👨⚕️👨⚕️ Восстановите удаленные файлы с помощью Foremost на Ubuntu
Мануал
В этом руководстве мы узнаем, как восстановить удаленные файлы с помощью Foremost в Ubuntu 18.04.
Foremost – это программа форензики для восстановления данных для Linux, используемая для восстановления файлов с использованием их заголовки и футеры в и структур данных с помощью процесса, известного как карвинг файлов.
Ранее мы уже бегло рассматривали этот инструмент в следующих статьях:
Восстановите удаленные файлы с помощью Foremost
Установите Foremost на Ubuntu 18.04
Чтобы использовать Foremost для восстановления удаленных файлов, сначала необходимо установить этот инструмент.
К счастью, Foremost доступен в репозиториях Ubuntu 18.04 по умолчанию;
apt-cache policy foremost foremost: Installed: (none) Candidate: 1.5.7-6 Version table: 1.5.7-6 500 500 http://ke.archive.ubuntu.com/ubuntu bionic/universe amd64 Packages
Следовательно, его можно просто установить, как показано ниже;
Согласно справочным руководствам Foremost, существуют разные форматы файлов, которые он может восстановить. Они включают в себя;
- jpg – Поддержка форматов JFIF и Exif, включая реализации, используемые в современных цифровых камерах.
- GIF
- PNG
- bmp – Поддержка формата Windows BMP.
- AVI
- exe – поддержка бинарных файлов Windows PE, извлекает файлы DLL и EXE вместе с их временем компиляции.
- mpg – поддержка большинства файлов MPEG (должна начинаться с 0x000001BA)
- WAV
- riff – Это извлечет AVI и RIFF, так как они используют один и тот же формат файла (RIFF). обратите внимание, быстрее, чем работает каждый в отдельности.
- wmv – Note может также извлекать файлы wma, так как они имеют похожий формат.
- mov
- ole – он захватит любой файл, используя структуру файла OLE. Это включает в себя PowerPoint, Word, Excel, Access и StarWriter
- doc – обратите внимание, что более эффективно запускать OLE по мере увеличения отдачи от затраченных средств. Если вы хотите игнорировать все другие файлы ole, используйте это.
- zip – это также извлечет файлы .jar, потому что они используют похожий формат. Документы Open Office – это просто XML-файлы zip, поэтому они также извлекаются. К ним относятся SXW, SXC, SXI и SX? для неопределенных файлов OpenOffice. Файлы Office 2007 также основаны на XML (PPTX, DOCX, XLSX)
- rar
- HTM
- ccp Обнаружение исходного кода cpp – C, обратите внимание, что это примитивно и может генерировать документы, отличные от кода C.
- mp4 – Поддержка файлов MP4.
- all – запустить все предопределенные методы извлечения. [По умолчанию, если не указан -t]
Использование Foremost для восстановления удаленных файлов
Чтобы продемонстрировать, как использовать Foremost для восстановления удаленных файлов, мы собираемся использовать файл PNG в качестве примера.
В моем тестовом каталоге у меня есть следующий файл;
ls -1 ~/test Selection_005.png
Прежде чем мы продолжим, давайте сначала сгенерируем хеш MD5 для этого файла и удалим его, чтобы мы могли попытаться восстановить его.
Мы пересчитаем хеш, чтобы проверить целостность, чтобы убедиться, что мы получили правильный файл.
cd ~/test md5sum Selection_005.png 790956cca71bce68c478f1bd74df0eda Selection_005.png
Теперь давайте удалим этот файл навсегда.
rm -rf ~/test/Selection_005.png
Восстановление удаленных файлов
Синтаксис командной строки foremost
foremost [-h] [-V] [-d] [-vqwQT] [-b ] [-o ] [-t ] [-s ] [-i ]
-V - display copyright information and exit -t - specify file type. (-t jpeg,pdf . ) -d - turn on indirect block detection (for UNIX file-systems) -i - specify input file (default is stdin) -a - Write all headers, perform no error detection (corrupted files) -w - Only write the audit file, do not write any detected files to the disk -o - set output directory (defaults to output) -c - set configuration file to use (defaults to foremost.conf) -q - enables quick mode. Search are performed on 512 byte boundaries. -Q - enables quiet mode. Suppress output messages. -v - verbose mode. Logs all messages to screen
Для начала, мы собираемся восстановить некоторые из отдельных файлов, как показано выше.
Восстановить удаленный файл PNG
Мы удалили PNG-файлы в статье выше, с именем Selection_005.
Чтобы восстановить этот файл, запустите foremost как показано ниже;
foremost -t png -i /dev/sda1 -o ~/test
По завершении восстановления результаты записываются в каталог ~/test.
