De câte ori nu am fost la un pas de disperare când ne dăm seama că am șters un fișier delicat (fie că este o imagine, o scrisoare, o foaie de calcul etc.) care ne poate compromite serios dacă este un fișier important sau de uz zilnic . Deși de cele mai multe ori ștergem ceva este întâmplător, alteori se poate datora faptului că considerăm că nu îl vom mai folosi, dar așteptăm, pentru a recupera aceste elemente, nu ar trebui să mergem să cerem ajutor marilor corporații precum FBI dar Solvetic vă va ajuta să vă recuperați informațiile cu Foremost.
Pentru acest caz vom folosi Ubuntu 19.
Ce este cel mai importantForemost este un program de date care a fost dezvoltat cu scopul exclusiv de a recupera fișierele șterse pe Linux. Unul dintre marile sale avantaje este că îl putem folosi fără probleme pentru a recupera fișiere în diferite formate, ceea ce este ideal datorită domeniului său de aplicare. Fiind un utilitar Linux, îl găsim în toate depozitele actuale, simplificând instalarea acestuia. Trebuie să știți că Foremost execută o căutare de tip criminalistică pe hard disk pentru a recupera fișierele disponibile cât mai mult posibil.
Fiind o utilitate cu mare impact în salvarea informațiilor, acest instrument a fost dezvoltat în urmă cu câțiva ani de către Oficiul de Investigații Speciale al Forțelor Aeriene ale Statelor Unite împreună cu sprijinul Centrului pentru Studii și Cercetări privind Securitatea Sistemelor de Informații., Care oferă ne îndrumă mai direct despre funcționalitatea sa.
Foremost poate lucra pe fișiere de imagine sau direct pe un hard disk, deoarece putem folosi modificatori de linie de comandă pentru a specifica tipurile de fișiere pe care dorim să le căutăm și astfel să fim mai specifici cu ceea ce dorim cu acest utilitar.
Cum funcționează ForemostDe ce este Foremost eficient pentru această sarcină? Foarte simplu, când ștergeți un fișier din sistem și îl trimiteți la coșul de gunoi, acesta va rămâne acolo până când îl goliți. Dar detaliile golirii nu înseamnă că fișierele au dispărut pentru totdeauna, ci că rămân la noi, deoarece sistemul se ocupă doar de eliminarea metadatelor și de lăsarea datelor inferioare astfel încât să fie suprascrise. Din acest motiv, este posibil să recuperați fișiere, poate nu întotdeauna cu o calitate și integritate 100%, dar cu niveluri foarte ridicate de disponibilitate.
Foremost se ocupă de copierea și analiza hard disk-ului pentru a detecta fișierele ascunse și apoi găzduiește temporar acele informații folosind memoria computerului ca resursă și va continua să caute toate potrivirile pentru a rezulta în cele din urmă într-un fișier cuprinzător.
Foremost este în capacitatea de a recupera fișiere precum jpg.webp, gif.webp, png, bmp.webp, avi, tiff, mp4, exe, mpg, wav, asf, wma, mp3, fws, riff, wmv, mov, pdf, ole, doc, docx , xls, xlsx. ppt, pptx, zip, rar, html, cpp, java, art, pst, ost, dbx, idx, mbx, wpc, pgp, txt, rpm, dat etc.
Sintaxa de utilizat cu Foremost este următoarea:
cel mai important (-v / -V - -h / -T / -Q / -q / -a / -w / -d) (-t (tip)) (-s (blocuri)) (-k (dimensiune)) (-b (dimensiune)) (-c (fișier)) (-o (dir)) (-i (fișier))
Parametrii principaliParametrii disponibili sunt după cum urmează:
- -V: afișează drepturile de autor și informații despre obiect.
- -t: specifică tipul de fișier.
- -d: permite detectarea indirectă a blocurilor.
- -i: specificați fișierul de ieșire.
- -a: scrieți toate anteturile și nu detectați erori.
- -w: scrie numai în fișierul auditat, dar nu scrie în celelalte fișiere din sistem.
- -o: definește ieșirea fișierului.
- -c: setați setările fișierului.
- -q: activați modul rapid.
- -Q: activați modul silențios.
- -v: activați modul detaliat pentru detalii mai bune.
În continuare vom vedea cum se instalează și se folosește Foremost pentru a recupera fișiere pe Linux.
1. Instalați Foremost pentru a recupera fișierele șterse pe Linux
Pentru a-l instala, rulați următoarea comandă:
sudo apt instalează în primul rând
Instalați Foremost pe Arch LinuxDacă folosim Arch Linux putem executa următoarele:
pacman -S cel mai important
Instalați Foremost pe FedoraDacă folosim Fedora vom executa:
dnf instala cel mai important
Instalați Foremost pe CentOSÎn cazul CentOS, trebuie mai întâi să instalăm depozitele:
instalați sudo yum https://forensics.cert.org/centos/cert/7/x86_64//foremost-1.5.7-13.1.el7.x86_64.rpm -y
2. Utilizați Foremost pentru a recupera fișierele șterse pe Linux
Odată instalat, vom fi gata de utilizare, iar prima metodă este să încercăm să recuperăm toate fișierele care sunt același tip de fișier șters, de exemplu, căutăm toate fișierele .txt sau .png.webp etc.
Pasul 1
Pentru a face acest lucru, trebuie mai întâi să cunoaștem ID-ul unității, așa că trebuie să executăm următoarele:
df -h
MARI
Pasul 2
De exemplu, putem selecta / dev / sda1 pentru a căuta acolo și trebuie să ținem cont întotdeauna de numele de sub coloana „S. Dosare ”. Acum, vom încerca să salvăm fișierele .docx din acea cale, pentru aceasta executăm următoarele în terminal:
cel mai important -v -t docx -i / dev / sda1 -o ~ / recovery /Pasul 3
Executarea acestui lucru va duce la analiza în acea unitate:
MARI
Pasul 4
După finalizarea căutării, fișierele recuperate vor fi disponibile în folderul precedat de parametrul -o. Acolo putem înlocui tipul de fișier cu cel dorit:
MARI
Pasul 5
Procesul poate dura ceva timp, în funcție de dimensiunea unității și de tipul de fișiere căutate. Utilitarul Foremost va crea automat un folder în directorul Acasă cu numele indicat în care vor fi salvate fișierele recuperate:
MARI
Datorită Foremost va fi posibil să analizăm detaliile unităților și să recuperăm fișierele șterse în Linux.
