Combien de fois n'avons-nous pas été au bord du désespoir lorsque nous nous rendons compte que nous avons supprimé un fichier délicat (que ce soit une image, une lettre, un tableur, etc.) qui peut nous compromettre gravement s'il s'agit d'un fichier important ou d'usage quotidien . Bien que la plupart du temps nous supprimons quelque chose c'est par accident, d'autres fois c'est peut-être parce que nous considérons que nous ne l'utiliserons plus, mais attendez, pour récupérer ces éléments nous ne devrions pas aller demander l'aide de grandes entreprises comme le FBI mais Solvetic vous aidera à récupérer vos informations avec Foremost.
Pour ce cas, nous utiliserons Ubuntu 19.
Qu'est-ce que c'est avant toutForemost est un programme de données qui a été développé dans le seul but de récupérer des fichiers supprimés sous Linux. L'un de ses grands avantages est que nous pouvons l'utiliser sans aucun problème pour récupérer des fichiers dans différents formats, ce qui est idéal grâce à sa portée. Étant un utilitaire Linux, nous le trouvons dans tous les référentiels actuels, simplifiant son installation. Il faut savoir que Foremost exécute une recherche de type judiciaire sur le disque dur pour récupérer au maximum les fichiers disponibles.
Étant un utilitaire avec un grand impact dans le sauvetage de l'information, cet outil a été développé il y a quelques années par le Bureau des enquêtes spéciales de l'US Air Force avec le soutien du Centre d'études et de recherche sur la sécurité des systèmes d'information. , qui donne nous des directives plus directes de sa fonctionnalité.
Foremost est capable de travailler sur des fichiers image ou directement sur un disque dur puisque nous pouvons utiliser des modificateurs de ligne de commande pour spécifier les types de fichiers que nous voulons rechercher et ainsi être plus précis avec ce que nous voulons avec cet utilitaire.
Comment fonctionne ForemostPourquoi Foremost est-il efficace pour cette tâche ?Très simple, lorsque vous supprimez un fichier du système et l'envoyez à la corbeille, il y restera jusqu'à ce que vous le vidiez. Mais le détail de le vider ne signifie pas que les fichiers sont partis pour toujours, mais qu'ils restent avec nous puisque le système ne s'occupe que d'éliminer les métadonnées et de laisser les données inférieures pour qu'elles soient écrasées. Pour cette raison, il est possible de récupérer des fichiers peut-être pas toujours avec une qualité et une intégrité à 100%, mais avec des niveaux de disponibilité très élevés.
Foremost s'occupe de copier et d'analyser le disque dur pour détecter les fichiers cachés, puis il héberge temporairement ces informations en utilisant la mémoire de l'ordinateur comme ressource et continuera à rechercher toutes les correspondances pour finalement aboutir à un fichier complet.
Le plus important est la possibilité de récupérer des fichiers comme jpg.webp, gif.webp, png, bmp.webp, avi, tiff, mp4, exe, mpg, wav, asf, wma, mp3, fws, riff, wmv, mov, pdf, ole, doc, docx , xls, xlsx. ppt, pptx, zip, rar, html, cpp, java, art, pst, ost, dbx, idx, mbx, wpc, pgp, txt, rpm, dat, etc.
La syntaxe à utiliser avec Foremost est la suivante :
avant tout (-v / -V - -h / -T / -Q / -q / -a / -w / -d) (-t (type)) (-s (blocs)) (-k (taille)) (-b (taille)) (-c (fichier)) (-o (dir)) (-i (fichier))
Premiers paramètresLes paramètres disponibles sont les suivants :
- -V : affiche les droits d'auteur et des informations sur l'objet.
- -t : spécifie le type de fichier.
- -d : active la détection indirecte des blocs.
- -i : spécifie le fichier de sortie.
- -a : écrit tous les en-têtes et ne détecte aucune erreur.
- -w : écrit uniquement dans le fichier audité mais n'écrit pas dans les autres fichiers du système.
- -o : définit la sortie du fichier.
- -c : définit les paramètres du fichier.
- -q : active le mode rapide.
- -Q : active le mode silencieux.
- -v : active le mode verbeux pour de meilleurs détails.
Ensuite, nous verrons comment installer et utiliser Foremost pour récupérer des fichiers sous Linux.
1. Installez Foremost pour récupérer les fichiers supprimés sous Linux
Pour l'installer, exécutez simplement la commande suivante :
sudo apt installer avant tout
Installer Foremost sur Arch LinuxSi nous utilisons Arch Linux, nous pouvons exécuter ce qui suit :
pacman -S avant tout
Installer Foremost sur FedoraSi nous utilisons Fedora, nous exécuterons :
dnf installer avant tout
Installer Foremost sur CentOSDans le cas de CentOS, nous devons d'abord installer les référentiels :
sudo yum install https://forensics.cert.org/centos/cert/7/x86_64//foremost-1.5.7-13.1.el7.x86_64.rpm -y
2. Utilisez Foremost pour récupérer des fichiers supprimés sous Linux
Une fois installé, nous serons prêts à l'emploi et la première méthode consiste à essayer de récupérer tous les fichiers du même type de fichier qui ont été supprimés, par exemple, recherchez tous les fichiers .txt ou .png.webp, etc.
Étape 1
Pour ce faire, nous devons d'abord connaître l'ID de l'unité, nous devons donc exécuter les opérations suivantes :
df -h
AGRANDIR
Étape 2
Par exemple, on peut sélectionner /dev/sda1 pour y chercher et il faut toujours prendre en compte le nom sous la colonne « S. Des dossiers ". Maintenant, nous allons essayer de sauver les fichiers .docx dans ce chemin, pour cela nous exécutons ce qui suit dans le terminal :
avant tout -v -t docx -i / dev / sda1 -o ~ / récupération /Étape 3
L'exécution de cela conduira à l'analyse dans cette unité :
AGRANDIR
Étape 4
Une fois la recherche terminée, les fichiers récupérés seront disponibles dans le dossier précédé du paramètre -o. Là, nous pouvons remplacer le type de fichier par celui souhaité :
AGRANDIR
Étape 5
Le processus peut prendre un certain temps en fonction de la taille du lecteur et du type de fichiers recherchés. L'utilitaire Foremost créera automatiquement un dossier dans le répertoire Home avec le nom indiqué où les fichiers récupérés seront enregistrés :
AGRANDIR
Grâce à Foremost, il sera possible d'analyser les disques en détail et de récupérer les fichiers qui ont été supprimés sous Linux.
