Восстановление данных на Linux

The Sleuth Kit (TSK) представляет собой библиотеку и набор консольных программ, предназначенных для проведения анализа данных на произвольных файловых системах. Используя это ПО следователи могут идентифицировать и восстановить удаленные данные из образов, снятых во время расследования или с работающих систем. Специалисты могут проверить программы на предмет несанкционированных действий и расширить, при необходимости, функциональность.
TSK позволяет работать с дисками напрямую, либо с образами, снятыми при помощи программ вроде dd. Каждая программа из пакета является низкоуровневой и выполняет одну простую задачу.
TSK основан на The Coroner’s Toolkit и позволяет выполнять следующие операции:
- анализ сырых (Raw) файловых систем, систем Expert Witness (EnCase) и AFF;
- поддерживаются следующие файловые системы: NTFS, FAT, UFS 1, UFS 2, EXT2FS, EXT3FS и ISO 9660;
- работа на «живых» системах в ходе расследования инцидента с доступом даже к тем файлам, которые были скрыты при помощи т.н. руткитов (rootkits);
- вывод списка удаленных файлов;
- отображение всех подробностей, связанных с атрибутами NTFS (включая все альтернативные потоки);
- определение типа файловой системы и отображение ее структуры;
составление графика активности пользователя;
- ils отображает список всех метаданных (например, таких как Inode);
- blkls отображает блоки с данными внутри файловых систем;
- fls выводит список существующих и удаленных файлов;
- fsstat выводит статистическую информацию об образе или носителе;
- ffind ищет имя файла для указанной области метаданных;
- disk_stat определяет существует ли т.н. Host Protected Area;
- и многое другое.
К TSK имеется графический интерфейс — The Autopsy Forensic Browser.
Ссылка: https://www.sleuthkit.org/sleuthkit/