Foremost linux как пользоваться

Использование Foremost для восстановления удаленных файлов в Linux

Оригинал: How to Use Foremost to Recover Deleted Files in Linux
Автор: Ben Stockton
Дата публикации: 7 октября 2019 года
Перевод: А. Кривошей
Дата перевода: март 2020 г.

Команда rm является одной из самых опасных из тех, которые доступны пользователям Linux. Если вы удалите не тот файл или папку, вы можете сделать неработоспособной всю операционную систему. Восстановление потерянных файлов не является тривиальной задачей, но оно не невозможно. Утилита Foremost предназначена для криминалистического поиска на жестком диске в попытке восстановить любые удаленные файлы. В этой статье рассказывается, как ее использовать.

Что такое Foremost?

Первоначально разработанная федеральными агентствами США, утилита Foremost имеет открытый исходный код и находится в свободном доступе. Вместо того, чтобы пытаться извлечь файлы из файловой системы вашего диска, Foremost пытается напрямую воссоздать файлы.

Большинство операционных систем не удаляют полностью файлы из файловых систем. Они удаляют метаданные, оставляя данные. Выполняя сканирование диска по кусочкам, Foremost копирует и анализирует диск для получения этой информации.

Она будет временно хранить информацию, используя внутреннюю память вашего ПК. Там она будет искать определенные сегменты файла, пока не сопоставит его с другими, соединяя их вместе, как мозаику.

Foremost поддерживает определенные типы файлов. Поддерживаются файлы изображений, такие как JPG и GIF, двоичные файлы Windows, такие как EXE, файлы документов, такие как DOC и PDF, а также сжатые файлы, такие как ZIP или RAR.

Установка Foremost в Linux

Foremost доступна в виде пакета для установки в большинстве репозиториев Linux по умолчанию. Вы можете установить ее из терминала, используя менеджер пакетов вашего дистрибутива Linux.

В дистрибутивах на основе Debian и Ubuntu можно установить Foremost, открыв терминал и введя следующую команду:

Если вы используете Arch Linux, вы можете установить Foremost, набрав:

Пользователи Fedora могут установить Foremost из терминала, набрав:

Использование Foremost

Если вы удалили файл и хотите его восстановить, вы можете использовать Foremost для поиска всех файлов того же типа, которые были ранее удалены.

Во-первых, вам нужно знать имя раздела вашего диска в Linux, например, «/dev/sda1». Если вы не знаете свой раздел, введите в терминале следующую команду:

Вы увидите список разделов диска. Найдите диск, на котором вы хотите произвести поиск.

Когда вы узнаете свой раздел диска, вы сможете использовать Foremost для поиска. Например, если вы ищете удаленный файл PNG, откройте окно терминала и введите следующее:

Замените «/dev/sda1» на раздел вашего диска. Флаг -t позволяет вам выбрать тип файла, который вы хотите восстановить. Флаг -i выбирает диск, на котором вы хотите найти удаленные файлы, а флаг -o указывает папку, в которой сохраняются восстановленные файлы.

Вы можете использовать аналогичный процесс для любого типа файла. Замените png вашим типом файла. Вы можете искать на всем диске, или в определенных папках.

Когда Foremost завершит поиск, все найденные файлы будут сохранены в папке, указанной в качестве выходной, под флагом -o. Если вы испытываете затруднения, вы можете поискать требуемую информацию в руководстве Foremost, набрав в терминале:

Восстановление удаленных данных в Linux

Нет никаких гарантий, что Foremost сможет восстановить данные, которые вы потеряли или удалили. Однако это по-прежнему одна из лучших бесплатных утилит для восстановления данных.

Если вы не готовы платить, Foremost — это один из лучших вариантов восстановления данных в Linux. Если Foremost не работает, есть другие инструменты восстановления данных для Linux, которые вы можете попробовать вместо нее.

