Digit Oktavianto Web Log

Catatan Sampah si Digit

Recovery File Yang Terhapus (Recovery Deleted Files)

| Comments

Pada artikel sebelumnya saya pernah bercerita tentang pengalaman saya melakukan recovery file system yang terformat. Kali ini saya akan sedikit sharing mengenai recovery file yang terhapus (recovery deleted files) atau mengembalikan data yang telah terhapus. Ada kalanya kita tidak sengaja melakukan kesalahan saat sedang membuka folder, ada file / folder yang tidak sengaja kita delete, atau memang ada file / folder yang kita delete, namun di kemudian hari kita ternyata membutuhkan data tersebut. Ada juga yang memanfaatkan software recovery data untuk kepentingan digital forensic untuk menggali informasi data yang pernah terhapus / terformat. Ada banyak link bagus yang dapat mengarahkan kita kepada tools-tools atau metode untuk recovery file yang terhapus / terformat. Salah satunya link yang sangat bermanfaat adalah ini (http://www.forensicswiki.org/wiki/Main_Page)

Untuk kali ini saya akan membahas software data recovery yang menurut saya sangat bagus, yaitu Scalpel. Bahkan ada beberapa link yang menyebutkan bahwa Scalpel ini merupakan salah satu software data recovery yang terbaik. Scalpel ini dapat di jalankan di berbagai operating system seperti Linux, WIndows, MacOS. File system yang dapat di recovery pun beragam, mulai dari FATx, NTFS, ext2, ext3, HFS+, sampai raw partitions data. Baik langsung saja kita mulai melakukan demonstrasi bagaimana instalasi Scalpel data recovery, konfigurasi, sampai dengan pengunaanya :

PS : Untuk skenario berikut, environment yang saya gunakan adalah OS Ubuntu Linux 10.04, lalu saya akan coba melakukan recovery data di flash disk saya yang berada di /dev/sdb1. Semua perintah di bawah ini di eksekusi melalui shell / terminal

1. Install Scalpel dari repository 

digit@digit-laptop:~$ sudo apt-get install scalpel

2. Setelah scalpel selesai di install, pertama kali kita harus merubah konfigurasi Scalpel

digit@digit-laptop:~$ sudo nano /etc/scalpel/scalpel.conf

Secara default, file konfigurasi scalpel.conf di mark semua dengan tanda (#). Oleh karena itu, kita harus melakukan setting terlebih dahulu. Di scalpel.conf ini berisi file type yang akan kita recovery. Di scalpel.conf ini sudah di definisikan sebagian besar file type yang dapat kita recovery apabila terhapus (jpg, doc, avi, pdf, dll). Kita hanya perlu menghapus tanda # (yang berarti konfigurasi tersebut kita gunakan) tipe file apa saja yang dapat di recover oleh Scalpel. Kalau saya, hampir semua type file saya enable agar dapat di recover oleh scalpel.

3. Setelah itu silakan jalankan Scalpel. (Dengan root) 

digit@digit-laptop:~$ sudo scalpel /dev/sdb1 -o /home/digit/HASIL_RECOVERY/

/dev/sdb1 adalah lokasi device dimana file-file yang sudah terdelete. Folder /home/digit/HASIL_RECOVERY adalah tempat untuk menampung file-file yang telah di recovery dari /dev/sdb1 atau output nya. /dev/sdb1 juga bisa berupa lokasi folder dimana data-data yang akan kita recover. Jika dia berupa folder, kita hanya perlu menulis path folder nya saja.


Di bawah ini contoh progress recovery file-file saya yang berada di /dev/sdb1 (flash disk saya) :

digit@digit-laptop:~$ sudo scalpel /dev/sdb1 -o /home/digit/HASIL_RECOVERY/
Scalpel version 1.60

Written by Golden G. Richard III, based on Foremost 0.69.

Opening target "/dev/sdb1"

Image file pass 1/2.

/dev/sdb1: 100.0% |*************************************|    3.7 GB    00:00 ETAAllocating work queues...

Work queues allocation complete. Building carve lists...

