بعد معرفة كيفية تحليل الهارد في الموضوع السابق باستخدام مجموعة Sleuthkit سأشرح في هذا الموضوع ثلاث برامج recoverjpeg , foremost و PhotoRec المستخدمة باسترجاع الصور والملفات المحذوفة من الهارد وذواكر USB بالتفصيل.

في هذه العملية يجب علينا في البداية أخذ صورة (نسخه) طبق الأصل من كرت الذاكرة, ولعمل ذلك يجب أن يكون في حاسبك منفذ بطاقات SD.MS/Pro.MMC.XD أو تسمى بعض الأحيان بـ Magicgate في أجهزة السوني.

في هذا الشرح سوف أستخدم التالي:

1. .النظام فيدورا 12
2. ذاكرة جهاز سوني اريكسون من نوع ScanDisk M2 سعة 512 ميغابايت.
3. M2 Adapter لتوصيلها بجهازي المحمول.

ملاحظة: عند الكتابة على كرت الذاكرة بعد المسح يقل إحتمال إسترجاع الصور المحذوفة.

عملية إستعادة الصور المحذوفة

بعد توصيل بطاقة الذاكرة بالجهاز, نقوم بكتابة الأمر:

أو الأمر التالي لمعرفة كرت الذاكرة الذي سوف نعمل عليه:

حيث بالنسبة لي كان التالي:

الآن قبل تصوير الكرت يجب عليك التأكد بأن الكرت ليس معمول عليه mount من النظام, ثم بعد ذلك قم بعملية التصوير الإعتيادية, قم بتعديل الأمر بحسب ما ترى مناسباً:

الآن إنتظر إنتهاء عملية النسخ, فور الإنتهاء ستكون أنجزت 50% من المهمة.

لسحب الصور من صورة الذاكرة مباشرة يمكنك إستخدام إحدى البرامج الثلاث أدناه, كلها تؤدي نفس الغرض لكن كل واحد منهم يحتوي على ميزة تميزه, حيث سوف اكتب وجهة نظري الشخصية عن كل برنامج.

البرنامج الأول: recoverjpeg | تحميل
الميزة: لاحظت بأن البرنامج يسترجع جميع الصور لدرجة أني ذهلت لإستعادته صور قديمة جداً رغم كتابتي على الذاكرة بإستمرار, لكن الصور لم تعود 100%, فبعضها يغطيها جزء رمادي بسبب الكتابة على الذاكرة, مع العلم بأنك لن تحتاج بأن تقوم بأي عملية إصلاح للصور.

التركيب عن طريق البناء من المصدر:

طريقة الإستعادة:

أو مباشرة عن طريق:

البرنامج الثاني: foremost | التحميل
الميزة: يزودك بتقرير في ملف نصي عن عملية الإسترجاع, بالإضافة يمكنك أن تحدد ماذا تريد أن تسترجع من إمتدادات, حيث يصنفها لك في مجلدات كل إمتداد في مجلد خاص به.

التركيب البناء من المصدر (نفس الطريقة السابقة).

طريقة الإستعادة:

البرنامج الثالث: PhotoRec | التحميل
الميزة: برنامج جميل ومرتب ويدعم العديد من أنظمة التخزين بالإضافة إلى إمكانية إختيار الإمتدادت المراد إستعادتها. أما عيبه فهو التصنيف جداً سيء, حيث يقوم بإستعادة الملفات في مجلدات مبعثرة.

التركيب: لا يحتاج تركيب, إفتح الضغط وإستخدم البرنامج عن طريق سطر الأوامر, حيث تم عمل له كومبايل مسبقاً.

طريقة الإستعادة:

بعد الدخول على المجلد يتم فتح البرنامج PhotoRec باستخدام الأمر:

بعد ذلك نحدد الزر Proceed , للإستمرار على الصورة الذاكرة المحددة.

بعد ذلك حدد نوع البارتشن, في حالتي None , لكن للآيفون مثلاً يتم تحديد Apple partition map.

يمكنك الإستمرار بالضغط على Search حيث سوف يقوم البرنامج إفتراضياً بإستعادة جميع الملفات المحذوفة, لكن إذا كنت تريد إستعادة الصور فقط, إذهب إلى خيار File Opt.

يمكنك الضغط على حرف الـ s لتحديد الجميع و إلغاء تحديد الجميع, بعد الإنتهاء قم بالضغط على حرف الـ b ثم أضغط أوكي بعد ذلك.

الآن اضغط إنتر للعودة للقائمة الرئيسية وأضغط على Search لبدء عملية الإستعادة. حيث سوف يظهر التالي:

حدد ما يناسبك, في حالتي سوف أختار Other.

الآن سوف يسألك البرنامج كيف تريده يقوم بعملية الإستعادة, هل من المساحة الخالية أو جميع الذاكرة, حيث المساحة الخالية سوف يعيد لك الملفات المفقود فقط, لكن عن نفسي أوده أن يعيد لي الجمل بما حمل لذلك أخترت Whole.

حسناً, الآن يسألك أين تريد حفظ الملفات التي تم إستعادتها, يمكنك عمل ذلك بسهولة عن طريق الضغط على الأسهم ” يسار – يمين ” لتغيير الملف, ثم أضغط إنتر على الملف الذي تريد تخزين الملفات فيه وليس تحديده فقط في البرنامج. بعد ذلك إضغط على الزر y:

مبروك, الآن جاري استعادة الصور والملفات المحذوفة من ذاكرة الـ USB.

عن الكاتب:

ساري بخاري, طالب جامعي في قسم التحقيق الجنائي الرقمي في بريطانيا, لدي خبرة واسعة في البرمجة والحماية والتصميم والتعامل مع أنظمة اللينوكس.