以最重要的方式恢复已删除的文件
版本1.0
作者:Falko Timme
最重要的是一个取证应用程序,根据文件头,页脚和内部数据结构来恢复文件。 最重要的是可以处理图像文件,例如由dd,Safeback,Encase等生成的文件,或直接在驱动器上。 这篇简短的文章显示了如何最重要地恢复已删除的文件。
我不会保证这将为您工作!
1初步说明
目前最重要的可以恢复以下文件类型:
- jpg - 支持JFIF和Exif格式,包括在现代数码相机中使用的实现。
- gif
- png
- bmp - 支持windows bmp格式。
- avi
- exe - 支持Windows PE二进制文件,将提取DLL和EXE文件及其编译时间。
- mpg - 支持大多数MPEG文件(必须以0x000001BA开头)
- 喔
- riff - 这将提取AVI和RIFF,因为它们使用相同的文件格式(RIFF)。 注意比单独运行更快。
- wmv - 注意也可以提取-wma文件,因为它们具有相似的格式。
- mov
- ole - 这将使用OLE文件结构抓取任何文件。 这包括PowerPoint,Word,Excel,Access和StarWriter
- doc - 注意运行OLE是更有效的,因为您可以获得更多的冲击。 如果你想忽略所有其他的ole文件,那么使用这个。
- zip - 注意将会提取.jar文件,因为它们使用类似的格式。 Open Office文档只是zip文件,因此它们被提取出来
以及。 这些包括SXW,SXC,SXI和SX? 对于未确定的OpenOffice文件。 - 拉尔
- htm
- cpp - C源代码检测,注意这是原始的,可能会生成C代码以外的文件。
您可以调整/etc/foremost.conf来添加对更多文件类型的支持。
请注意,不能保证在恢复文件方面将成功,但至少有一个机会。
2安装最重要
在Debian和Ubuntu上,可以安装如下:
apt-get install foremost
3使用最重要
看一眼
man foremost
学习如何使用最重要的。
在这个例子中,我删除一个jpg文件:
server1:/home/administrator# ls -l
total 324
-rw-r--r-- 1 root root 324383 2008-02-19 01:25 k-p1170003_13_20080217_1058163689.jpg
server1:/home/administrator#
rm -f k-p1170003_13_20080217_1058163689.jpg
首先可以使用以下方法来尝试恢复文件:
foremost -t jpeg -i /dev/sda1
(如果你不知道要搜索什么分区,请看看
mount
server1:~# mount
/dev/sda1 on / type ext3 (rw,errors=remount-ro)
tmpfs on /lib/init/rw type tmpfs (rw,nosuid,mode=0755)
proc on /proc type proc (rw,noexec,nosuid,nodev)
sysfs on /sys type sysfs (rw,noexec,nosuid,nodev)
udev on /dev type tmpfs (rw,mode=0755)
tmpfs on /dev/shm type tmpfs (rw,nosuid,nodev)
devpts on /dev/pts type devpts (rw,noexec,nosuid,gid=5,mode=620)
nfsd on /proc/fs/nfsd type nfsd (rw)
server1:~#
)
首先完成后,您会在目录中找到一个名为output的文件夹:
ls -la
server1:~# ls -la
total 36
drwxr-xr-x 5 root root 4096 2009-03-12 17:53 .
drwxr-xr-x 21 root root 4096 2009-02-16 13:10 ..
drwx------ 2 root root 4096 2009-02-16 13:15 .aptitude
-rw------- 1 root root 377 2009-02-16 13:32 .bash_history
-rw-r--r-- 1 root root 412 2004-12-15 23:53 .bashrc
drwxr-xr-x 2 root root 4096 2009-02-16 13:17 .debtags
drwxr-xr-- 3 root root 4096 2009-03-12 17:53 output
-rw-r--r-- 1 root root 140 2007-11-19 18:57 .profile
-rw------- 1 root root 3480 2009-03-12 17:06 .viminfo
server1:~#
ls -l output
server1:~# ls -l output/
total 8
-rw-r--r-- 1 root root 714 2009-03-12 18:02 audit.txt
drwxr-xr-- 2 root root 4096 2009-03-12 17:57 jpg
server1:~#
audit.txt包含最重要的功能:
cat output/audit.txt
server1:~# cat output/audit.txt
Foremost version 1.5.4 by Jesse Kornblum, Kris Kendall, and Nick Mikus
Audit File
Foremost started at Thu Mar 12 17:53:48 2009
Invocation: foremost -t jpeg -i /dev/sda1
Output directory: /root/output
Configuration file: /etc/foremost.conf
------------------------------------------------------------------
File: /dev/sda1
Start: Thu Mar 12 17:53:48 2009
Length: 28 GB (30836542464 bytes)
Num Name (bs=512) Size File Offset Comment
0: 11157504.jpg 320 KB 5712642048
1: 29556752.jpg 324 KB 15133057024
Finish: Thu Mar 12 18:02:10 2009
2 FILES EXTRACTED
jpg:= 2
------------------------------------------------------------------
Foremost finished at Thu Mar 12 18:02:10 2009
server1:~#
而jpg /子目录包含最初已恢复的jpg文件:
ls -l output/jpg/
server1:~# ls -l output/jpg/
total 660
-rw-r--r-- 1 root root 328479 2009-03-12 17:55 11157504.jpg
-rw-r--r-- 1 root root 332575 2009-03-12 17:57 29556752.jpg
server1:~#
在下次从同一目录运行之前,您必须删除/重命名当前的输出/目录(因为如果已经有一个输出/目录,最初不会启动)或使用-T开关(时间戳输出目录您不必在多次运行时删除输出/目录):
foremost -t pdf -T -i /dev/sda1
4链接
- 最重要的是: http : //foremost.sourceforge.net/
