В этом подробном руководстве мы будем изучать цифровую криминалистику с помощью машины Kali Linux. Сегодня мы будем восстанавливать удаленные или потерянные файлы с помощью инструмента Foremost, даже он может восстанавливать файлы с отформатированных носителей.
Foremost – это криминалистический инструмент, который может восстанавливать потерянные файлы на основе их заголовков, нижних колонтитулов и внутренних структур данных.
Foremost может восстанавливать данные с флэш-накопителей, таких как жесткие диски, ручки, карты памяти и т.д.
Он может восстанавливать файлы изображений, видеофайлы, exe-файлы, pdf-файлы, офисные файлы и т.д., а также восстанавливать файлы, созданные такими приложениями, как dd, Encase, safeback.
Этот инструмент очень эффективен для использования в криминалистике, например, для восстановления любых данных с флешки преступника.
Foremost – это инструмент командной строки, ранее он поставлялся в комплекте с Kali Linux. Но теперь мы должны установить его, выполнив следующую команду:
sudo apt-get install foremost -yПосле завершения процесса установки мы можем проверить работу инструмента foremost с помощью следующей команды:
foremost -h
Мы можем внимательно рассмотреть флаги.
Теперь мы собираемся восстановить данные с нашей флешки.
Допустим у нас есть несколько файлов:
На скриншоте выше видно, что в каталоге есть изображение, видео и PDF-файл.
Теперь мы выбираем все эти файлы и удаляем их.
Затем мы переходим в папку Корзина и удаляем эти файлы из папки Корзину, как показано на следующем снимке экрана:
Теперь эти файлы удалены навсегда, или мы можем использовать клавиши Shift+Delete, чтобы удалить их навсегда.
Восстановление файлов с помощью Foremost в Kali Linux
Итак, пришло время восстановить удаленные данные.
Чтобы восстановить удаленные данные с накопителя, нам нужно узнать путь к диску накопителя, открыв окно терминала и применив следующую команду:
sudo fdisk -lМы можем увидеть результат на следующем снимке экрана:
На скриншоте выше мы видим, что имя устройства нашего 20 ГБ диска – “dev/sda”, а основной раздел нашего накопителя – “/dev/sda1”.
Этот раздел /dev/sda1 является разделом для хранения памяти.
Мы можем скопировать этот путь (/dev/sda1) или просто запомнить его.
Теперь мы можем просто запустить простую команду для начала процесса восстановления, используя следующую команду:
sudo foremost -t jpg,pdf,mp4 -v -q -i /dev/sda1 -o /home/Desktop/recoveredВ этой команде мы используем флаг -t для указания типов файлов, если бы мы не использовали его, foremost восстановит все известные типы файлов (что займет много времени, поэтому лучше указать типы файлов, которые мы хотим восстановить), и мы выбираем -v для режима verbose, этот режим отобразит все процессы на экране.
Мы выбираем -q для быстрого режима, -i для устройств ввода, в нашем случае устройство ввода – это наш девайс, а путь к нему – /dev/sda1.
Мы также выбрали -o, для установки выходного каталога.
Это означает, где мы хотим сохранить наши восстановленные файлы.
Здесь мы выбрали папку recovered на рабочем столе.
Этот процесс займет время, поскольку будет проанализирован весь диск, диски небольшого размера могут быть восстановлены очень быстро.
После завершения процесса мы увидим восстановленную директорию и видим, что в ней успешно восстановлены удаленные файлы.
см. также:
- 😞 7 из лучших инструментов восстановления данных для Linux
- 👨⚕️👨⚕️ Восстановите удаленные файлы с помощью Foremost на Ubuntu
- 🐉 Установка инструментов Kali Linux с помощью Katoolin3 на Ubuntu 20.04 LTS
- ♀ Что такое инструменты для тестирования на проникновение и само тестирования на проникновение
- 🎩 Инструменты для форензики Kali Linux
