11、文件恢复、数据雕刻与内存取证工具的使用

文件恢复、数据雕刻与内存取证工具的使用

1. 文件恢复与数据雕刻工具

1.1 Scalpel 工具

Scalpel 完成雕刻后，其输出的最后几行显示雕刻过程已 100% 完成，共雕刻出 18 个文件。我们可以前往名为 scalpelOutput 的输出文件夹查看雕刻出的文件。Scalpel 的输出结果与 foremost 类似，输出文件夹中包含多个子文件夹，里面存放着雕刻出的文件，同时还有一个 audit.txt 文件，记录着雕刻结果的详细信息。

在 jpg - 1 - 0 文件夹中，能看到 5 个 .jpg 文件，但其中部分文件可能无法打开，这些很可能是误报结果。Scalpel 在 audit.txt 文件中对所有雕刻出的文件进行了编号列表，并将每种文件类型分别保存到 ScalpelOutput 文件夹下的不同子文件夹中。

1.2 Foremost 与 Scalpel 的比较

虽然 Scalpel 比 foremost 返回的文件更多，但建议手动对比两者输出文件夹中的雕刻文件。需要注意的是，这两个工具返回的文件名并非原始文件名，而且由于很多文件可能已碎片化，看起来像是单独的文件，所以可能会存在重复的雕刻文件。通过手动对比，能判断哪个工具更成功。

1.3 多工具使用的重要性

在进行取证时，应始终使用多种工具，通过比较各工具的结果来确保结果的准确性。同时，建议调查人员在处理和获取证据前先测试工具，并记录工具测试情况。

1.4 bulk_extractor 工具

1.4.1 工具特点

foremost 和 Scalpel 在文