Источник

Восстановление информации в Linux

Введение

Для восстановления удалённых файлов в Линукс мы будем использовать утилиту Foremost , обычно эта утилита изначально не входит в состав дистрибутивов, так что придётся её скачать по ссылке выше и установить из исходников, либо поискать собраный пакет для вашего дистрибутива. Все вопросы по установке программы можно задать здесь — Установка и настройка Linux.

Общая информация

Изначально Foremost был разработан Отделом Специальных Исследований Военно-Воздушных сил и Информационным центром программы безопасности обучения и исследований (естественно в США). Когда военные с ней наигрались, утилита была представлена широкой публике. В этой статье я постараюсь описать одно очень полезное её свойство – восстановление удалённых файлов в Linux, функционал утилиты на этом не ограничивается и в умелых руках foremost представляет собой мощный инструмент по нацеленному поиску и распознаванию глубоко запрятанных файлов, но мы не об этом

Принцип работы foremost

Если совсем просто, то foremost сканирует и распознаёт файловую структуру известных ему типов файлов, распознав начало знакомого типа файла утилита пытается найти конец файла, собрать всё это воедино и записать на диск. Тип файла, который нужно восстановить, задаётся опцией “-t”, например:
foremost -t zip
Поддерживаемые типы файлов: avi, bmp, dll, doc, exe, gif, htm, jar, jpg, mbd, mov, mpg, pdf, png, ppt, rar, rif, sdw, sx, sxc, sxi, sxw, vis, wav, wmv, xls, zip. Также возможен запуск с опцией “-all”, в этом случае foremost будет искать все поддерживаемые типы файлов. Другие возможные опции можно посмотреть, набрав в терминале
man foremost

Хочу сразу предупредить о паре особенностей этой утилиты – во-первых, foremost должен быть запущен НЕ с того раздела диска, с которого собрались восстанавливать файлы, в приципе это не проблема, если директория /home у Вас выделена в отдельный раздел, а вот если /root и /home у вас на общем разделе, то придётся запускать foremost с Live-CD или флешки(foremost присутствует на некоторых Live-CD, а как создать из диска загрузочную флешку можно почитать в этой статье — Установка Linux на флешку. Второй момент — восстанавливаемые файлы должны записываться на раздел отличный от того, с которого они восстанавливаются(понятно? ). Ну и в третьих, при восстановлении имена файлов не сохраняются.
Ниже предлагаю рассмотреть работу foremost на конкретном примере.

Подготовка к сканированию

Чтобы несколько разнообразить эксперимент, файлы я решил восстанавливать на карту памяти. Для этого надо отформатировать её в файловую систему EXT3, делать это нужно, когда карта НЕ смонтирована. Для начала форматирования вводим в терминале с правами суперпользователя(root):
mkfs /dev/sdc1 , где /dev/sdc1 – ваша карта памяти или флешка
Примерный вывод при положительном исходе:
# mkfs /dev/sdc1
mke2fs 1.41.1 (01-Sep-2008)
Filesystem label=
OS type: Linux
Block size=1024 (log=0)
Fragment size=1024 (log=0)
122880 inodes, 490116 blocks
24505 blocks (5.00%) reserved for the super user
First data block=1
Maximum filesystem blocks=67633152
60 block groups
8192 blocks per group, 8192 fragments per group
2048 inodes per group
Superblock backups stored on blocks:
8193, 24577, 40961, 57345, 73729, 204801, 221185, 401409

Writing inode tables: done
Writing superblocks and filesystem accounting information: done

This filesystem will be automatically checked every 32 mounts or
180 days, whichever comes first. Use tune2fs -c or -i to override.

После того, как форматирование завершено нужно вытащить карту, вставить снова и примонтировать(если этого не делается автоматически). Если всё прошло успешно, то на карте памяти появится директория “lost+found”.

