Ile razy nie byliśmy na skraju rozpaczy, gdy zdaliśmy sobie sprawę, że usunęliśmy jakiś delikatny plik (czy to obraz, list, arkusz kalkulacyjny itp.), który może nas poważnie zagrozić, jeśli jest to ważny plik lub plik codziennego użytku . Chociaż najczęściej usuwamy coś przez przypadek, innym razem może tak być, ponieważ uważamy, że nie będziemy już z tego korzystać, ale czekamy, aby odzyskać te elementy, nie powinniśmy prosić o pomoc dużych korporacji, takich jak FBI ale Solvetic pomoże Ci odzyskać informacje z Foremost.
W tym przypadku użyjemy Ubuntu 19.
Co jest najważniejszeForemost to program do obsługi danych, który został opracowany wyłącznie w celu odzyskiwania usuniętych plików w systemie Linux. Jedną z jego wielkich zalet jest to, że możemy go bez problemu wykorzystać do odzyskiwania plików w różnych formatach, co jest idealne ze względu na jego zakres. Będąc narzędziem Linuksa, znajdujemy go we wszystkich obecnych repozytoriach, co upraszcza jego instalację. Powinieneś wiedzieć, że Foremost wykonuje wyszukiwanie typu śledczego na dysku twardym, aby odzyskać jak najwięcej dostępnych plików.
Będąc narzędziem o dużym wpływie na ratowanie informacji, narzędzie to zostało opracowane kilka lat temu przez Biuro Dochodzeń Specjalnych Sił Powietrznych Stanów Zjednoczonych przy wsparciu Centrum Studiów i Badań nad Bezpieczeństwem Systemów Informacyjnych. nam bardziej bezpośrednie wytyczne dotyczące jego funkcjonalności.
Przede wszystkim jest w stanie pracować na plikach graficznych lub bezpośrednio na dysku twardym, ponieważ możemy użyć modyfikatorów wiersza poleceń, aby określić typy plików, które chcemy przeszukiwać, a tym samym być bardziej szczegółowym w tym, co chcemy za pomocą tego narzędzia.
Jak działa ForemostDlaczego Foremost jest skuteczny w tym zadaniu?Bardzo proste, gdy usuniesz plik z systemu i wyślesz go do kosza, pozostanie tam, dopóki go nie opróżnisz. Ale szczegół opróżnienia go nie oznacza, że pliki zniknęły na zawsze, ale że nadal pozostają z nami, ponieważ system dba tylko o eliminację metadanych i pozostawienie gorszych danych, aby zostały nadpisane. Z tego powodu możliwe jest odzyskanie plików nie zawsze ze 100% jakością i integralnością, ale z bardzo wysokim poziomem dostępności.
Foremost zajmuje się kopiowaniem i analizą dysku twardego w celu wykrycia ukrytych plików, a następnie tymczasowo przechowuje te informacje, wykorzystując pamięć komputera jako zasób i kontynuuje wyszukiwanie wszystkich dopasowań, aby w końcu uzyskać kompleksowy plik.
Przede wszystkim możliwość odzyskiwania plików takich jak jpg.webp, gif.webp, png, bmp.webp, avi, tiff, mp4, exe, mpg, wav, asf, wma, mp3, fws, riff, wmv, mov, pdf, ole, doc, docx , xls, xlsx. ppt, pptx, zip, rar, html, cpp, java, art, pst, ost, dbx, idx, mbx, wpc, pgp, txt, rpm, dat itp.
Składnia używana z Foremost jest następująca:
przede wszystkim (-v / -V - -h / -T / -Q / -q / -a / -w / -d) (-t (typ)) (-s (bloki)) (-k (rozmiar)) (-b (rozmiar)) (-c (plik)) (-o (katalog)) (-i (plik))
Najważniejsze parametryDostępne parametry są następujące:
- -V: wyświetla prawa autorskie i informacje o obiekcie.
- -t: określa typ pliku.
- -d: włącza pośrednie wykrywanie bloku.
- -i: określ plik wyjściowy.
- -a: zapisz wszystkie nagłówki i nie wykryj żadnych błędów.
- -w: zapisuje tylko do kontrolowanego pliku, ale nie zapisuje do innych plików w systemie.
- -o: określa wyjście pliku.
- -c: ustaw ustawienia pliku.
- -q: włącz tryb szybki.
- -Q: włącz tryb cichy.
- -v: włącz tryb szczegółowy, aby uzyskać lepsze szczegóły.
Następnie zobaczymy, jak zainstalować i używać Foremost do odzyskiwania plików w systemie Linux.
1. Zainstaluj Foremost, aby odzyskać usunięte pliki w systemie Linux
Aby go zainstalować, po prostu uruchom następujące polecenie:
sudo apt zainstalować przede wszystkim
Zainstaluj przede wszystkim na Arch LinuxJeśli używamy Arch Linux, możemy wykonać następujące czynności:
pacman -S przede wszystkim
Zainstaluj przede wszystkim w FedorzeJeśli użyjemy Fedory, wykonamy:
dnf zainstalować przede wszystkim
Zainstaluj przede wszystkim na CentOSW przypadku CentOS musimy najpierw zainstalować repozytoria:
sudo mniam zainstaluj https://forensics.cert.org/centos/cert/7/x86_64//foremost-1.5.7-13.1.el7.x86_64.rpm -y
2. Użyj Foremost, aby odzyskać usunięte pliki w systemie Linux
Po zainstalowaniu będziemy gotowi do użycia, a pierwszą metodą jest próba odzyskania wszystkich plików tego samego typu, które zostały usunięte, na przykład wyszukanie wszystkich plików .txt lub .png.webp itp.
Krok 1
Aby to zrobić, musimy najpierw znać identyfikator jednostki, więc musimy wykonać następujące czynności:
df-h
POWIĘKSZAĆ
Krok 2
Na przykład możemy wybrać / dev / sda1, aby tam przeszukać i zawsze musimy brać pod uwagę nazwę pod kolumną „S. Akta ". Teraz spróbujemy uratować pliki .docx w tej ścieżce, w tym celu wykonujemy w terminalu:
przede wszystkim -v -t docx -i / dev / sda1 -o ~ / odzyskiwanie /Krok 3
Wykonanie tego doprowadzi do analizy w tej jednostce:
POWIĘKSZAĆ
Krok 4
Po zakończeniu wyszukiwania odzyskane pliki będą dostępne w folderze poprzedzonym parametrem -o. Tam możemy zastąpić żądany typ pliku:
POWIĘKSZAĆ
Krok 5
Proces może chwilę potrwać w zależności od rozmiaru dysku i typu wyszukiwanych plików. Narzędzie Foremost automatycznie utworzy folder w katalogu domowym o wskazanej nazwie, w którym zostaną zapisane odzyskane pliki:
POWIĘKSZAĆ
Dzięki Foremost będzie można szczegółowo przeanalizować dyski i odzyskać pliki, które zostały usunięte w Linuksie.
