👊🏻 Восстановите удаленные файлы с помощью Foremost на Ubuntu — Information Security Squad

👊🏻 Восстановите удаленные файлы с помощью Foremost на Ubuntu

В этом руководстве мы узнаем, как восстановить удаленные файлы с помощью Foremost в Ubuntu 18.04.

Foremost — это программа форензики для восстановления данных для Linux, используемая для восстановления файлов с использованием их заголовки и футеры в и структур данных с помощью процесса, известного как карвинг файлов.

Ранее мы уже бегло рассматривали этот инструмент в следующих статьях:

Восстановите удаленные файлы с помощью Foremost

Установите Foremost на Ubuntu 18.04

Чтобы использовать Foremost для восстановления удаленных файлов, сначала необходимо установить этот инструмент.

К счастью, Foremost доступен в репозиториях Ubuntu 18.04 по умолчанию;

apt-cache policy foremost
foremost:
  Installed: (none)
  Candidate: 1.5.7-6
  Version table:
     1.5.7-6 500
        500 http://ke.archive.ubuntu.com/ubuntu bionic/universe amd64 Packages

Следовательно, его можно просто установить, как показано ниже;

apt install foremost

Согласно справочным руководствам Foremost, существуют разные форматы файлов, которые он может восстановить. Они включают в себя;

  • jpg — Поддержка форматов JFIF и Exif, включая реализации, используемые в современных цифровых камерах.
  • GIF
  • PNG
  • bmp — Поддержка формата Windows BMP.
  • AVI
  • exe — поддержка бинарных файлов Windows PE, извлекает файлы DLL и EXE вместе с их временем компиляции.
  • mpg — поддержка большинства файлов MPEG (должна начинаться с 0x000001BA)
  • WAV
  • riff — Это извлечет AVI и RIFF, так как они используют один и тот же формат файла (RIFF). обратите внимание, быстрее, чем работает каждый в отдельности.
  • wmv — Note может также извлекать файлы wma, так как они имеют похожий формат.
  • mov
  • PDF
  • ole — он захватит любой файл, используя структуру файла OLE. Это включает в себя PowerPoint, Word, Excel, Access и StarWriter
  • doc — обратите внимание, что более эффективно запускать OLE по мере увеличения отдачи от затраченных средств. Если вы хотите игнорировать все другие файлы ole, используйте это.
  • zip — это также извлечет файлы .jar, потому что они используют похожий формат. Документы Open Office — это просто XML-файлы zip, поэтому они также извлекаются. К ним относятся SXW, SXC, SXI и SX? для неопределенных файлов OpenOffice. Файлы Office 2007 также основаны на XML (PPTX, DOCX, XLSX)
  • rar
  • HTM
  • ccp Обнаружение исходного кода cpp — C, обратите внимание, что это примитивно и может генерировать документы, отличные от кода C.
  • mp4 — Поддержка файлов MP4.
  • all — запустить все предопределенные методы извлечения. [По умолчанию, если не указан -t]

Использование Foremost для восстановления удаленных файлов

Чтобы продемонстрировать, как использовать Foremost для восстановления удаленных файлов, мы собираемся использовать файл PNG в качестве примера.

В моем тестовом каталоге у меня есть следующий файл;

ls -1 ~/test
Selection_005.png

Прежде чем мы продолжим, давайте сначала сгенерируем хеш MD5 для этого файла и удалим его, чтобы мы могли попытаться восстановить его.

Мы пересчитаем хеш, чтобы проверить целостность, чтобы убедиться, что мы получили правильный файл.

cd ~/test
md5sum Selection_005.png
790956cca71bce68c478f1bd74df0eda  Selection_005.png

Теперь давайте удалим этот файл навсегда.

rm -rf ~/test/Selection_005.png

Восстановление удаленных файлов

Синтаксис командной строки foremost

foremost [-h] [-V] [-d] [-vqwQT] [-b <blocksize>] [-o <dir>] [-t <type>] [-s <num>] [-i <file>]

Где:

-V  - display copyright information and exit
-t  - specify file type.  (-t jpeg,pdf ...) 
-d  - turn on indirect block detection (for UNIX file-systems) 
-i  - specify input file (default is stdin) 
-a  - Write all headers, perform no error detection (corrupted files) 
-w  - Only write the audit file, do not write any detected files to the disk 
-o  - set output directory (defaults to output)
-c  - set configuration file to use (defaults to foremost.conf)
-q  - enables quick mode. Search are performed on 512 byte boundaries.
-Q  - enables quiet mode. Suppress output messages. 
-v  - verbose mode. Logs all messages to screen

Для начала, мы собираемся восстановить некоторые из отдельных файлов, как показано выше.

Восстановить удаленный файл PNG

Мы удалили PNG-файлы в статье выше,  с именем Selection_005.

Чтобы восстановить этот файл, запустите foremost как показано ниже;

foremost -t png -i /dev/sda1 -o ~/test

По завершении восстановления результаты записываются в каталог ~/test.

В этом каталоге вы можете найти файл с именем audit.txt, который объясняет все действия, выполняемые Foremost, и каталог png, в котором хранятся все восстановленные файлы png.

ls test
audit.txt  png

Многие файлы могут быть восстановлены.

Имена восстановленных файлов не совпадают с исходными именами.

Следовательно, для идентификации вашего файла вы можете использовать хеши MD5.

Однако, если вы уже удалили файл до получения хэша, жизнеспособным вариантом будет просмотреть все восстановленные объекты.

Выше мы сгенерировали хеши MD5 для нашего файла перед его удалением.

Чтобы узнать, восстановлен ли наш PNG-файл, проверьте MD5-хэши восстановленных файлов, если они совпадают с хешем PNG-файла, приведенного выше,

790956cca71bce68c478f1bd74df0eda.

for i in ls -1 ~/test/png/; do md5sum test/png/$i; done | grep 790956cca71bce68c478f1bd74df0eda
790956cca71bce68c478f1bd74df0eda  test/png/08803584.png

Итак, как вы можете видеть, исходный хэш MD5 для одного из восстановленных файлов совпадает с оригинальным хешем MD5 для нашего файла PNG.

Если вам нужно восстановить другие файлы, обязательно создайте другой выходной каталог или отметьте время в том же каталоге, используя опцию -T, так как Foremost не может записывать в ранее записанный каталог. Например,

foremost -t pdf -i /dev/sda1 -T -o ~/test

Он запишет вывод в тестовую директорию с меткой времени, например, test_Tue_May_14_16_43_29_2019.

ls ~/test_Tue_May_14_16_43_29_2019/
audit.txt  pdf

Это то, что мы хотели бы рассказать об использовании Foremost для восстановления удаленных файлов в Ubuntu 18.04.

Это, однако, относится к любому дистрибутиву Linux, в котором работает Foremost.

Также обратите внимание, что нет 100% уверенности, что Foremost восстановит все ваши удаленные файлы. В таком случае вы можете рассмотреть другие варианты. Удачи. Не забудьте оставить свои комментарии.

 

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40