Запуск сканирования foremost

Для начала сканирования и поиска удаленных файлов вводим в консоли с правами суперпользователя:
cd /
foremost -v -T -t jpg -i /dev/sda8 -o /media/disk/disk
где
-v – выводить информацию о прогрессе во время сканирования
-Т – проставить время в названии директории для восстановленных файлов
-t jpg,xls – искать и восстанавливать только файлы типа *jpg (можно перечислять несколько типов файлов через запятую)
-i /dev/sda8/ — раздел винчестера, с которого нужно провести восстановление данных
-o /media/disk/disk – здесь /media/disk/disk это директория на карте памяти в которую должны восстанавливаться файлы.
Примечание: если хотите восстановить файлы Office необходимо указывать «ole» как значение типа файла(-t ole)

Ниже скриншот работы утилиты:

Папка с восстановленными файлами(обратите внимание, благодаря опции -T при запуске сканирования, в название директории добавлено время начала работы программы):

В выходной директории, по завершении работы foremost, вы найдёте папки с названиями искомых типов файлов и текстовый файл с сохраненным логом программы.

Заключение

Собственно сканирование раздела размером 30гб у меня заняло порядка получаса, на выходе я получил 61020 *jpg файлов(чуть больше 1гб), большая часть из них — временные файлы интернета, но есть, естественно, и вручную удалённые мной файлы.

Все вопросы связанные с установкой и настройкой дистрибутивов Linux обсуждаются здесь — Linux. Вопросы и ответы

Источник

Инструменты Kali Linux

Список инструментов для тестирования на проникновение и их описание

Foremost

Описание Foremost

Foremost — это консольная программа для восстановления файлов на основе их заголовков, колонтитулов и внутренней структуры данных. Этот процесс обычно называют «выскабливанием данных». Foremost может работать с файлами образов, такими как сгенерированные в dd, Safeback, Encase и т. д. или напрямую с диском. Заголовки и колонтитулы могут быть указаны в конфигурационном файле или вы можете использовать переключатели командной строки, для точного определения встроенных типов. Эти встроенные типы смотрят на структуру данных данного файлового формата, позволяя более надёжное и быстрое восстановление.

Автор: US Government

Лицензия: Public Domain

Справка по Foremost

Руководство по Foremost

ВСТРОЕННЫЕ ФОРМАТЫ

Файлы восстанавливаются с образа диска на основе типов файлов, заданных пользователем с помощью переключателя -t.

Поддерживаются форматы JFIF и Exif, включая реализации, используемые в современных цифровых камерах.

Поддержка формата Windows bmp.

Поддержка исполнимых файлов Windows PE, извлечёт DLL и EXE файлы вместе с временем их компиляции.

Поддержка большинства MPEG файлов (должны начинаться с 0x000001BA)

Это извлечёт AVI и RIFF поскольку они используют один и тот формат (RIFF). Примечание: быстрее, чем запускать каждый по отдельности.

Примечание: также может извлекать -wma файлы, поскольку они имеют схожий формат.

Это соберёт любые файлы, использующие файловую структуру OLE. В том числе PowerPoint, Word, Excel, Access и StarWriter.

Примечание: эффективнее запускать OLE, так вы получите большую отдачу. Если вы хотите игнорировать другие ole файлы, тогда используйте это.

Примечание: это извлечёт также .jar, поскольку они используют схожий формат. Open Office docs — это просто XML файлы, сжатые в zip, поэтому они также будут извлечены. Сюда включены SXW, SXC, SXI и SX? для неопределённых файлов OpenOffice. Файлы Office 2007 также основываются на XML (PPTX,DOCX,XLSX)

Выявление исходных кодов C. Примечание: это сделано примитивно, и может генерировать не только документы с C кодом.

Запустить все предопределённые методы извлечения. [Если не указана -t, то используется по умолчанию]

ОПЦИИ

-h

Показать справку и выйти.

-V

Показать информацию об авторском праве и выйти.

-d

Включить обнаружение косвенного потока, это хорошо работает на файловых системах Unix.

-T

Временные метки директории вывода, следовательно, вам не нужно удалять директорию вывода при запуске несколько раз.

-v

Включить вербальный режим. Это приводит к отображению на экране болеее подробной информации о текущем состоянии программы, настоятельно рекомендуется.

-q

Включить быстрый режим. В быстром режиме совпадающие заголовки ищутся только в начале каждого сектора. То есть заголовки ищутся только по длине самого длинного заголовка. Остаток сектора, обычно примерно 500 байт, игнорируются. Этот режим делает работу foremost заметно более быстрой, но он может привести к пропуску файлов, которые включены в другие файлы. Например, используя быстрый режим вы не сможете найти JPEG изображения, включённые в документы Microsoft Word.

Не следует использовать быстрый режим при исследовании файловых систем NTFS. Поскольку NTFS сохраняет маленькие файлы внутри Master File Table, эти файлы во время быстрого режима будут пропущены.

-Q

Включает тихий режим. Будут подавлены большинство сообщений об ошибках.

-w

Включает режим только записи аудита. Файлы не будут извлекаться.

-a

Включает запись всех заголовков, не выполняется обнаружение ошибок в отношении повреждённых файлов.

-b число

Позволяет вам указать размер используемого foremost в блока. Это актуально для именования файлов и быстрых поисков. По умолчанию это 512, т. е. foremost -b 1024 image.dd

-k число

Позволяет вам указать размер используемых кусков в foremost. Это может увеличить скорость, если у вас достаточно оперативной памяти соответствующий образу. Это уменьшает проверки того, что попадается между кусками буфера.

Например, если у вас > 500MB of RAM. Тогда foremost -k 500 image.dd

-i файл

Этот файл используется как файл ввода. Если файл ввода не указан или не может быть прочитан, то используется stdin (стандартный ввод).

-o директория

Восстановленные файлы записываются в эту директорию.

-c файл

Устанавливает используемый конфигурационный файл. Если не указан, используется файл «foremost.conf» из текущей директории, если он не существует, тогда используется «/etc/foremost.conf». Формат для конфигурационного файла описан в конфигурационном файле по умолчанию, который включён с этой программой. Смотрите раздел КОНФИГУРАЦИОННЫЙ ФАЙЛ.

-s число

Перед началом поиска заголовков пропустить данное число блоков в файле ввода. Т.е.

КОНФИГУРАЦИОННЫЙ ФАЙЛ

Конфигурационный файл используется для контроля, какие типы файлов ищет foremost. Пример конфигурационного файла, foremost.conf, включён в программу. Для каждого типа файла конфигурационный файл описывает файловое расширение, чувствительны ли заголовок и колонтитул к регистру, максимальный размер файла и заголовок и колонтитул файла. Поле колонтитул является необязательным, но заголовок, размер, чувствительность к регистру и расширение — нет!

Любая строка может начинаться со знака решётки (#), что означает комментарий, который игнорируется. Т.е. для пропуска типов файлов, просто добавьте в начале строки решётку.

Заголовки и колонтитулы перед использованием кодируются. ДЛя указания значения в шестнадцатеричном виде используйте \x[0-f][0-f], для восьмеричной используйте \738. Пробелы могут быть представлены как \s. Пример: «\x4F\123\I\sCCI» декодируется в «OSI CCI».

В качестве подстановочного символа (wildcard), который означает любой одиночный символ, используйте ?. Если вам нужно искать символ ?, то вам нужно изменить подстановочный символ и каждое вхождение старого подстановочного символа в конфигурационном файле. Не забудьте значения в шестнадцатеричный и восьмеричных кодированиях! ? — это \x3f и \063.

В файл README имеется образец набора заголовков.

Примеры запуска Foremost

Поиск выбранных типов файлов (-t doc,jpg,pdf,xls) в данном файле образа (-i image.dd):

Поиск формата jpeg с пропуском первых 100 блоков:

Только сгенерировать файл аудита и вывести его на экран (вербальный режим):

Поиск всех определённых типов:

Поиск gif и pdf:

Поиск офисных документов и файлов jpeg в файловой системе Unix в вербальном режиме:

Запуск по умолчанию:

Установка Foremost

Программа предустановлена в Kali Linux.

Установка в BlackArch

Программа предустановлена в BlackArch.

Информация об установке в другие операционные системы будет добавлена позже.

Источник