В этом каталоге вы можете найти файл с именем audit.txt, который объясняет все действия, выполняемые Foremost, и каталог png, в котором хранятся все восстановленные файлы png.
Многие файлы могут быть восстановлены.
Имена восстановленных файлов не совпадают с исходными именами.
Следовательно, для идентификации вашего файла вы можете использовать хеши MD5.
Однако, если вы уже удалили файл до получения хэша, жизнеспособным вариантом будет просмотреть все восстановленные объекты.
Выше мы сгенерировали хеши MD5 для нашего файла перед его удалением.
Чтобы узнать, восстановлен ли наш PNG-файл, проверьте MD5-хэши восстановленных файлов, если они совпадают с хешем PNG-файла, приведенного выше,
790956cca71bce68c478f1bd74df0eda.
for i in ls -1 ~/test/png/; do md5sum test/png/$i; done | grep 790956cca71bce68c478f1bd74df0eda 790956cca71bce68c478f1bd74df0eda test/png/08803584.png
Итак, как вы можете видеть, исходный хэш MD5 для одного из восстановленных файлов совпадает с оригинальным хешем MD5 для нашего файла PNG.
Если вам нужно восстановить другие файлы, обязательно создайте другой выходной каталог или отметьте время в том же каталоге, используя опцию -T, так как Foremost не может записывать в ранее записанный каталог. Например,
foremost -t pdf -i /dev/sda1 -T -o ~/test
Он запишет вывод в тестовую директорию с меткой времени, например, test_Tue_May_14_16_43_29_2019.
ls ~/test_Tue_May_14_16_43_29_2019/ audit.txt pdf
Это то, что мы хотели бы рассказать об использовании Foremost для восстановления удаленных файлов в Ubuntu 18.04.
Это, однако, относится к любому дистрибутиву Linux, в котором работает Foremost.
Также обратите внимание, что нет 100% уверенности, что Foremost восстановит все ваши удаленные файлы. В таком случае вы можете рассмотреть другие варианты. Удачи. Не забудьте оставить свои комментарии.
Пожалуйста, не спамьте и никого не оскорбляйте. Это поле для комментариев, а не спамбокс. Рекламные ссылки не индексируются!
- Аудит ИБ (49)
- Вакансии (12)
- Закрытие уязвимостей (105)
- Книги (27)
- Мануал (2 305)
- Медиа (66)
- Мероприятия (39)
- Мошенники (23)
- Обзоры (820)
- Обход запретов (34)
- Опросы (3)
- Скрипты (114)
- Статьи (352)
- Философия (114)
- Юмор (18)
Anything in here will be replaced on browsers that support the canvas element
Что такое 404 Frame? Большинство инструментов для взлома веб-сайта находятся в 404 Frame. Итак, что же представляют собой команды? Вы можете отдавать команды, используя повседневный разговорный язык, поскольку разработчики не хотели выбирать очень сложную систему команд. Команды Команды “help” / “commands” показывают все команды и их назначение. Команда “set target” – это команда, которая должна […]
В этой заметке вы узнаете о блокировке IP-адресов в Nginx. Это позволяет контролировать доступ к серверу. Nginx является одним из лучших веб-сервисов на сегодняшний день. Скорость обработки запросов делает его очень популярным среди системных администраторов. Кроме того, он обладает завидной гибкостью, что позволяет использовать его во многих ситуациях. Наступает момент, когда необходимо ограничить доступ к […]
Знаете ли вы, что выполняется в ваших контейнерах? Проведите аудит своих образов, чтобы исключить пакеты, которые делают вас уязвимыми для эксплуатации Насколько хорошо вы знаете базовые образы контейнеров, в которых работают ваши службы и инструменты? Этот вопрос часто игнорируется, поскольку мы очень доверяем им. Однако для обеспечения безопасности рабочих нагрузок и базовой инфраструктуры необходимо ответить […]
Одной из важнейших задач администратора является обеспечение обновления системы и всех доступных пакетов до последних версий. Даже после добавления нод в кластер Kubernetes нам все равно необходимо управлять обновлениями. В большинстве случаев после получения обновлений (например, обновлений ядра, системного обслуживания или аппаратных изменений) необходимо перезагрузить хост, чтобы изменения были применены. Для Kubernetes это может быть […]
Является ли запуск сервера NFS в кластере Kubernetes хорошей идеей или это ворота для хакеров Одним из многочисленных преимуществ сетевой файловой системы является ее способность выполнять многократное чтение-запись. И как и все в наши дни, NFS – это просто еще одна служба, которую можно запустить в своем кластере Kubernetes. Однако является ли сервер NFS подходящей […]