Колико пута нисмо били на рубу очаја када схватимо да смо избрисали неку осјетљиву датотеку (била то слика, писмо, табела итд.) Која нас може озбиљно угрозити ако се ради о важној датотеци или за свакодневну употребу . Иако најчешће бришемо нешто случајно, други пут то може бити зато што сматрамо да га више нећемо користити, већ чекамо, да опоравимо ове елементе, не бисмо требали ићи тражити помоћ од великих корпорација попут ФБИ -а али Солветиц ће вам помоћи да опоравите своје податке помоћу Форемост -а.
У овом случају користићемо Убунту 19.
Шта је најважнијеНајважнији је програм за податке који је развијен искључиво за опоравак избрисаних датотека на Линуксу. Једна од његових великих предности је та што га можемо без проблема користити за опоравак датотека у различитим форматима, што је идеално захваљујући опсегу. Као помоћни програм за Линук, налазимо га у свим тренутним спремиштима, поједностављујући његову инсталацију. Требали бисте знати да Форемост извршава форензичко претраживање на тврдом диску како би што је могуће више опоравио доступне датотеке.
Будући да је то алат који има велики утицај на спасавање информација, овај алат је пре неколико година развила Канцеларија за посебне истраге Ваздушних снага Сједињених Држава, уз подршку Центра за студије и истраживања о безбедности информационих система. нам директније смернице његове функционалности.
Првенство може радити на датотекама слика или директно на хард диску јер можемо користити модификаторе командне линије да одредимо типове датотека које желимо да претражујемо и на тај начин будемо прецизнији у вези са оним што желимо помоћу овог услужног програма.
Како Форемост функционишеЗашто је Форемост ефикасан за овај задатак? Врло једноставно, када избришете датотеку из система и пошаљете је у смеће, она ће остати тамо док је не испразните. Али детаљ пражњења не значи да су датотеке заувек нестале, већ да и даље остају с нама јер систем брине само о уклањању метаподатака и остављању инфериорних података тако да се преписују. Из тог разлога, могуће је опоравити датотеке можда не увек са 100% квалитетом и интегритетом, али са веома високим нивоом доступности.
Првенствено води рачуна о копирању и анализирању чврстог диска ради откривања скривених датотека, а затим привремено смешта те информације користећи меморију рачунара као ресурс и наставиће да тражи све подударности да би на крају резултирала свеобухватна датотека.
Најважније је у могућности опоравка датотека попут јпг, гиф, пнг, бмп, ави, тифф, мп4, еке, мпг, вав, асф, вма, мп3, фвс, рифф, вмв, мов, пдф, оле, доц, доцк , клс, клск. ппт, пптк, зип, рар, хтмл, цпп, јава, арт, пст, ост, дбк, идк, мбк, впц, пгп, ткт, рпм, дат итд.
Синтакса коју ћете користити са Форемост -ом је следећа:
првенствено (-в / -В --х / -Т / -К / -к / -а / -в / -д) (-т (тип)) (-с (блокови)) (-к (величина)) (-б (величина)) (-ц (датотека)) (-о (ред)) (-и (датотека))
Најважнији параметриДоступни параметри су следећи:
- -В: приказује ауторска права и информације о објекту.
- -т: одређује тип датотеке.
- -д: омогућава индиректно откривање блокова.
- -и: одредите излазну датотеку.
- -а: упишите сва заглавља и не откријте грешке.
- -в: само пише у ревидирану датотеку, али не и у друге датотеке на систему.
- -о: дефинише излаз датотеке.
- -ц: поставите поставке датотеке.
- -к: омогући брзи режим.
- -К: омогућите нечујни режим.
- -в: укључите детаљни режим за боље детаље.
Затим ћемо видети како инсталирати и користити Форемост за опоравак датотека на Линук -у.
1. Инсталирајте Форемост за опоравак избрисаних датотека на Линук -у
Да бисте га инсталирали, само покрените следећу команду:
судо апт инсталл форемост
Инсталирајте Форемост на Арцх ЛинукАко користимо Арцх Линук, можемо извршити следеће:
пацман -С пре свега
Инсталирајте Форемост на ФедориАко користимо Федору, извршићемо:
днф првенствено инсталирај
Инсталирајте Форемост на ЦентОСУ случају ЦентОС -а, прво морамо инсталирати спремишта:
судо иум инсталл хттпс://форенсицс.церт.орг/центос/церт/7/к86_64//форемост-1.5.7-13.1.ел7.к86_64.рпм -и
2. Користите Форемост за опоравак избрисаних датотека на Линук -у
Једном инсталирани бићемо спремни за употребу, а први начин је да покушамо да опоравимо све датотеке исте врсте избрисаних датотека, на пример, потражимо све .ткт или .пнг датотеке итд.
Корак 1
Да бисмо то урадили, прво морамо знати ИД јединице, па морамо извршити следеће:
дф -х
ЕНЛАРГЕ
Корак 2
На пример, можемо изабрати / дев / сда1 да тамо претражујемо и увек морамо узети у обзир име у колони „С. Фајлови ". Сада ћемо покушати спасити .доцк датотеке на тој путањи, за то извршавамо следеће у терминалу:
првенствено -в -т доцк -и / дев / сда1 -о ~ / рецовери /Корак 3
Извршавање овога ће довести до анализе у тој јединици:
ЕНЛАРГЕ
Корак 4
Када се претрага заврши, опорављене датотеке ће бити доступне у фасцикли којој претходи параметар -о. Тамо можемо заменити врсту датотеке жељеном:
ЕНЛАРГЕ
Корак 5
Процес може потрајати, овисно о величини погона и врсти претраживаних датотека. Помоћни програм Форемост ће аутоматски створити фасциклу у почетном директоријуму са наведеним именом у коју ће бити сачуване опорављене датотеке:
ЕНЛАРГЕ
Захваљујући Форемост -у биће могуће детаљно анализирати погоне и опоравити датотеке избрисане у Линуку.
