verwijderde bestanden herstellen in Linux

speciale dank: Dit artikel is mogelijk gemaakt door ondersteuning van het Linux Professional Institute

Het is algemeen bekend dat als je een bestand op een *nix bestandssysteem verwijdert, het voorgoed verdwenen is en je het niet meer terug kunt krijgen. Nou, dat is niet helemaal meer waar, en ik ben er niet 100% van overtuigd dat het ooit waar was, maar dat is een hele aparte discussie. Er zijn een aantal effectieve methoden voor het herstellen van bestanden op alle bestandssystemen, waaronder *nix degenen. Dit artikel behandelt een van de methoden met behulp van de forensische tool, vooral. Dat klopt, we moeten wenden tot een van de” pro ” methoden voor het herstellen van bestanden. Foremost kan bepaalde bestanden herstellen op basis van hun kop -, voetteksten en gegevensstructuren. Foremost is een forensische tool die wordt gebruikt door de rechtshandhaving om verwijderde bestanden te herstellen, maar het is vrij beschikbaar voor iedereen om te gebruiken.

Foremost herstelt een enigszins beperkte lijst van bestanden die enkele documenttypen, gecomprimeerde bestanden, geluidsbestanden, grafische afbeeldingen, C-bronbestanden, OLE-bestanden en enkele filmindelingen bevat. Dit soort bestanden zijn degenen die het meest zijn gericht door de rechtshandhaving en in verband met illegale activiteiten.

installatie

Red Hat, CentOS, en Fedora gebruikers zullen eerst de RepoForge repository moeten toevoegen en het dan installeren met:

$ sudo rpm -Uvh http://pkgs.repoforge.org/rpmforge-release/ rpmforge-release-0.5.3-1.el7.rf.x86_64.rpm$ sudo yum –y install foremost

Dit installeert ook de nodige afhankelijkheden voor Foremost.

op Debian – gebaseerde systemen is de installatie eenvoudig:

$ sudo apt install foremost

opmerking: op mijn Ubuntu 18.04-systeem werkte

apt install foremost

niet, dus moest ik het probleem oplossen door het volgende te doen::

$ wget http://launchpadlibrarian.net/205815060/ foremost_1.5.7-6_amd64.deb$ sudo dpkg –i foremost_1.5.7-6_amd64.deb

gebruik

om aan te tonen hoe Foremost werkt, heb ik een van mijn bestanden verwijderd (verwijderd) (MAZ1.jpg) uit mijn persoonlijke map:

$ rm MAZ1.jpg

voordat u Foremost uitvoert, moet u een aparte partitie of externe schijf hebben om te gebruiken voor bestandsherstel. Als je dat niet doet, dan is er een kans dat uw herstelde bestanden worden overschreven, en je zal niet in staat zijn om iets te herstellen. Dit is ook de reden waarom je moet proberen herstel zodra u zich realiseert (of de eigenaar van het bestand realiseert) dat een bestand is ten onrechte verwijderd. Een zeer druk bestandssysteem dat ook weinig beschikbare schijfruimte heeft kan geen resultaten opleveren, hoewel het de moeite waard is om te proberen.

in het volgende commando voer ik foremost uit op de partitie die het verwijderde bestand bevat, namelijk /dev/sda2. Ik wijs / recover aan als de uitvoerlocatie. Mijn / recover directory is eigenlijk een extra schijf (1GB)die ik speciaal voor bestandsherstel.

$ sudo foremost –t jpg /dev/sda2 –o /recoverProcessing: /dev/sda2|**************************************************************************|

u kunt nu door de map / recover bladeren die twee bestanden bevat: audit.txt en een JPG directory. In de JPG directory, vind je een lijst van alle JPG type bestanden hersteld van /dev/sda2. In mijn geval zijn er 244 van hen, wat jammer is, want normaal gesproken zou ik elk bestand afzonderlijk moeten bekijken om degene te vinden die Ik wil herstellen. Deze keer Weet ik de geschatte grootte van het bestand, dat is 2.4 MB. Je moet deze bestanden weergeven met behulp van sudo omdat de JPG directory alleen uitvoerbaar is door root, wat betekent dat reguliere gebruikers er geen cd in kunnen (Listing 1).

