Koliko puta nismo bili na rubu očaja kad shvatimo da smo izbrisali neku osjetljivu datoteku (bila to slika, pismo, proračunska tablica itd.) Koja nas može ozbiljno ugroziti ako se radi o važnoj datoteci ili svakodnevnoj upotrebi . Iako većinu puta nešto brišemo, to je slučajno, drugi put to može biti zato što smatramo da ga više nećemo koristiti, već čekamo, da bismo oporavili te elemente, ne bismo trebali ići tražiti pomoć od velikih korporacija poput FBI -a ali Solvetic će vam pomoći da oporavite svoje podatke s Foremostom.
U ovom slučaju koristit ćemo Ubuntu 19.
Što je najvažnijePrije svega je podatkovni program koji je razvijen isključivo za oporavak izbrisanih datoteka na Linuxu. Jedna od njegovih velikih prednosti je ta što ga možemo bez problema koristiti za oporavak datoteka u različitim formatima, što je idealno zahvaljujući opsegu. Budući da je Linux uslužni program, nalazimo ga u svim trenutnim spremištima, pojednostavljujući njegovu instalaciju. Trebali biste znati da Foremost izvršava forenzičko pretraživanje na tvrdom disku kako bi što je moguće više oporavio dostupne datoteke.
Budući da je to alat s velikim utjecajem na spašavanje informacija, ovaj alat je prije nekoliko godina razvio Ured za posebne istrage zračnih snaga Sjedinjenih Država, uz podršku Centra za studije i istraživanja o sigurnosti informacijskih sustava. nam izravnije smjernice njegove funkcionalnosti.
Prije svega, može raditi na slikovnim datotekama ili izravno na tvrdom disku budući da pomoću modifikatora naredbenog retka možemo odrediti vrste datoteka koje želimo pretraživati i na taj način biti konkretniji u odnosu na ono što želimo s ovim uslužnim programom.
Kako Foremost radiZašto je Foremost učinkovit za ovaj zadatak? Vrlo jednostavno, kada izbrišete datoteku iz sustava i pošaljete je u otpad, ona će ostati tamo dok je ne ispraznite. No detalj pražnjenja ne znači da su datoteke zauvijek nestale, već da i dalje ostaju s nama budući da se sustav brine samo o uklanjanju metapodataka i ostavljanju inferiornih podataka tako da se prepisuju. Iz tog razloga moguće je vratiti datoteke možda ne uvijek sa 100% kvalitetom i integritetom, ali s vrlo visokim razinama dostupnosti.
U prvom redu brine se o kopiranju i analiziranju tvrdog diska radi otkrivanja skrivenih datoteka, a zatim privremeno smješta te podatke koristeći memoriju računala kao resurs i nastavit će tražiti sva podudaranja kako bi konačno rezultirala opsežnom datotekom.
Najvažnije je u mogućnosti oporavka datoteka poput jpg.webp, gif.webp, png, bmp.webp, avi, tiff, mp4, exe, mpg, wav, asf, wma, mp3, fws, riff, wmv, mov, pdf, ole, doc, docx , xls, xlsx. ppt, pptx, zip, rar, html, cpp, java, art, pst, ost, dbx, idx, mbx, wpc, pgp, txt, rpm, dat itd.
Sintaksa za korištenje s Foremostom je sljedeća:
prvenstveno (-v / -V --h / -T / -Q / -q / -a / -w / -d) (-t (tip)) (-s (blokovi)) (-k (veličina)) (-b (veličina)) (-c (datoteka)) (-o (dir)) (-i (datoteka))
Najvažniji parametriDostupni parametri su sljedeći:
- -V: prikazuje autorska prava i informacije o objektu.
- -t: određuje vrstu datoteke.
- -d: omogućuje neizravno otkrivanje blokova.
- -i: navedite izlaznu datoteku.
- -a: upišite sva zaglavlja i ne otkrijte pogreške.
- -w: samo zapisuje u revidiranu datoteku, ali ne i u druge datoteke u sustavu.
- -o: definira izlaz datoteke.
- -c: postavite postavke datoteke.
- -q: omogući brz način rada.
- -Q: omogućiti tihi način rada.
- -v: uključite detaljni način za bolje pojedinosti.
Zatim ćemo vidjeti kako instalirati i koristiti Foremost za oporavak datoteka na Linuxu.
1. Instalirajte Foremost za oporavak izbrisanih datoteka na Linuxu
Da biste ga instalirali, samo pokrenite sljedeću naredbu:
sudo apt install foremost
Instalirajte Foremost na Arch LinuxAko koristimo Arch Linux, možemo izvršiti sljedeće:
pacman -S prije svega
Instalirajte Foremost na FedoruAko koristimo Fedoru, izvršit ćemo:
dnf prije svega instalirati
Instalirajte Foremost na CentOSU slučaju CentOS -a prvo moramo instalirati spremišta:
sudo yum install https://forensics.cert.org/centos/cert/7/x86_64//foremost-1.5.7-13.1.el7.x86_64.rpm -y
2. Koristite Foremost za oporavak izbrisanih datoteka na Linuxu
Nakon instalacije bit ćemo spremni za upotrebu, a prva metoda je pokušati oporaviti sve datoteke iste vrste izbrisanih datoteka, na primjer, potražiti sve .txt ili .png.webp datoteke itd.
Korak 1
Da bismo to učinili, prvo moramo znati ID jedinice pa moramo izvršiti sljedeće:
df -h
POVEĆAJTE
Korak 2
Na primjer, možemo odabrati / dev / sda1 za pretraživanje tamo i uvijek moramo uzeti u obzir ime u stupcu „S. Datoteke ”. Sada ćemo pokušati spasiti .docx datoteke na tom putu, za to izvršavamo sljedeće u terminalu:
prvenstveno -v -t docx -i / dev / sda1 -o ~ / recovery /Korak 3
Izvršavanje ovoga će dovesti do analize u toj jedinici:
POVEĆAJTE
Korak 4
Kad pretraživanje završi, oporavljene datoteke bit će dostupne u mapi kojoj prethodi parametar -o. Tamo možemo zamijeniti vrstu datoteke željenom:
POVEĆAJTE
Korak 5
Postupak može potrajati, ovisno o veličini pogona i vrsti pretraživanih datoteka. Pomoćni program Foremost automatski će stvoriti mapu u početnom direktoriju s naznačenim imenom u koju će se spremiti oporavljene datoteke:
POVEĆAJTE
Zahvaljujući Foremost -u bit će moguće detaljno analizirati pogone i oporaviti datoteke izbrisane u Linuxu.
