Quante volte non siamo stati sull'orlo della disperazione quando ci siamo resi conto di aver cancellato qualche file delicato (sia esso un'immagine, una lettera, un foglio di calcolo, ecc.) che può comprometterci seriamente se è un file importante o di uso quotidiano . Sebbene la maggior parte delle volte eliminiamo qualcosa è per caso, altre volte può essere perché riteniamo che non lo useremo più, ma aspettiamo, per recuperare questi elementi non dovremmo andare a chiedere aiuto a grandi aziende come l'FBI ma Solvetic ti aiuterà a recuperare le tue informazioni con Foremost.
Per questo caso utilizzeremo Ubuntu 19.
Cosa c'è in primo piano?Foremost è un programma di dati che è stato sviluppato con l'esclusivo scopo di recuperare file cancellati su Linux. Uno dei suoi grandi vantaggi è che possiamo usarlo senza problemi per recuperare file in diversi formati, il che è l'ideale grazie alla sua portata. Essendo un'utility Linux, la troviamo in tutti i repository attuali, semplificando la sua installazione. Dovresti sapere che Foremost esegue una ricerca di tipo forense sul disco rigido per recuperare il più possibile i file disponibili.
Essendo un'utility di grande impatto nel salvataggio delle informazioni, questo strumento è stato sviluppato alcuni anni fa dall'Office of Special Investigations of the United States Air Force insieme al supporto del Center for Studies and Research on Information Systems Security. , che dà noi linee guida più dirette della sua funzionalità.
Foremost è in grado di lavorare su file di immagine o direttamente su un disco rigido poiché possiamo utilizzare i modificatori della riga di comando per specificare i tipi di file che vogliamo cercare e quindi essere più specifici con ciò che vogliamo con questa utility.
Come funziona ForemostPerché Foremost è efficace per questo compito Molto semplice, quando elimini un file dal sistema e lo invii nel cestino, rimarrà lì fino a quando non lo svuoterai. Ma il dettaglio dello svuotamento non significa che i file siano spariti per sempre, ma che rimangono ancora con noi poiché il sistema si occupa solo di eliminare i metadati e lasciare i dati inferiori in modo che vengano sovrascritti. Per questo motivo è possibile recuperare file magari non sempre con qualità e integrità al 100%, ma con livelli di disponibilità molto elevati.
Foremost si occupa di copiare e analizzare il disco rigido per rilevare i file nascosti e quindi ospita temporaneamente tali informazioni utilizzando la memoria del computer come risorsa e continuerà a cercare tutte le corrispondenze per ottenere finalmente un file completo.
Il primo è la capacità di recuperare file come jpg.webp, gif.webp, png, bmp.webp, avi, tiff, mp4, exe, mpg, wav, asf, wma, mp3, fws, riff, wmv, mov, pdf, ole, doc, docx , xls, xlsx. ppt, pptx, zip, rar, html, cpp, java, art, pst, ost, dbx, idx, mbx, wpc, pgp, txt, rpm, dat, ecc.
La sintassi da utilizzare con Foremost è la seguente:
primo (-v / -V - -h / -T / -Q / -q / -a / -w / -d) (-t (tipo)) (-s (blocchi)) (-k (dimensione)) (-b (dimensione)) (-c (file)) (-o (dir)) (-i (file))
Parametri principaliI parametri disponibili sono i seguenti:
- -V: visualizza i diritti di Copyright e le informazioni sull'oggetto.
- -t: specifica il tipo di file.
- -d: abilita il rilevamento indiretto del blocco.
- -i: specifica il file di output.
- -a: scrive tutte le intestazioni e non rileva errori.
- -w: scrive solo sul file controllato ma non scrive sugli altri file del sistema.
- -o: definisce l'output del file.
- -c: imposta le impostazioni del file.
- -q: abilita la modalità rapida.
- -Q: abilita la modalità silenziosa.
- -v: attiva la modalità dettagliata per maggiori dettagli.
Successivamente vedremo come installare e utilizzare Foremost per recuperare file su Linux.
1. Installa Primo per recuperare file cancellati su Linux
Per installarlo, basta eseguire il seguente comando:
sudo apt install anzitutto
Installa Foremost su Arch LinuxSe usiamo Arch Linux possiamo eseguire quanto segue:
pacman -S prima di tutto
Installa Foremost su FedoraSe usiamo Fedora eseguiremo:
dnf installa prima di tutto
Installa Primo su CentOSNel caso di CentOS dobbiamo prima installare i repository:
sudo yum install https://forensics.cert.org/centos/cert/7/x86_64//foremost-1.5.7-13.1.el7.x86_64.rpm -y
2. Usa Primo per recuperare i file cancellati su Linux
Una volta installati saremo pronti per l'uso, e il primo metodo è provare a recuperare tutti i file che sono dello stesso tipo di file che è stato eliminato, ad esempio cercare tutti i file .txt o .png.webp, ecc.
Passo 1
Per fare ciò, dobbiamo prima conoscere l'ID dell'unità, quindi dobbiamo eseguire quanto segue:
df -h
INGRANDIRE
Passo 2
Ad esempio, possiamo selezionare /dev/sda1 per cercare lì e dobbiamo sempre tenere conto del nome sotto la colonna “S. File ". Ora proveremo a salvare i file .docx in quel percorso, per questo eseguiamo quanto segue nel terminale:
first -v -t docx -i / dev / sda1 -o ~ / recovery /Passaggio 3
L'esecuzione di questo porterà all'analisi in quell'unità:
INGRANDIRE
Passaggio 4
Al termine della ricerca i file recuperati saranno disponibili nella cartella preceduti dal parametro -o. Lì possiamo sostituire il tipo di file con quello desiderato:
INGRANDIRE
Passaggio 5
Il processo potrebbe richiedere del tempo a seconda delle dimensioni dell'unità e del tipo di file cercati. L'utility Foremost creerà automaticamente una cartella nella directory Home con il nome indicato in cui verranno salvati i file recuperati:
INGRANDIRE
Grazie a Foremost sarà possibile analizzare nel dettaglio le unità e recuperare i file che sono stati cancellati in Linux.