Listing 1

Listing Files with sudo

$ sudo ls –lS /recover/jpgls -lStotal 44096-rw-r--r-- 1 root root 9659197 Sep 3 17:24 15564800.jpg-rw-r--r-- 1 root root 3613391 Sep 3 17:24 15613952.jpg-rw-r--r-- 1 root root 3563772 Sep 3 17:24 15593472.jpg-rw-r--r-- 1 root root 3085681 Sep 3 17:24 15556608.jpg-rw-r--r-- 1 root root 2975375 Sep 3 17:24 15585280.jpg-rw-r--r-- 1 root root 2880578 Sep 3 17:24 15540224.jpg-rw-r--r-- 1 root root 2794666 Sep 3 17:24 15622144.jpg-rw-r--r-- 1 root root 2463714 Sep 3 17:24 19415032.jpg-rw-r--r-- 1 root root 2313724 Sep 3 17:24 15601664.jpg-rw-r--r-- 1 root root 1977539 Sep 3 17:24 15609856.jpg

het bestand, 19415032.jpg, is degene van rente en is teruggevorderd. Ik kan dit bestand terug te kopiëren naar de oorspronkelijke locatie en de machtigingen wijzigen, zodat de oorspronkelijke eigenaar van het bestand heeft toegang tot het.

toen verwijderde ik een documentbestand, ATP.doc, en poging tot herstel:

$ rm ATP.doc$ sudo foremost –t doc /dev/sda2 –o /recoverProcessing: /dev/sda2|**************************************************************************|

Deze keer was er echter geen doc-map onder /recover. De uitvoer van het auditbestand wordt weergegeven in lijst 2.

Listing 2

Audit File Output

$ sudo cat /recover/audit.txtForemost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick MikusAudit FileForemost started at Tue Sep 3 19:27:07 2019Invocation: foremost -t doc /dev/sda2 -o /recoverOutput directory: /recoverConfiguration file: /etc/foremost.conf------------------------------------------------------------------File: /dev/sda2Start: Tue Sep 3 19:27:07 2019Length: 9 GB (10734272512 bytes)Num Name (bs=512) Size File Offset CommentFinish: Tue Sep 3 19:27:52 20190 FILES EXTRACTED ------------------------------------------------------------------Foremost finished at Tue Sep 3 19:27:52 2019

u ziet dat Foremost niet altijd succesvol is in bestandsherstel met bepaalde bestandstypen. Maar bepaalde bestandstypen kunnen beter worden hersteld in OLE-formaat, zoals Microsoft Office-bestanden:

$ sudo foremost –t ole /dev/sda2 –o /recoverProcessing: /dev/sda2|**************************************************************************|

Deze keer was het herstel succesvol. Het kennen van de geschatte bestandsgrootte is een grote hulp bij het bepalen van het bestand van belang dat met succes werd hersteld. Mijn bestand was ongeveer 6MB groot; van de 39 uitgepakte bestanden, slechts één Past dat profiel: 19611640.ole. Ik hernoemde het bestand als ATP.doc en opende het om te zien dat het bestand inderdaad was hersteld.

meer informatie

Controleer SourceForge en de belangrijkste man page voor meer informatie voor gebruik en voorbeelden. Mijn voorbeelden zijn algemeen, maar zeer nuttig. Er zijn een paar extra switches (opties) die u kunt gebruiken, zoals-v voor uitgebreide modus, die wordt aanbevolen. U kunt ook eenvoudig een audit uitvoeren zonder bestanden te extraheren met de-w switch.

merk ook op dat je/etc / foremost kunt aanpassen.conf-bestand om andere bestandstypen voor herstel op te nemen. Veel van degenen die zijn opgenomen in het configuratiebestand zijn standaard herstelbare bestanden. Met de huidige ingangen als sjablonen kunt u nieuwe ingangen toevoegen aan het configuratiebestand.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *