Silinen bir .bash_history dosyasını kurtarmaya çalışıyorum


0

Biraz adli tıp pratiği yapmak için bir görev. Bize VirtualBox görüntüleri verildi ve belirli bir kullanıcının ssh config'ini karıştırıp çözmediğini bulması söylendi.

Resmi salt okunur olarak monte ettim ve kullanıcının .bash_history okuduğunu gördüm:

rm .bash_history
exit

Sıkıştım. Bir tavsiyesi olan var mı?

Şu anda extcarve aracını ve çıktı dosyalarının ne olduğunu anlamaya çalışıyorum.


Sınıf ne kadar zor? Henüz ham ext2 / 3/4 verilerini ayrıştırabilmenizi mi bekliyorlar ya da hala kolay şeylerde mi (sshd config dosyasının sahibi gibi)?
Hennes

Extcarve ve Bulk Extractor gibi programlar çok incelikli değildi ...
user1399747

Yanıtlar:


1

Bunu yapmanın daha basit bir yolu olabilir, ama bu fiziksel bir makinede deneyeceğim şey:

  1. İkinci bir sürücü ekle.

  2. Bir önyükleme Ubuntu Canlı CD görüntüsü (tercihen 12.04 LTS).

  3. Bir terminal aç ve yükle PhotoRec iterek

    sudo apt-get install testdisk
    
  4. Kurtarmak istediğiniz diski takın için .

  5. PhotoRec'i Başlat:

    sudo photorec
    
  6. Uygun diski seçin.

  7. Dışındaki her şeyin seçimini kaldır Txt içinde Dosya Seçimi .

  8. Uygun bölümü seçin.

  9. Uygun dosya sistemini seçin.

  10. Ücretsiz yeterli olmalı. İle tekrar deneyebilirsin Bütün eğer değilse.

  11. Takılan diskteki dosyalar için bir hedef seçin.

  12. İşlemin bitmesini bekleyin.

  13. Grep ile çıktıyı ara:

    grep -R ssh_config /media/<mountpoint>
    

Bash'in geçmiş dosyasının parçalanmış olması muhtemel değildir, bu nedenle - dosyanın üzerine yazılmış değilse - bu çalışmalıdır.

Ne yaptığını bilen birisinin buna yakalanmayacağını unutmayın. Ayarla komutun geçmiş dosyaya kaydedilmesini engellemek kolaydır HISTCONTROL=ignorespace ve komutları bir boşlukla hazırlamak veya uygun bir şekilde çıkmadan terminali öldürmek.


İyi tavsiye. Ne yazık ki, "ssh_config", sadece .h ve .java dosyalarını içeren faydalı bir şey yoktu. Sanırım daha sonra bu kullanıcının adını aramayı deneyeceğim. Aksi takdirde, biraz güdük oldum.
user1399747

1

Bu, gerçeklerden sonra bir ders almaya zorlandığınız zamanlardan biridir.

.bash_history kullanıcılarınızın yaramaz olmadığından emin olmanın oldukça zayıf bir yoludur, ancak güvenli .bash_history ayarlayarak chattr bayraklar.


Ekleme işlemini yalnızca bayrakla önceden ayarlamanız gerekir. Ve umarım kullanım bash'ı başka bir şey yerine kabuk olarak kullanır.
Hennes

Evet, “gerçeğin ardından bir ders öğren” demenin bu kavramı kapsadığını hissettim.
jnovack
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.