Kā izmantot Foremost Linux un atgūt izdzēstos failus

Kā izmantot Foremost Linux un atgūt izdzēstos failus

Cik reizes mēs neesam bijuši uz izmisuma robežas, kad saprotam, ka esam izdzēsuši kādu delikātu failu (vai nu attēlu, vēstuli, izklājlapu utt.), Kas var mūs nopietni apdraudēt, ja tas ir svarīgs fails vai ikdienas lietošanai . Lai gan vairumā gadījumu mēs kaut ko izdzēšam nejauši, citreiz tas var būt tāpēc, ka uzskatām, ka vairs to neizmantosim, bet pagaidiet, lai atgūtu šos elementus, mums nevajadzētu lūgt palīdzību no lielām korporācijām, piemēram, FIB bet Solvetic palīdzēs jums atgūt informāciju, izmantojot Foremost.

Šajā gadījumā mēs izmantosim Ubuntu 19.

Kas ir GalvenaisForemost ir datu programma, kas izstrādāta tikai un vienīgi, lai atgūtu izdzēstos failus Linux. Viena no tās lielajām priekšrocībām ir tā, ka mēs to varam bez problēmām izmantot, lai atgūtu failus dažādos formātos, kas ir ideāli, pateicoties tā darbības jomai. Tā kā tā ir Linux utilīta, mēs to atrodam visās pašreizējās krātuvēs, vienkāršojot tās instalēšanu. Jums jāzina, ka Foremost veic kriminālistikas tipa meklēšanu cietajā diskā, lai pēc iespējas atgūtu pieejamos failus.

Šo rīku, kam ir liela ietekme uz informācijas glābšanu, pirms dažiem gadiem izstrādāja Amerikas Savienoto Valstu gaisa spēku Īpašo izmeklējumu birojs kopā ar Informācijas sistēmu drošības studiju un pētījumu centra atbalstu. mums ir tiešākas vadlīnijas par tās funkcionalitāti.

Galvenais ir darbs ar attēlu failiem vai tieši cietajā diskā, jo mēs varam izmantot komandrindas pārveidotājus, lai norādītu, kādus failu tipus mēs vēlamies meklēt, un tādējādi precīzāk norādīt, ko mēs vēlamies ar šo utilītu.

Kā darbojas ForemostKāpēc Foremost ir efektīvs šim uzdevumam? Ļoti vienkārši, izdzēšot failu no sistēmas un nosūtot to uz miskasti, tas paliks tur, līdz to iztukšosit. Bet tā iztukšošanas detaļas nenozīmē, ka faili ir pazuduši uz visiem laikiem, bet gan, ka tie joprojām paliek pie mums, jo sistēma rūpējas tikai par metadatu noņemšanu un zemāku datu atstāšanu, lai tie tiktu pārrakstīti. Šī iemesla dēļ, iespējams, ne vienmēr ir iespējams atgūt failus ar 100% kvalitāti un integritāti, bet ar ļoti augstu pieejamības līmeni.

Foremost rūpējas par cietā diska kopēšanu un analīzi, lai atklātu slēptos failus, un pēc tam tajā uz laiku tiek glabāta šī informācija, izmantojot datora atmiņu kā resursu, un turpinās meklēt visas atbilstības, lai beidzot izveidotu visaptverošu failu.

Galvenais ir spēja atgūt tādus failus kā jpg.webp, gif.webp, png, bmp.webp, avi, tiff, mp4, exe, mpg, wav, asf, wma, mp3, fws, riff, wmv, mov, pdf, ole, doc, docx , xls, xlsx. ppt, pptx, zip, rar, html, cpp, java, art, pst, ost, dbx, idx, mbx, wpc, pgp, txt, rpm, dat utt.