Carve lists built.  Workload:

art with header "\x4a\x47\x04\x0e" and footer "\xcf\xc7\xcb" --> 0 files

art with header "\x4a\x47\x03\x0e" and footer "\xd0\xcb\x00\x00" --> 0 files

gif with header "\x47\x49\x46\x38\x37\x61" and footer "\x00\x3b" --> 3 files

gif with header "\x47\x49\x46\x38\x39\x61" and footer "\x00\x3b" --> 52 files

jpg with header "\xff\xd8\xff\xe0\x00\x10" and footer "\xff\xd9" --> 814 files

png with header "\x50\x4e\x47\x3f" and footer "\xff\xfc\xfd\xfe" --> 216 files

bmp with header "\x42\x4d\x3f\x3f\x00\x00\x00" and footer "" --> 6 files

tif with header "\x49\x49\x2a\x00" and footer "" --> 505 files

tif with header "\x4d\x4d\x00\x2a" and footer "" --> 127 files

avi with header "\x52\x49\x46\x46\x3f\x3f\x3f\x3f\x41\x56\x49" and footer "" --> 3 files

mov with header "\x3f\x3f\x3f\x3f\x6d\x6f\x6f\x76" and footer "" --> 2 files

mov with header "\x3f\x3f\x3f\x3f\x6d\x64\x61\x74" and footer "" --> 5 files

mpg with header "\x00\x00\x01\xba" and footer "\x00\x00\x01\xb9" --> 141 files

mpg with header "\x00\x00\x01\xb3" and footer "\x00\x00\x01\xb7" --> 18 files

fws with header "\x46\x57\x53" and footer "" --> 86 files

doc with header "\xd0\xcf\x11\xe0\xa1\xb1\x1a\xe1\x00\x00" and footer "\xd0\xcf\x11\xe0\xa1\xb1\x1a\xe1\x00\x00" --> 166 files

doc with header "\xd0\xcf\x11\xe0\xa1\xb1" and footer "" --> 166 files

pst with header "\x21\x42\x4e\xa5\x6f\xb5\xa6" and footer "" --> 0 files

ost with header "\x21\x42\x44\x4e" and footer "" --> 0 files

dbx with header "\xcf\xad\x12\xfe\xc5\xfd\x74\x6f" and footer "" --> 0 files

idx with header "\x4a\x4d\x46\x39" and footer "" --> 0 files

htm with header "\x3c\x68\x74\x6d\x6c" and footer "\x3c\x2f\x68\x74\x6d\x6c\x3e" --> 3 files

pdf with header "\x25\x50\x44\x46" and footer "\x25\x45\x4f\x46\x0d" --> 146 files

pdf with header "\x25\x50\x44\x46" and footer "\x25\x45\x4f\x46\x0a" --> 30 files

mail with header "\x41\x4f\x4c\x56\x4d" and footer "" --> 0 files

pgd with header "\x50\x47\x50\x64\x4d\x41\x49\x4e\x60\x01" and footer "" --> 0 files

pgp with header "\x99\x00" and footer "" --> 65161 files

pgp with header "\x95\x01" and footer "" --> 31799 files

pgp with header "\x95\x00" and footer "" --> 53117 files

pgp with header "\xa6\x00" and footer "" --> 33084 files

txt with header "\x2d\x2d\x2d\x2d\x2d\x42\x45\x47\x49\x4e\x20\x50\x47\x50" and footer "" --> 0 files

rpm with header "\xed\xab" and footer "" --> 28898 files

wav with header "\x52\x49\x46\x46\x3f\x3f\x3f\x3f\x57\x41\x56\x45" and footer "" --> 0 files

ra with header "\x2e\x72\x61\xfd" and footer "" --> 0 files

ra with header "\x2e\x52\x4d\x46" and footer "" --> 0 files

dat with header "\x72\x65\x67\x66" and footer "" --> 4 files

dat with header "\x43\x52\x45\x47" and footer "" --> 0 files

zip with header "\x50\x4b\x03\x04" and footer "\x3c\xac" --> 22573 files

java with header "\xca\xfe\xba\xbe" and footer "" --> 187 files

Carving files from image.

Image file pass 2/2.

/dev/sdb1:   2.6% |                                     |  100.0 MB  2:31:56 ETA

Tadaaa….. Berhasil. :) Selamat mencoba. Semoga bermanfaat. :)

Comments