Silinen Fotoğrafları Geri Getirmek – Computer Forensics | Scalpel

Silinen fotoğraflarınızı geri getirmek mi istiyorsunuz? Aslında bakarsanız silinen dosyaları geri getirmek birçok kişi için çok zor gibi gözüküyor. Birazdan anlatacağım yöntem sayesinde ayrıca silinen videolarınızı da geri getirebilirsiniz. Bu işlem için İngilizcesi “data carving” olan ve Türkçeye “veri oymacılığı” olarak çevirebileceğimiz yöntemi kullanacağız. Bir Computer Forensics vakalarında kullanılan bir program olan “scalpel” aracından faydalanacağız. Hadi, silinen fotoğrafları geri getirmek nasıl olucak başlayalım…

[toc]

Sıfırdan Detaylı Anlatım

Silinen dosyaları geri getirmek için, yapmamız gereken şey kullanmakta olduğumuz işletim sistemine scalpel aracını yüklemek olacaktır. Ben anlatımı Kali linux işletim sistemi üzerinde yapacağım. Siz de dilerseniz sanal makinenize kurabilirsiniz. Bu tool zaten Kali içerisinde geliyor. Eğer başka bir linux dağıtımı kullanıyorsanız “apt-get install scalpel ” komutu ile bilgisayarınıza scalpeli yükleyebilirsiniz.

Gördüğünüz üzere flash diskimin içerisi bu şekilde:

Şimdi de bu resimi siliyorum:

Gördüğünüz üzere artık USB cihazımın içerisinde resim yok. Hadi onu geri getirelim.

Silinen dosyaları geri getirmek için aşağıdaki ilk olarak USB cihazımızın konumunu tespit etmeliyiz. Bunun için terminalde ” lsblk ” komutunu çalıştırıyoruz. Bu komut bize bilgisayarımızdaki diskleri gösteriyor.

Yukarıdkai resimde de göreceğiniz üzere sdb1 benim taşınabilir flash diskim. Yani onun konumu /dev/sdb1

şimdi gelelim scalpel kullanarak silinen dosyaları geri getirme işlemine. Fakat bunu yapmadan önce getirmek istediğimiz dosyanın formatını scalpel.conf dosyasında belirtmemiz gerekiyor. Bunun için komut satırında sudo gedit /etc/scalpel/scalpel.conf komutunu çalıştırıyoruz.

Ben jpg uzantılı dosyaları getirmek istediğim için CTRL+F ile jpg uzantısını aratıp buldum ve başındaki komut satırı işaretini (#) kaldırdım. Bu kadar, daha sonra dosyayı kaydedip kapatabilirisiniz. Eğer siz farklı bir dosya formatını geri getirmek yani carve etmek istiyorsanız onları da yorum satırı olmaktan çıkartmalısınız.

Scalpel çalıştırma komutu nasıl olmalı?
sudo scalpel disk_konumu -o output_konumu

Yukaridaki komutu kendime göre uyarlayıp ben scalpeli çalıştırdım.
Flash diskinizin boyutuna göre bu arama zaman alabilir.

Benim için işlem sona erdi. Gördüğünüz üzere files carved = 2 (yani 2 tane dosya kurtarabildi) ben bir resim silmeme rağmen daha önce silmiş olduğum bir başka resimi daha bulmuş.

Özet

1. lslbk komutu ile veri kurtarmak istediğimiz diskin adı not edilir.
2. sudo gedit /etc/scalpel/scalpel.conf komutu çalıştırılır ve geri getirilmek dosyaların uzantısı yorum satırı olmaktan çıkartılır. Dosya kaydedilir ve kapatılır.
3. sudo scalpel disk_konumu -o output_konumu formatına sahip komut, komut satırında çalıştırılır. (Bu benim için sudo scalpel /dev/sdb1 -o /root/Desktop/kurtarilanDosyalar ‘dı)
4. İşlem bitmiştir. Kurtardığınız dosyalara output_konumu klasöründen ulaşablirsiniz.