8 8a f8 |...AM.N.m*.}....|
00000060 68 95 50 9e 17 e2 b8 1d c6 e9 fa 52 16 73 65 0a |h.P........R.se.|
00000070 2d 19 ba 44 a7 4b 41 bf 50 c3 00 00 b3 42 96 14 |-..D.KA.P....B..|
00000080 ac 4e f6 6f 85 1c a5 76 74 1c 35 c1 2e 96 55 aa |.N.o...vt.5...U.|
00000090 69 cf 4e 48 1b 3d 4d 1f aa 5c 9a 45 27 78 7b bd |i.NH.=M..\.E'x{.|
a@a-H61MLV2:~$ hexdump -C ~/Desktop/gfhgf.kdb | tail
00000250 97 a3 3f 43 1b e9 72 3d 87 a9 b2 0a 7a ea 55 e6 |..?C..r=....z.U.|
00000260 50 ef 68 aa 15 61 a4 f4 a5 c0 86 ca 2c 34 e4 65 |P.h..a......,4.e|
00000270 31 6b 85 90 e9 d1 d9 9e 47 29 a8 1e 05 b5 98 54 |1k......G).....T|
00000280 1a 97 8b 2c ac c2 eb f8 ca f4 6b 5e 67 73 80 4b |...,......k^gs.K|
00000290 26 bc 2b 56 57 64 e5 2a 19 10 05 ed 05 2c a7 b1 |&.+VWd.*.....,..|
000002a0 92 6f 35 8d 27 38 c3 aa 40 ec f2 12 dd c5 77 b1 |.o5.'8..@.....w.|
000002b0 81 68 91 94 c5 d5 f5 d0 ca 2b 11 4b c2 51 37 04 |.h.......+.K.Q7.|
000002c0 aa a2 52 1e 25 3e 22 49 79 f7 64 31 26 42 8d 05 |..R.%>"Iy.d1&B..|
000002d0 d1 e6 84 fe 62 98 dc 88 63 8b df 12 |....b...c...|
000002dc
Общее как я понимаю у них начало
Помогите пожалуйста составить сигнатуру! Очень надо!
Пока составил такую, работает, ищет:
kdb y 200000000 \x03\xd9\xa2\x9a\x65\xfb\x4b
Тема: scalpel как добавить новую сигнатуру для восстановления файла? (Прочитано 1752 раз)
