Форум русскоязычного сообщества Ubuntu


Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

Автор Тема: scalpel как добавить новую сигнатуру для восстановления файла?  (Прочитано 1318 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Aday

  • Автор темы
  • Гость
Здравствуйте!
Сегодня случайно удалил файл паролей KeePass...  :'(
Он находился на разделе с ext4. Теперь пытаюсь его восстановить с помощью scalpel. Но проблема в том, что он не знает такого формата *.kbd. Пытаюсь создать сигнатуру сам. Нашел небольшой мануал на русском.
(Нажмите, чтобы показать/скрыть)
Но там не все понятно. Как ее создать.
Создал пару аналогичных баз паролей и ищу в них сигнатуру. Примеры баз паролей в архиве в прикрепленном вложении.
В общем такие вот начали и концы файлов.
(Нажмите, чтобы показать/скрыть)
Общее как я понимаю у них начало
(Нажмите, чтобы показать/скрыть)
Помогите пожалуйста составить сигнатуру! Очень надо!

Пока составил такую, работает, ищет:
  kdb   y   200000000   \x03\xd9\xa2\x9a\x65\xfb\x4b
« Последнее редактирование: 10 Ноябрь 2014, 14:30:14 от CodeMan »

Оффлайн Haron Prime

  • Почётный модератор
  • Старожил
  • *
  • Сообщений: 11313
  • Arch Linux & XMonad
    • Просмотр профиля
sudo ls -a | grep brain > /dev/head


Оффлайн Haron Prime

  • Почётный модератор
  • Старожил
  • *
  • Сообщений: 11313
  • Arch Linux & XMonad
    • Просмотр профиля
CodeMan,
Тогда приношу свои извинения.
Просто отдельные пользователи, как правило новички, пытаются добавлять скриншоты, запаковав в архив и прикрепив его к сообщению.
Это и ввело меня в заблуждение.
Я бы посоветовал, отредактировать первый пост, добавив в него описание прикреплённого архива (указать, что это лог или что там в нём находится), чтоб не вводить в заблуждение и остальных.
« Последнее редактирование: 10 Ноябрь 2014, 13:40:04 от Haron Prime »
sudo ls -a | grep brain > /dev/head

Оффлайн ArcFi

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Сегодня случайно удалил файл паролей KeePass.
Надеюсь, не забыли перевести раздел в ридонли?
Иначе может статься так, что восстанавливать уже нечего.

Aday

  • Автор темы
  • Гость
Нашел я сигнатуру:
Цитировать
kdb y 2500000 \x03\xd9\xa2\x9a\x65\xfb\x4b\xb5
вот здесь https://github.com/int0x80/anti-forensics/blob/master/scalpel.conf

Но проблема, находит он почему-то файлы одного размера 2500000 байт. И соответственно нечитаемы.
Тупо конец не находит.

В общем ничего не получилось. Сейчас пароли восстанавливаю.
« Последнее редактирование: 10 Ноябрь 2014, 19:04:56 от CodeMan »

 

Страница сгенерирована за 0.224 секунд. Запросов: 24.