Колко пъти не сме били на ръба на отчаянието, когато осъзнаем, че сме изтрили някакъв деликатен файл (било то изображение, писмо, електронна таблица и т.н.), който може сериозно да ни компрометира, ако е важен файл или за ежедневна употреба . Въпреки че в повечето случаи изтриваме нещо, то е случайно, друг път може да е така, защото смятаме, че вече няма да го използваме, а чакаме, за да възстановим тези елементи, не трябва да ходим да искаме помощ от големи корпорации като ФБР но Solvetic ще ви помогне да възстановите информацията си с Foremost.
За този случай ще използваме Ubuntu 19.
Какво е преди всичкоНа първо място е програма за данни, която е разработена изключително за възстановяване на изтрити файлове в Linux. Едно от големите му предимства е, че можем да го използваме без никакви проблеми за възстановяване на файлове в различни формати, което е идеално благодарение на неговия обхват. Като помощна програма за Linux, ние я намираме във всички текущи хранилища, опростявайки нейната инсталация. Трябва да знаете, че Foremost изпълнява търсене на криминалистичен тип на твърдия диск, за да възстанови максимално наличните файлове.
Като помощна програма с голямо въздействие при спасяването на информация, този инструмент е разработен преди няколко години от Службата за специални разследвания на ВВС на САЩ заедно с подкрепата на Центъра за изследвания и изследвания по сигурността на информационните системи. ни по -директни указания за неговата функционалност.
Foremost може да работи с файлове с изображения или директно на твърд диск, тъй като можем да използваме модификатори на командния ред, за да посочим типовете файлове, които искаме да търсим и по този начин да бъдем по -конкретни с това, което искаме с тази помощна програма.
Как работи ForemostЗащо Foremost е ефективен за тази задача? Много просто, когато изтриете файл от системата и го изпратите в кошчето, той ще остане там, докато не го изпразните. Но детайлите при изпразването му не означават, че файловете са изчезнали завинаги, а че те все още остават при нас, тъй като системата се грижи само за елиминирането на метаданните и оставянето на по -ниските данни, така че да бъдат презаписани. Поради тази причина е възможно да се възстановят файлове може би не винаги със 100% качество и цялост, но с много високи нива на наличност.
Най -вече се грижи за копирането и анализа на твърдия диск за откриване на скрити файлове и след това временно съхранява тази информация, използвайки паметта на компютъра като ресурс и ще продължи да търси всички съвпадения, за да се получи най -накрая изчерпателен файл.
Най -важното е във възможността за възстановяване на файлове като jpg.webp, gif.webp, png, bmp.webp, avi, tiff, mp4, exe, mpg, wav, asf, wma, mp3, fws, riff, wmv, mov, pdf, ole, doc, docx , xls, xlsx. ppt, pptx, zip, rar, html, cpp, java, art, pst, ost, dbx, idx, mbx, wpc, pgp, txt, rpm, dat и др.
Синтаксисът за използване с Foremost е следният:
преди всичко (-v / -V --h / -T / -Q / -q / -a / -w / -d) (-t (тип)) (-s (блокове)) (-k (размер)) (-b (размер)) (-c (файл)) (-o (реж.)) (-i (файл))
Най -важните параметриНаличните параметри са както следва:
- -V: показва авторските права и информацията за обекта.
- -t: определя типа на файла.
- -d: позволява непряко откриване на блок.
- -i: посочете изходния файл.
- -a: запишете всички заглавки и не откривайте грешки.
- -w: записва само в одитирания файл, но не и в другите файлове в системата.
- -o: определя изхода на файла.
- -c: задайте настройките на файла.
- -q: активирайте бързия режим.
- -Q: активирайте безшумен режим.
- -v: включете подробния режим за по -добри подробности.
След това ще видим как да инсталираме и използваме Foremost за възстановяване на файлове в Linux.
1. Инсталирайте Foremost за възстановяване на изтрити файлове в Linux
За да го инсталирате, просто изпълнете следната команда:
sudo apt инсталира преди всичко
Инсталирайте Foremost на Arch LinuxАко използваме Arch Linux, можем да изпълним следното:
pacman -S преди всичко
Инсталирайте Foremost на FedoraАко използваме Fedora, ще изпълним:
dnf инсталирайте преди всичко
Инсталирайте Foremost на CentOSВ случая с CentOS първо трябва да инсталираме хранилищата:
sudo yum инсталирате https://forensics.cert.org/centos/cert/7/x86_64//foremost-1.5.7-13.1.el7.x86_64.rpm -y
2. Използвайте Foremost за възстановяване на изтрити файлове в Linux
След като бъде инсталиран, ние ще бъдем готови за използване, а първият метод е да се опитаме да възстановим всички файлове, които са от същия тип файл, който е изтрит, например потърсете всички .txt или .png.webp файлове и т.н.
Етап 1
За да направим това, първо трябва да знаем идентификационния номер на устройството, така че трябва да изпълним следното:
df -h
Увеличете
Стъпка 2
Например, можем да изберем / dev / sda1, за да търсим там и винаги трябва да вземаме предвид името под колоната „S. Файлове “. Сега ще се опитаме да спасим .docx файловете по този път, за това изпълняваме следното в терминала:
най -вече -v -t docx -i / dev / sda1 -o ~ / recovery /Стъпка 3
Изпълнението на това ще доведе до анализа в тази единица:
Увеличете
Стъпка 4
Когато търсенето приключи, възстановените файлове ще бъдат налични в папката, предшествана от параметъра -o. Там можем да заменим типа на файла с желания:
Увеличете
Стъпка 5
Процесът може да отнеме известно време в зависимост от размера на устройството и вида на търсените файлове. Помощната програма Foremost автоматично ще създаде папка в началната директория с посоченото име, където ще бъдат записани възстановените файлове:
Увеличете
Благодарение на Foremost ще бъде възможно да се анализират подробно устройствата и да се възстановят файлове, които са били изтрити в Linux.
