Δημοσιεύτηκε: 05 Απρ 2009, 18:23
To foremost είναι ένα πολύ ισχυρό όσο και "στριφνό" εργαλείο ανάκτησης δεδομένων από όλους τους τύπους των αποθηκευτικών μέσων. Αρχικά είχε αναπτυχθεί από τις υπηρεσίες ασφαλείας των ΗΠΑ και πλέον είναι διαθέσιμο στο κοινό χωρίς χρέωση. Είναι ίσως ένα από τα καλύτερα εργαλεία στο είδος του και το γεγονός ότι ψάχνει για δεδομένα όχι με βάση τα partition tables, αλλά με βάση τα headers, footers και την εσωτερική δομή τους το καθιστά ιδανικό για εύρεση διαγραμμένων δεδομένων ακόμη και από φορμαρισμένους δίσκους!
Εγώ έφτασα σε αυτό όταν όλα τα άλλα που δοκίμασα (magic rescue κλπ) απέτυχαν να μου βρουν δεδομένα από έναν δίσκο που φορμάρισα απανωτά τρεις φορές, και μάλιστα σε διαφορετικά file systems!
Κατ' αρχάς θα πρέπει να φτιάξετε ένα disk image του αποθηκευτικού μέσου που θέλετε να ψάξετε με κάποιο πρόγραμμα σαν τα dd, Safeback, Encase klp (οδηγίες για το dd θα βρείτε εδώ). Σημειώνεται ότι το image που θα φτιάξετε θα πρέπει να προέρχεται από low-level διαδικασία, ώστε να είναι ένα πιστό αντίγραφο της φυσικής επιφάνειας του αποθηκευτικού σας μέσου. Επομένως, utility σαν πχ το partimage ενδέχεται να μην κάνουν την δουλειά.....
(σημ: το foremost μπορεί να διαβάσει και κατευθείαν τον δίσκο που σας ενδιαφέρει, χωρίς να χρειάζεται να φτιάξετε το image. Δείτε πώς εδώ!)
Η απλούστερη σύνταξη της εντολής του foremost είναι η εξής:
Αφού λοιπόν έχετε δημιουργήσει το image (ας πούμε ότι το ονομάσατε IMAGE.dd και βρίσκεται στην τοποθεσία /media/disk) η κλήση του foremost γίνεται ως εξής:
Το foremost θα ψάξει για όλους τους δυνατούς τύπους αρχείων στο /media/disk/IMAGE.dd και ότι βρει θα το αποθηκεύσει στο /media/disk/RESCUE. Μάλιστα, αντίθετα από άλλα utilities, ότι βρίσκει τα ομαδοποιεί ανά τύπο! Έτσι θα δείτε ότι στην τοποθεσία /media/disk/RESCUE έχουν δημιουργηθεί κατάλογοι όπως png, gif κλπ και ο καθένας περιέχει τα αποτελέσματα της εύρεσης! Αρκετά πρακτικό!
Έχετε υπ'όψιν πως είναι πιθανό να βρεθούν χιλιάδες ή και εκατοντάδες χιλιάδες αρχείων (ανάλογα με το μέγεθος του image) οπότε ίσως η προσπέλαση των αποτελεσμάτων να είναι εξαιρετικά αργή! Εγώ στην αρχή νόμιζα ότι δεν μου είχε βρει τίποτε διότι ανοίγοντας πχ τον φάκελο /jpg με τον nautilus δεν μου εμφάνιζε κανένα από τα >70.000 αρχεία που είχε βρει, μιας και ο nautilus ετοίμαζε για πολλή ώρα τις μικρογραφίες!!
Στον κατάλογο που θα αποθηκευτούν τα αποτελέσματα δημιουργείται και ένα αρχείο ονόματι audit.txt το οποίο είναι το log της διαδικασίας και περιγράφει αναλυτικά όλα τα αποτελέσματα!
Εμένα, σε τριπλοφορμαρισμένο δίσκο 40GB μου βρήκε συνολικά 145592 αρχεία (!!!!) εκ των οποίων:
Άντε τώρα από τις ~90000 εικόνες να βρω εκείνες που πραγματικά ήθελα!! 
Η εργασία υπάγεται στην άδεια Creative Commons Αναφορά-Παρόμοια διανομή 3.0 Ελλάδα
Εγώ έφτασα σε αυτό όταν όλα τα άλλα που δοκίμασα (magic rescue κλπ) απέτυχαν να μου βρουν δεδομένα από έναν δίσκο που φορμάρισα απανωτά τρεις φορές, και μάλιστα σε διαφορετικά file systems!
Κατ' αρχάς θα πρέπει να φτιάξετε ένα disk image του αποθηκευτικού μέσου που θέλετε να ψάξετε με κάποιο πρόγραμμα σαν τα dd, Safeback, Encase klp (οδηγίες για το dd θα βρείτε εδώ). Σημειώνεται ότι το image που θα φτιάξετε θα πρέπει να προέρχεται από low-level διαδικασία, ώστε να είναι ένα πιστό αντίγραφο της φυσικής επιφάνειας του αποθηκευτικού σας μέσου. Επομένως, utility σαν πχ το partimage ενδέχεται να μην κάνουν την δουλειά.....
