Kolikrát jsme nebyli na pokraji zoufalství, když si uvědomíme, že jsme odstranili nějaký choulostivý soubor (ať už je to obrázek, dopis, tabulka atd.), Který nás může vážně ohrozit, pokud se jedná o důležitý soubor nebo o každodenní použití . Ačkoli většinu času něco odstraníme omylem, jindy to může být proto, že se domníváme, že to již nebudeme používat, ale počkejte, abychom tyto prvky obnovili, neměli bychom jít požádat o pomoc velké korporace, jako je FBI ale Solvetic vám pomůže obnovit vaše informace pomocí Foremost.
V tomto případě použijeme Ubuntu 19.
Co je ForemostForemost je datový program, který byl vyvinut výhradně za účelem obnovy smazaných souborů v systému Linux. Jednou z jeho velkých výhod je, že jej můžeme bez problémů použít k obnově souborů v různých formátech, což je díky svému rozsahu ideální. Být nástrojem Linux, nacházíme ho ve všech aktuálních úložištích, což zjednodušuje jeho instalaci. Měli byste vědět, že Foremost provádí forenzní vyhledávání typu na pevném disku, aby co nejvíce obnovil dostupné soubory.
Jako nástroj s velkým dopadem na záchranu informací byl tento nástroj vyvinut před několika lety Úřadem pro speciální vyšetřování amerického letectva spolu s podporou Centra pro studie a výzkum bezpečnosti informačních systémů. nám přímější pokyny k jeho funkčnosti.
Foremost je schopen pracovat se soubory obrázků nebo přímo na pevném disku, protože můžeme použít modifikátory příkazového řádku k určení typů souborů, které chceme prohledávat, a být tak konkrétnější s tím, co s tímto nástrojem chceme.
Jak funguje ForemostProč je Foremost pro tento úkol účinný? Velmi jednoduché, když odstraníte soubor ze systému a odešlete jej do koše, zůstane tam, dokud jej nevyprázdníte. Detail vyprázdnění však neznamená, že soubory jsou navždy pryč, ale že stále zůstávají s námi, protože systém se stará pouze o odstranění metadat a ponechání podřadných dat tak, aby byly přepsány. Z tohoto důvodu je možné obnovit soubory možná ne vždy se 100% kvalitou a integritou, ale s velmi vysokou úrovní dostupnosti.
Foremost se stará o kopírování a analýzu pevného disku, aby detekoval skryté soubory, a poté tyto informace dočasně uloží pomocí paměti počítače jako zdroje a bude pokračovat v hledání všech shod, aby nakonec vyústil v komplexní soubor.
Především je to schopnost obnovit soubory jako jpg.webp, gif.webp, png, bmp.webp, avi, tiff, mp4, exe, mpg, wav, asf, wma, mp3, fws, riff, wmv, mov, pdf, ole, doc, docx , xls, xlsx. ppt, pptx, zip, rar, html, cpp, java, art, pst, ost, dbx, idx, mbx, wpc, pgp, txt, rpm, dat atd.
Syntaxe, která se má používat s Foremost, je následující:
především (-v / -V --h / -T / -Q / -q / -a / -w / -d) (-t (typ)) (-s (bloky)) (-k (velikost)) (-b (velikost)) (-c (soubor)) (-o (dir)) (-i (soubor))
Přední parametryDostupné parametry jsou následující:
- -V: zobrazí autorská práva a informace o objektu.
- -t: určuje typ souboru.
- -d: umožňuje nepřímou detekci bloku.
- -i: zadejte výstupní soubor.
- -a: napište všechna záhlaví a nezjistíte žádné chyby.
- -w: zapisuje pouze do auditovaného souboru, ale nezapisuje do ostatních souborů v systému.
- -o: definuje výstup souboru.
- -c: nastavení souboru.
- -q: povolit rychlý režim.
- -Q: povolit tichý režim.
- -v: zapněte podrobný režim pro lepší detaily.
Dále uvidíme, jak nainstalovat a používat Foremost k obnově souborů v systému Linux.
1. Nainstalujte si Foremost a obnovte smazané soubory v Linuxu
Chcete -li jej nainstalovat, stačí spustit následující příkaz:
sudo apt nainstalovat především
Nainstalujte si Foremost na Arch LinuxPokud používáme Arch Linux, můžeme provést následující:
pacman -S především
Nainstalujte si Foremost na FedoruPokud použijeme Fedoru, provedeme:
dnf nainstalovat především
Nainstalujte si Foremost na CentOSV případě CentOS musíme nejprve nainstalovat úložiště:
sudo yum nainstalovat https://forensics.cert.org/centos/cert/7/x86_64//foremost-1.5.7-13.1.el7.x86_64.rpm -y
2. Pomocí Foremost obnovte smazané soubory v systému Linux
Po instalaci budeme připraveni k použití a první metodou je pokusit se obnovit všechny soubory stejného typu, který byl odstraněn, například vyhledat všechny soubory .txt nebo .png.webp atd.
Krok 1
K tomu musíme nejprve znát ID jednotky, takže musíme provést následující:
df -h
ZVĚTŠIT
Krok 2
Můžeme například vybrat / dev / sda1 a hledat tam a vždy musíme vzít v úvahu název ve sloupci „S. Soubory “. Nyní se pokusíme zachránit soubory .docx v této cestě, proto v terminálu provedeme následující:
především -v -t docx -i / dev / sda1 -o ~ / recovery /Krok 3
Toto provedení povede k analýze v této jednotce:
ZVĚTŠIT
Krok 4
Po dokončení hledání budou obnovené soubory k dispozici ve složce, které předchází parametr -o. Zde můžeme nahradit typ souboru požadovaným:
ZVĚTŠIT
Krok 5
Proces může chvíli trvat v závislosti na velikosti disku a typu prohledávaných souborů. Nástroj Foremost automaticky vytvoří složku v domovském adresáři s uvedeným názvem, kam budou uloženy obnovené soubory:
ZVĚTŠIT
Díky Foremost bude možné podrobně analyzovat disky a obnovit soubory, které byly v Linuxu odstraněny.
