Kiek kartų nebuvome ant nevilties slenksčio, kai supratome, kad ištrynėme subtilų failą (ar tai būtų paveikslėlis, laiškas, skaičiuoklė ir pan.), Kuris gali rimtai pakenkti mums, jei tai yra svarbus ar kasdienis failas . Nors dažniausiai ką nors ištriname atsitiktinai, kitais atvejais taip gali būti dėl to, kad manome, kad nebenaudosime, bet palaukite, kad atgautume šiuos elementus, neturėtume eiti prašyti pagalbos iš didelių korporacijų, tokių kaip FTB bet „Solvetic“ padės jums atkurti informaciją naudojant „Foremost“.
Šiuo atveju naudosime „Ubuntu 19“.
Kas yra Svarbiausia„Foremost“ yra duomenų programa, sukurta išimtinai atkurti ištrintus failus „Linux“. Vienas iš jo privalumų yra tai, kad mes galime jį naudoti be jokių problemų atkurdami skirtingų formatų failus, o tai yra idealu dėl savo apimties. Būdami „Linux“ programa, mes ją randame visose dabartinėse saugyklose, supaprastindami jos diegimą. Turėtumėte žinoti, kad „Foremost“ atlieka teismo tipo paiešką kietajame diske, kad kiek įmanoma atkurtų turimus failus.
Šią priemonę, turinčią didelį poveikį informacijos gelbėjimui, prieš kelerius metus sukūrė Jungtinių Valstijų oro pajėgų Specialiųjų tyrimų tarnyba kartu su Informacinių sistemų saugumo studijų ir tyrimų centro parama. pateikiame tiesiogines jo funkcionalumo gaires.
Visų pirma, jis gali dirbti su vaizdo failais arba tiesiogiai kietajame diske, nes mes galime naudoti komandų eilutės keitiklius, norėdami nurodyti failų, kurių mes norime ieškoti, tipus ir taip būti konkretesni su tuo, ko norime naudodami šią priemonę.
Kaip veikia „Foremost“Kodėl „Foremost“ yra veiksminga šiai užduočiai atlikti? Labai paprasta, kai ištrinsite failą iš sistemos ir nusiųsite į šiukšliadėžę, jis liks ten, kol neištuštinsite. Tačiau jo ištuštinimo detalės nereiškia, kad failai dingo amžiams, bet jie vis tiek lieka pas mus, nes sistema rūpinasi tik metaduomenų pašalinimu ir prastesnių duomenų palikimu, kad jie būtų perrašyti. Dėl šios priežasties failus atkurti galbūt ne visada yra 100% kokybės ir vientisumo, tačiau esant labai dideliam prieinamumui.
„Foremost“ rūpinasi kietojo disko kopijavimu ir analize, kad aptiktų paslėptus failus, tada laikinai talpina tą informaciją, naudodama kompiuterio atmintį kaip šaltinį, ir toliau ieškos visų atitikčių, kad galiausiai būtų sukurtas išsamus failas.
Svarbiausia yra galimybė atkurti tokius failus kaip jpg.webp, gif.webp, png, bmp.webp, avi, tiff, mp4, exe, mpg, wav, asf, wma, mp3, fws, riff, wmv, mov, pdf, ole, doc, docx , xls, xlsx. ppt, pptx, zip, rar, html, cpp, java, art, pst, ost, dbx, idx, mbx, wpc, pgp, txt, rpm, dat ir kt.
„Foremost“ sintaksė yra tokia:
svarbiausia (-v / -V --h / -T / -Q / -q / -a / -w / -d) (-t (tipas)) (-s (blokai)) (-k (dydis)) (-b (dydis)) (-c (failas)) (-o (rež.)) (-i (failas))
Svarbiausi parametraiGalimi šie parametrai:
- -V: rodo autorių teises ir informaciją apie objektą.
- -t: nurodo failo tipą.
- -d: įgalina netiesioginį blokų aptikimą.
- -i: nurodykite išvesties failą.
- -a: parašykite visas antraštes ir neaptikite klaidų.
- -w: rašo tik į tikrintą failą, bet nerašo į kitus sistemos failus.
- -o: apibrėžia failo išvestį.
- -c: nustatykite failo nustatymus.
- -q: įjunkite greitąjį režimą.
- -Q: įjunkite tylųjį režimą.
- -v: įjunkite išsamų režimą, kad gautumėte daugiau informacijos.
Toliau pamatysime, kaip įdiegti ir naudoti „Foremost“ failų atkūrimui „Linux“.
1. Įdiekite „Foremost“, kad atkurtumėte ištrintus failus „Linux“
Norėdami jį įdiegti, tiesiog paleiskite šią komandą:
visų pirma sudo apt install
Įdiekite „Foremost“ „Arch Linux“Jei naudojame „Arch Linux“, galime atlikti šiuos veiksmus:
pacman -S visų pirma
Įdiekite „Foremost“ „Fedora“Jei naudosime „Fedora“, vykdysime:
dnf pirmiausia įdiegti
Įdiekite „Foremost“ „CentOS“„CentOS“ atveju pirmiausia turime įdiegti saugyklas:
sudo yum įdiegti https://forensics.cert.org/centos/cert/7/x86_64//foremost-1.5.7-13.1.el7.x86_64.rpm -y
2. Naudokite „Foremost“, kad atkurtumėte ištrintus failus „Linux“
Įdiegę būsime pasirengę naudoti, o pirmasis būdas yra pabandyti atkurti visus failus, kurie yra to paties tipo failai, kurie buvo ištrinti, pavyzdžiui, ieškoti visų .txt arba .png.webp failų ir pan.
1 žingsnis
Norėdami tai padaryti, pirmiausia turime žinoti įrenginio ID, todėl turime atlikti šiuos veiksmus:
df -h
DIDELIS
2 žingsnis
Pavyzdžiui, mes galime pasirinkti / dev / sda1, kad ten ieškotume, ir visada turime atsižvelgti į pavadinimą, esantį stulpelyje „S. Failai “. Dabar mes bandysime išgelbėti .docx failus tame kelyje, todėl terminale vykdome šiuos veiksmus:
visų pirma -v -t docx -i / dev / sda1 -o ~ / recovery /3 žingsnis
Tai atlikus bus atlikta to vieneto analizė:
DIDELIS
4 žingsnis
Kai paieška bus baigta, atkurti failai bus prieinami aplanke, prieš kurį yra parametras -o. Čia mes galime pakeisti failo tipą norimu:
DIDELIS
5 žingsnis
Procesas gali užtrukti, priklausomai nuo disko dydžio ir ieškomų failų tipo. „Foremost“ programa automatiškai sukurs aplanką namų kataloge nurodytu pavadinimu, kuriame bus išsaugoti atkurti failai:
DIDELIS
„Foremost“ dėka bus galima išsamiai išanalizuoti diskus ir atkurti failus, kurie buvo ištrinti „Linux“.