(σημ: το foremost μπορεί να διαβάσει και κατευθείαν τον δίσκο που σας ενδιαφέρει, χωρίς να χρειάζεται να φτιάξετε το image. Δείτε πώς εδώ!)
Η απλούστερη σύνταξη της εντολής του foremost είναι η εξής:
- Κώδικας: Επιλογή όλων
foremost -o ΣΗΜΕΙΟ_ΑΠΟΘΗΚΕΥΣΗΣ_ΑΝΑΚΤΗΘΕΝΤΩΝ -t ΤΥΠΟΙ_ΠΡΟΣ_ΕΥΡΕΣΗ -i IMAGE_FILE
- Το «ΣΗΜΕΙΟ_ΑΠΟΘΗΚΕΥΣΗΣ_ΑΝΑΚΤΗΘΕΝΤΩΝ» είναι η πλήρης διεύθυνση της τοποθεσίας που θέλετε να αποθηκευτούν τα αρχεία που το πρόγραμμα θα βρει. Αποθηκεύστε τα σε κάποιον δίσκο που έχει μεγαλύτερο ελεύθερο χώρο από το μέγεθος του image, ώστε να εξασφαλίσετε ότι όλα όσα βρεθούν θα χωρέσουν.
- Το «ΤΥΠΟΙ_ΠΡΟΣ_ΕΥΡΕΣΗ» λέει στο foremost για ποιούς τύπους αρχείων να ψάξει. Το foremost διαβάζοντας τα bytes της επιφάνειας του δίσκου σας ή του image που του δώσατε, συγκρίνει τις αλληλουχίες δεδομένων που βρίσκει με πρότυπα που έχει και έτσι εντοπίζει πιθανά αρχεία διαφόρων τύπων (εκ κατασκευής μπορεί να ανιχνεύσει jpg, gif, png, bmp, avi, exe, mpg, wav, riff, wmv, mov, pdf, ole, doc, zip, rar, htm, και cpp, μπορεί όμως να επεκταθεί με την δημιουργία νέων προτύπων. Αν στο -t δώσετε all, τότε θα ψάξει για όλους τους πιθανούς τύπους που έχει στα πρότυπά του.
- Το IMAGE_FILE είναι η ακριβής τοποθεσία και όνομα του image το οποίο καλείται να ερευνήσει το foremost, πχ /media/disk/IMAGE.dd
Αφού λοιπόν έχετε δημιουργήσει το image (ας πούμε ότι το ονομάσατε IMAGE.dd και βρίσκεται στην τοποθεσία /media/disk) η κλήση του foremost γίνεται ως εξής:
- Κώδικας: Επιλογή όλων
sudo foremost -o /media/disk/RESCUE -t all -i /media/disk/IMAGE.dd
Το foremost θα ψάξει για όλους τους δυνατούς τύπους αρχείων στο /media/disk/IMAGE.dd και ότι βρει θα το αποθηκεύσει στο /media/disk/RESCUE. Μάλιστα, αντίθετα από άλλα utilities, ότι βρίσκει τα ομαδοποιεί ανά τύπο! Έτσι θα δείτε ότι στην τοποθεσία /media/disk/RESCUE έχουν δημιουργηθεί κατάλογοι όπως png, gif κλπ και ο καθένας περιέχει τα αποτελέσματα της εύρεσης! Αρκετά πρακτικό!
Έχετε υπ'όψιν πως είναι πιθανό να βρεθούν χιλιάδες ή και εκατοντάδες χιλιάδες αρχείων (ανάλογα με το μέγεθος του image) οπότε ίσως η προσπέλαση των αποτελεσμάτων να είναι εξαιρετικά αργή! Εγώ στην αρχή νόμιζα ότι δεν μου είχε βρει τίποτε διότι ανοίγοντας πχ τον φάκελο /jpg με τον nautilus δεν μου εμφάνιζε κανένα από τα >70.000 αρχεία που είχε βρει, μιας και ο nautilus ετοίμαζε για πολλή ώρα τις μικρογραφίες!!
Στον κατάλογο που θα αποθηκευτούν τα αποτελέσματα δημιουργείται και ένα αρχείο ονόματι audit.txt το οποίο είναι το log της διαδικασίας και περιγράφει αναλυτικά όλα τα αποτελέσματα!
Εμένα, σε τριπλοφορμαρισμένο δίσκο 40GB μου βρήκε συνολικά 145592 αρχεία (!!!!) εκ των οποίων:
- Κώδικας: Επιλογή όλων
jpg:= 72678
gif:= 15831
bmp:= 3592
wmv:= 32
mov:= 18
rif:= 2747
htm:= 10199
ole:= 221
zip:= 594
rar:= 1
exe:= 18164
png:= 21040
mpg:= 6
pdf:= 469
Άντε τώρα από τις ~90000 εικόνες να βρω εκείνες που πραγματικά ήθελα!!
Η εργασία υπάγεται στην άδεια Creative Commons Αναφορά-Παρόμοια διανομή 3.0 Ελλάδα