Hoe vaak hebben we niet op de rand van wanhoop gestaan toen we ons realiseerden dat we een delicaat bestand hebben verwijderd (of het nu een afbeelding, brief, spreadsheet, enz. Is) dat ons ernstig in gevaar kan brengen als het een belangrijk bestand is of van dagelijks gebruik . Hoewel we meestal iets per ongeluk verwijderen, kan het soms zijn omdat we denken dat we het niet langer zullen gebruiken, maar wachten, om deze elementen te herstellen, moeten we geen hulp gaan vragen aan grote bedrijven zoals de FBI maar Solvetic zal u helpen uw informatie te herstellen met Foremost.
Voor dit geval gebruiken we Ubuntu 19.
Wat is het belangrijkste?Foremost is een gegevensprogramma dat is ontwikkeld met het exclusieve doel om verwijderde bestanden op Linux te herstellen. Een van de grote voordelen is dat we het probleemloos kunnen gebruiken om bestanden in verschillende formaten te herstellen, wat ideaal is dankzij de omvang ervan. Omdat het een Linux-hulpprogramma is, vinden we het in alle huidige repositories, wat de installatie ervan vereenvoudigt. U moet weten dat Foremost een forensische zoekopdracht op de harde schijf uitvoert om de beschikbare bestanden zoveel mogelijk te herstellen.
Omdat het een hulpprogramma is met een grote impact bij het redden van informatie, is dit hulpmiddel enkele jaren geleden ontwikkeld door het Office of Special Investigations van de Amerikaanse luchtmacht, samen met de steun van het Center for Studies and Research on Information Systems Security. ons meer directe richtlijnen van de functionaliteit.
Foremost kan werken aan afbeeldingsbestanden of rechtstreeks op een harde schijf, omdat we opdrachtregelmodifiers kunnen gebruiken om de typen bestanden te specificeren die we willen doorzoeken en dus specifieker zijn met wat we willen met dit hulpprogramma.
Hoe Foremost werktWaarom is Foremost effectief voor deze taak Heel eenvoudig, wanneer u een bestand van het systeem verwijdert en naar de prullenbak stuurt, blijft het daar totdat u het leegt. Maar het detail van het legen ervan betekent niet dat de bestanden voor altijd verdwenen zijn, maar dat ze nog steeds bij ons blijven, omdat het systeem alleen zorgt voor het verwijderen van de metadata en het achterlaten van de inferieure gegevens zodat ze worden overschreven. Om deze reden is het mogelijk om bestanden te herstellen, misschien niet altijd met 100% kwaliteit en integriteit, maar met zeer hoge beschikbaarheidsniveaus.
Foremost zorgt voor het kopiëren en analyseren van de harde schijf om verborgen bestanden te detecteren en herbergt die informatie vervolgens tijdelijk met behulp van het geheugen van de computer als bron en blijft zoeken naar alle overeenkomsten om uiteindelijk te resulteren in een uitgebreid bestand.
Het belangrijkste is de mogelijkheid om bestanden te herstellen zoals jpg.webp, gif.webp, png, bmp.webp, avi, tiff, mp4, exe, mpg, wav, asf, wma, mp3, fws, riff, wmv, mov, pdf, ole, doc, docx , xls, xlsx. ppt, pptx, zip, rar, html, cpp, java, art, pst, ost, dbx, idx, mbx, wpc, pgp, txt, rpm, dat, enz.
De syntaxis die met Foremost moet worden gebruikt, is als volgt:
voorste (-v / -V - -h / -T / -Q / -q / -a / -w / -d) (-t (type)) (-s (blokken)) (-k (grootte)) (-b (grootte)) (-c (bestand)) (-o (dir)) (-i (bestand))
Belangrijkste parameters:De beschikbare parameters zijn als volgt:
- -V: geeft de auteursrechten en informatie over het object weer.
- -t: specificeert het bestandstype.
- -d: maakt indirecte blokdetectie mogelijk.
- -i: specificeer het uitvoerbestand.
- -a: schrijf alle headers en detecteer geen fouten.
- -w: schrijft alleen naar het gecontroleerde bestand, maar schrijft niet naar de andere bestanden op het systeem.
- -o: definieert de uitvoer van het bestand.
- -c: stel de bestandsinstellingen in.
- -q: schakel de snelle modus in.
- -Q: stille modus inschakelen.
- -v: schakel de uitgebreide modus in voor betere details.
Vervolgens zullen we zien hoe u Foremost installeert en gebruikt om bestanden op Linux te herstellen.
1. Installeer Foremost om verwijderde bestanden op Linux te herstellen
Om het te installeren, voert u gewoon de volgende opdracht uit:
sudo apt eerst installeren
Installeer Foremost op Arch LinuxAls we Arch Linux gebruiken, kunnen we het volgende uitvoeren:
pacman -S belangrijkste
Installeer Foremost op FedoraAls we Fedora gebruiken, zullen we het volgende uitvoeren:
dnf eerst installeren
Installeer Foremost op CentOSIn het geval van CentOS moeten we eerst de repositories installeren:
sudo yum install https://forensics.cert.org/centos/cert/7/x86_64//foremost-1.5.7-13.1.el7.x86_64.rpm -y
2. Gebruik Foremost om verwijderde bestanden op Linux te herstellen
Eenmaal geïnstalleerd zijn we klaar voor gebruik en de eerste methode is om te proberen alle bestanden te herstellen van hetzelfde type bestand dat is verwijderd, bijvoorbeeld zoeken naar alle .txt- of .png.webp-bestanden, enz.
Stap 1
Om dit te doen, moeten we eerst de ID van de eenheid weten, dus we moeten het volgende uitvoeren:
df -h
VERGROTEN
Stap 2
We kunnen bijvoorbeeld /dev/sda1 selecteren om daar te zoeken en we moeten altijd rekening houden met de naam onder de kolom “S. bestanden ”. Nu zullen we proberen .docx-bestanden in dat pad te redden, hiervoor voeren we het volgende uit in de terminal:
belangrijkste -v -t docx -i / dev / sda1 -o ~ / herstel /Stap 3
Als u dit uitvoert, leidt dit tot de analyse in die eenheid:
VERGROTEN
Stap 4
Wanneer het zoeken is voltooid, zijn de herstelde bestanden beschikbaar in de map voorafgegaan door de parameter -o. Daar kunnen we het bestandstype vervangen door het gewenste:
VERGROTEN
Stap 5
Het proces kan enige tijd duren, afhankelijk van de grootte van de schijf en het type bestanden dat wordt doorzocht. Het Foremost-hulpprogramma maakt automatisch een map in de thuismap met de aangegeven naam waar de herstelde bestanden worden opgeslagen:
VERGROTEN
Dankzij Foremost wordt het mogelijk om de schijven in detail te analyseren en bestanden te herstellen die in Linux zijn verwijderd.
