Ripristino dei file eliminati in Linux

Ringraziamenti speciali: Questo articolo è stato reso possibile dal supporto di Linux Professional Institute

È risaputo che una volta rimosso un file su un filesystem *nix, è andato—andato per sempre e non è possibile recuperarlo. Beh, non è più esattamente vero, e non sono convinto al 100% che sia mai stato vero, ma questa è una discussione completamente separata. Esistono alcuni metodi efficaci per il recupero di file su tutti i filesystem, inclusi quelli *nix. Questo articolo copre uno dei metodi che utilizzano lo strumento forense, Primo. Proprio così, dobbiamo rivolgerci a uno dei metodi ” pro ” per il ripristino dei file. Foremost può ripristinare determinati file in base alle intestazioni, ai piè di pagina e alle strutture dati. Foremost è uno strumento forense utilizzato dalle forze dell’ordine per ripristinare i file cancellati, ma è liberamente disponibile per chiunque di utilizzare.

Foremost ripristina un elenco piuttosto limitato di file che include alcuni tipi di documento, file compressi, file audio, immagini grafiche, sorgente C, file OLE e alcuni formati di film. Questi tipi di file sono quelli che sono più mirati dalle forze dell’ordine e associati ad attività illegali.

Installazione

Gli utenti di Red Hat, CentOS e Fedora dovranno prima aggiungere il repository RepoForge e poi installarlo con:

$ sudo rpm -Uvh http://pkgs.repoforge.org/rpmforge-release/ rpmforge-release-0.5.3-1.el7.rf.x86_64.rpm$ sudo yum –y install foremost

Questo installa anche le dipendenze necessarie per Foremost.

Sui sistemi basati su Debian, l’installazione è semplice:

$ sudo apt install foremost

Nota: Sul mio sistema Ubuntu 18.04,

apt install foremost

non ha funzionato, quindi ho dovuto risolvere il problema facendo quanto segue:

$ wget http://launchpadlibrarian.net/205815060/ foremost_1.5.7-6_amd64.deb$ sudo dpkg –i foremost_1.5.7-6_amd64.deb

Utilizzo

Per dimostrare come funziona Foremost, ho rimosso (cancellato) uno dei miei file (MAZ1.jpg) dalla mia home directory:

$ rm MAZ1.jpg

Prima di eseguire Foremost, dovresti avere una partizione separata o un disco esterno da utilizzare per il recupero dei file. Se non lo fai, allora c’è una possibilità che i file recuperati verranno sovrascritti, e non sarà in grado di recuperare nulla. Questo è anche il motivo per cui dovresti tentare il ripristino non appena ti rendi conto (o il proprietario del file si rende conto) che un file è stato rimosso in modo errato. Un filesystem molto occupato che ha anche poco spazio disponibile su disco potrebbe non produrre risultati, anche se vale la pena provare.

Nel seguente comando, eseguo innanzitutto sulla partizione contenente il file eliminato, che è /dev/sda2. Designare / recuperare come posizione di output. La mia directory / recover è in realtà un disco aggiuntivo (1 GB) che ho configurato specificamente per il recupero dei file.

$ sudo foremost –t jpg /dev/sda2 –o /recoverProcessing: /dev/sda2|**************************************************************************|

È ora possibile sfogliare la directory / recover che contiene due file: audit.txt e una directory jpg. Nella directory JPG, si trova un elenco di tutti i file di tipo JPG recuperati da /dev/sda2. Nel mio caso, ce ne sono 244, il che è un peccato perché normalmente dovrei guardare ogni file individualmente per trovare quello che sono interessato a recuperare. Questa volta conosco la dimensione approssimativa del file, che è 2.4 MB. Devi elencare questi file usando sudo perché la directory jpg è eseguibile solo da root, il che significa che gli utenti regolari non possono cd in esso (Listato 1).

Elenco 1

Elenco dei file con sudo

$ sudo ls –lS /recover/jpgls -lStotal 44096-rw-r--r-- 1 root root 9659197 Sep 3 17:24 15564800.jpg-rw-r--r-- 1 root root 3613391 Sep 3 17:24 15613952.jpg-rw-r--r-- 1 root root 3563772 Sep 3 17:24 15593472.jpg-rw-r--r-- 1 root root 3085681 Sep 3 17:24 15556608.jpg-rw-r--r-- 1 root root 2975375 Sep 3 17:24 15585280.jpg-rw-r--r-- 1 root root 2880578 Sep 3 17:24 15540224.jpg-rw-r--r-- 1 root root 2794666 Sep 3 17:24 15622144.jpg-rw-r--r-- 1 root root 2463714 Sep 3 17:24 19415032.jpg-rw-r--r-- 1 root root 2313724 Sep 3 17:24 15601664.jpg-rw-r--r-- 1 root root 1977539 Sep 3 17:24 15609856.jpg

Il file, 19415032.jpg, è quello di interesse ed è stato recuperato. Posso copiare questo file nella sua posizione originale e modificare le sue autorizzazioni in modo che il proprietario del file originale abbia accesso ad esso.

Ho quindi rimosso un file di documento, ATP.doc e tentativo di ripristino:

$ rm ATP.doc$ sudo foremost –t doc /dev/sda2 –o /recoverProcessing: /dev/sda2|**************************************************************************|

Tuttavia, questa volta, non c’era alcuna directory doc in / recover. L’output del file di controllo è mostrato nel listato 2.

Listato 2

Audit File Output

$ sudo cat /recover/audit.txtForemost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick MikusAudit FileForemost started at Tue Sep 3 19:27:07 2019Invocation: foremost -t doc /dev/sda2 -o /recoverOutput directory: /recoverConfiguration file: /etc/foremost.conf------------------------------------------------------------------File: /dev/sda2Start: Tue Sep 3 19:27:07 2019Length: 9 GB (10734272512 bytes)Num Name (bs=512) Size File Offset CommentFinish: Tue Sep 3 19:27:52 20190 FILES EXTRACTED ------------------------------------------------------------------Foremost finished at Tue Sep 3 19:27:52 2019

Quindi, si vede che Foremost non è sempre successo nel recupero di file utilizzando determinati tipi di file. Ma, alcuni tipi di file sono meglio recuperati in formato OLE, come i file di Microsoft Office:

$ sudo foremost –t ole /dev/sda2 –o /recoverProcessing: /dev/sda2|**************************************************************************|

Questa volta il recupero ha avuto successo. Conoscere la dimensione approssimativa del file è di grande aiuto nel determinare il file di interesse che è stato recuperato con successo. Il mio file aveva una dimensione di circa 6 MB; dei 39 file estratti, solo uno si adatta a quel profilo: 19611640.ole. Ho rinominato il file come ATP.doc e lo aprì per vedere che il file era stato effettivamente recuperato.

Ulteriori informazioni

Controllare SourceForge e la pagina man più importante per ulteriori informazioni per l’utilizzo e gli esempi. I miei esempi sono generici ma molto utili. Ci sono alcuni interruttori aggiuntivi (opzioni) che è possibile utilizzare, come-v per la modalità dettagliata, che è raccomandato. Puoi anche semplicemente eseguire un controllo senza estrarre alcun file con l’opzione-W.

Si noti inoltre che è possibile personalizzare il /etc/foremost.file conf per includere altri tipi di file per il recupero. Molti di quelli inclusi nel file di configurazione sono file recuperabili predefiniti. Utilizzando le voci correnti come modelli, è possibile aggiungere nuove voci al file di configurazione.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *