Wie oft waren wir nicht am Rande der Verzweiflung, wenn wir feststellen, dass wir eine heikle Datei (sei es ein Bild, ein Brief, eine Tabelle usw.) . Obwohl wir in den meisten Fällen etwas versehentlich löschen, kann es manchmal daran liegen, dass wir der Meinung sind, dass wir es nicht mehr verwenden werden, aber warten Sie, um diese Elemente wiederherzustellen, sollten wir nicht um Hilfe von großen Unternehmen wie dem FBI bitten aber Solvetic wird Ihnen helfen, Ihre Informationen mit Foremost wiederherzustellen.
Für diesen Fall verwenden wir Ubuntu 19.
Was ist im Vordergrund?Foremost ist ein Datenprogramm, das ausschließlich für die Wiederherstellung gelöschter Dateien unter Linux entwickelt wurde. Einer der großen Vorteile ist, dass wir damit problemlos Dateien in verschiedenen Formaten wiederherstellen können, was aufgrund seines Umfangs ideal ist. Als Linux-Dienstprogramm finden wir es in allen aktuellen Repositorys, was die Installation vereinfacht. Sie sollten wissen, dass Foremost eine forensische Suche auf der Festplatte durchführt, um die verfügbaren Dateien so weit wie möglich wiederherzustellen.
Dieses Tool ist ein Dienstprogramm mit großer Wirkung bei der Rettung von Informationen und wurde vor einigen Jahren vom Office of Special Investigations der United States Air Force zusammen mit der Unterstützung des Center for Studies and Research on Information Systems Security entwickelt uns direktere Richtlinien seiner Funktionalität.
Foremost kann mit Bilddateien oder direkt auf einer Festplatte arbeiten, da wir Befehlszeilenmodifikatoren verwenden können, um die Dateitypen anzugeben, die wir durchsuchen möchten, und somit genauer sein, was wir mit diesem Dienstprogramm möchten.
So funktioniert ForemostWarum ist Foremost für diese Aufgabe effektiv? Ganz einfach: Wenn Sie eine Datei aus dem System löschen und in den Papierkorb verschieben, bleibt sie dort, bis Sie sie leeren. Aber das Detail des Leerens bedeutet nicht, dass die Dateien für immer verschwunden sind, sondern dass sie immer noch bei uns verbleiben, da das System nur dafür sorgt, dass die Metadaten entfernt und die minderwertigen Daten überschrieben werden. Aus diesem Grund ist es möglich, Dateien möglicherweise nicht immer mit 100%iger Qualität und Integrität, aber mit sehr hoher Verfügbarkeit wiederherzustellen.
Foremost übernimmt das Kopieren und Analysieren der Festplatte, um versteckte Dateien zu erkennen, und speichert diese Informationen vorübergehend unter Verwendung des Speichers des Computers als Ressource und sucht weiterhin nach allen Übereinstimmungen, um schließlich eine umfassende Datei zu erhalten.
An erster Stelle steht die Möglichkeit, Dateien wie jpg.webp, gif.webp, png, bmp.webp, avi, tiff, mp4, exe, mpg, wav, asf, wma, mp3, fws, riff, wmv, mov, pdf, ole, doc, docx wiederherzustellen , xls, xlsx. ppt, pptx, zip, rar, html, cpp, java, art, pst, ost, dbx, idx, mbx, wpc, pgp, txt, rpm, dat usw.
Die mit Foremost zu verwendende Syntax lautet wie folgt:
vorderste (-v / -V - -h / -T / -Q / -q / -a / -w / -d) (-t (Typ)) (-s (Blöcke)) (-k (Größe)) (-b (Größe)) (-c (Datei)) (-o (Verzeichnis)) (-i (Datei))
Wichtigste ParameterDie verfügbaren Parameter sind wie folgt:
- -V: zeigt die Urheberrechte und Informationen zum Objekt an.
- -t: Gibt den Dateityp an.
- -d: aktiviert die indirekte Blockerkennung.
- -i: Geben Sie die Ausgabedatei an.
- -a: alle Header schreiben und keine Fehler erkennen.
- -w: schreibt nur in die überwachte Datei, aber nicht in die anderen Dateien auf dem System.
- -o: Definiert die Ausgabe der Datei.
- -c: Legen Sie die Dateieinstellungen fest.
- -q: Schnellmodus aktivieren.
- -Q: Lautlos-Modus aktivieren.
- -v: Aktiviere den ausführlichen Modus für bessere Details.
Als nächstes werden wir sehen, wie Sie Foremost installieren und verwenden, um Dateien unter Linux wiederherzustellen.
1. Installieren Sie Foremost, um gelöschte Dateien unter Linux wiederherzustellen
Um es zu installieren, führen Sie einfach den folgenden Befehl aus:
sudo apt installieren zuerst
Foremost unter Arch Linux installierenWenn wir Arch Linux verwenden, können wir Folgendes ausführen:
pacman - S vordergründig
Foremost auf Fedora installierenWenn wir Fedora verwenden, führen wir Folgendes aus:
dnf zuerst installieren
Foremost auf CentOS installierenIm Fall von CentOS müssen wir zuerst die Repositorys installieren:
sudo yum installieren https://forensics.cert.org/centos/cert/7/x86_64//foremost-1.5.7-13.1.el7.x86_64.rpm -y
2. Verwenden Sie Foremost, um gelöschte Dateien unter Linux wiederherzustellen
Nach der Installation sind wir einsatzbereit, und die erste Methode besteht darin, zu versuchen, alle Dateien wiederherzustellen, die denselben Dateityp haben, der gelöscht wurde, z. B. nach allen .txt- oder .png.webp-Dateien usw. suchen.
Schritt 1
Dazu müssen wir zunächst die ID der Einheit kennen, also müssen wir Folgendes ausführen:
df -h
VERGRÖSSERN
Schritt 2
Wir können zum Beispiel /dev/sda1 auswählen, um dort zu suchen, und wir müssen immer den Namen unter der Spalte „S. Dateien“. Jetzt werden wir versuchen, .docx-Dateien in diesem Pfad zu retten, dazu führen wir Folgendes im Terminal aus:
vor allem -v -t docx -i / dev / sda1 -o ~ / recovery /Schritt 3
Die Ausführung führt zur Analyse in dieser Einheit:
VERGRÖSSERN
Schritt 4
Wenn die Suche abgeschlossen ist, sind die wiederhergestellten Dateien in dem Ordner verfügbar, dem der Parameter -o vorangestellt ist. Dort können wir den Dateityp durch den gewünschten ersetzen:
VERGRÖSSERN
Schritt 5
Der Vorgang kann je nach Größe des Laufwerks und der Art der durchsuchten Dateien eine Weile dauern. Das Foremost-Dienstprogramm erstellt automatisch einen Ordner im Home-Verzeichnis mit dem angegebenen Namen, in dem die wiederhergestellten Dateien gespeichert werden:
VERGRÖSSERN
Dank Foremost wird es möglich sein, die Laufwerke im Detail zu analysieren und unter Linux gelöschte Dateien wiederherzustellen.