Sintakse, ko lietot kopā ar Foremost, ir šāda: 

 galvenais (-v / -V --h / -T / -Q / -q / -a / -w / -d) (-t (tips)) (-s (bloki)) (-k (izmērs)) (-b (izmērs)) (-c (fails)) (-o (dir)) (-i (fails))

Galvenie parametriPieejamie parametri ir šādi:

  • -V: parāda autortiesības un informāciju par objektu.
  • -t: norāda faila tipu.
  • -d: iespējo netiešu bloku noteikšanu.
  • -i: norādiet izvades failu.
  • -a: rakstiet visas galvenes un neatklājiet nekādas kļūdas.
  • -w: raksta tikai uz revidēto failu, bet neraksta uz citiem sistēmas failiem.
  • -o: definē faila izvadi.
  • -c: iestatiet faila iestatījumus.
  • -q: iespējot ātro režīmu.
  • -Q: iespējojiet klusuma režīmu.
  • -v: ieslēdziet detalizētu režīmu, lai iegūtu sīkāku informāciju.

Tālāk mēs redzēsim, kā instalēt un izmantot programmu Foremost failu atkopšanai Linux.

1. Instalējiet Foremost, lai atgūtu izdzēstos failus Linux

Lai to instalētu, vienkārši palaidiet šādu komandu: 

 sudo apt instalēt galvenokārt

Instalējiet Foremost uz Arch LinuxJa mēs izmantojam Arch Linux, mēs varam izpildīt šādas darbības: 

 pacman -S galvenais

Instalējiet Foremost FedoraJa mēs izmantojam Fedora, mēs izpildīsim: 

 dnf instalējiet vispirms

Instalējiet Foremost vietnē CentOSCentOS gadījumā mums vispirms jāinstalē krātuves: 

 sudo yum instalēt https://forensics.cert.org/centos/cert/7/x86_64//foremost-1.5.7-13.1.el7.x86_64.rpm -y

2. Izmantojiet funkciju Foremost, lai atgūtu izdzēstos failus Linux


Pēc instalēšanas mēs būsim gatavi lietošanai, un pirmā metode ir mēģināt atgūt visus failus, kas ir tāda paša veida faili, kas ir izdzēsti, piemēram, meklējiet visus .txt vai .png.webp failus utt.

1. darbība
Lai to izdarītu, mums vispirms ir jāzina vienības ID, tāpēc mums jāveic šādas darbības: 

 df -h

PALIELINĀT

2. solis
Piemēram, mēs varam izvēlēties / dev / sda1, lai tur meklētu, un mums vienmēr jāņem vērā nosaukums zem slejas “S. Faili ”. Tagad mēs mēģināsim glābt .docx failus šajā ceļā, tāpēc terminālī izpildām sekojošo: 

 galvenais -v -t docx -i / dev / sda1 -o ~ / recovery /
3. solis
To veicot, tiks veikta šīs vienības analīze:

PALIELINĀT

4. solis
Kad meklēšana ir pabeigta, atgūtie faili būs pieejami mapē, pirms kuras ir parametrs -o. Tur mēs varam aizstāt faila tipu ar vēlamo:

PALIELINĀT

5. solis
Process var aizņemt kādu laiku atkarībā no diska lieluma un meklēto failu veida. Lietderība Foremost automātiski izveidos mapi mājas direktorijā ar norādīto nosaukumu, kurā tiks saglabāti atgūtie faili:

PALIELINĀT

Pateicoties Foremost, būs iespējams detalizēti analizēt diskus un atgūt failus, kas ir izdzēsti Linux.

Jums palīdzēs attīstību vietā, daloties lapu ar draugiem

wave wave wave wave wave

Populārākas Posts

wave
1
post-title
Atveriet tālruņa zvanītāju Windows 10 8 7
2
post-title
Kā palaist pārlūku Chrome kā viesis, atverot to
3
post-title
Darba sākšana ar GameMaker: Studio
4
post-title
Kā aktivizēt nakts vai nakts režīmu pārlūkprogrammā Firefox vai Chrome
5
post-title
Darbs ar FTP no Python

Ieteicams

wave
- Sponsored Ad -

Redaktora Izvēle

wave
- Sponsored Ad -