Ανάκτηση διεγραμμένων αρχείων με την χρήση του foremost

...το μέρος για να ξεκινήσετε!

Συντονιστής: adem1

Κανόνες Δ. Συζήτησης
Παρακαλώ να επιλέξετε, με προσοχή, την άδεια που θέλετε να έχουν οι οδηγοί που συγγράφετε.
Πληροφορίες για τις άδειες μπορείτε να βρείτε εδώ.
Άμα επιθυμείτε κάποια άλλη άδεια επικοινωνήστε με κάποιο Διαχειριστή είτε Συντονιστή.

Σημαντικό είναι να χρησιμοποιήσετε την υπηρεσία http://imagebin.ubuntu-gr.org για τις εικόνες.

Ανάκτηση διεγραμμένων αρχείων με την χρήση του foremost

Δημοσίευσηαπό digibill » 05 Απρ 2009, 18:23

To foremost είναι ένα πολύ ισχυρό όσο και "στριφνό" εργαλείο ανάκτησης δεδομένων από όλους τους τύπους των αποθηκευτικών μέσων. Αρχικά είχε αναπτυχθεί από τις υπηρεσίες ασφαλείας των ΗΠΑ και πλέον είναι διαθέσιμο στο κοινό χωρίς χρέωση. Είναι ίσως ένα από τα καλύτερα εργαλεία στο είδος του και το γεγονός ότι ψάχνει για δεδομένα όχι με βάση τα partition tables, αλλά με βάση τα headers, footers και την εσωτερική δομή τους το καθιστά ιδανικό για εύρεση διαγραμμένων δεδομένων ακόμη και από φορμαρισμένους δίσκους!
Εγώ έφτασα σε αυτό όταν όλα τα άλλα που δοκίμασα (magic rescue κλπ) απέτυχαν να μου βρουν δεδομένα από έναν δίσκο που φορμάρισα απανωτά τρεις φορές, και μάλιστα σε διαφορετικά file systems! :shock: :oops: :oops:

Κατ' αρχάς θα πρέπει να φτιάξετε ένα disk image του αποθηκευτικού μέσου που θέλετε να ψάξετε με κάποιο πρόγραμμα σαν τα dd, Safeback, Encase klp (οδηγίες για το dd θα βρείτε εδώ). Σημειώνεται ότι το image που θα φτιάξετε θα πρέπει να προέρχεται από low-level διαδικασία, ώστε να είναι ένα πιστό αντίγραφο της φυσικής επιφάνειας του αποθηκευτικού σας μέσου. Επομένως, utility σαν πχ το partimage ενδέχεται να μην κάνουν την δουλειά.....
(σημ: το foremost μπορεί να διαβάσει και κατευθείαν τον δίσκο που σας ενδιαφέρει, χωρίς να χρειάζεται να φτιάξετε το image. Δείτε πώς εδώ!)

Η απλούστερη σύνταξη της εντολής του foremost είναι η εξής:

Κώδικας: Επιλογή όλων
foremost -o ΣΗΜΕΙΟ_ΑΠΟΘΗΚΕΥΣΗΣ_ΑΝΑΚΤΗΘΕΝΤΩΝ -t ΤΥΠΟΙ_ΠΡΟΣ_ΕΥΡΕΣΗ -i IMAGE_FILE


  • Το «ΣΗΜΕΙΟ_ΑΠΟΘΗΚΕΥΣΗΣ_ΑΝΑΚΤΗΘΕΝΤΩΝ» είναι η πλήρης διεύθυνση της τοποθεσίας που θέλετε να αποθηκευτούν τα αρχεία που το πρόγραμμα θα βρει. Αποθηκεύστε τα σε κάποιον δίσκο που έχει μεγαλύτερο ελεύθερο χώρο από το μέγεθος του image, ώστε να εξασφαλίσετε ότι όλα όσα βρεθούν θα χωρέσουν.
  • Το «ΤΥΠΟΙ_ΠΡΟΣ_ΕΥΡΕΣΗ» λέει στο foremost για ποιούς τύπους αρχείων να ψάξει. Το foremost διαβάζοντας τα bytes της επιφάνειας του δίσκου σας ή του image που του δώσατε, συγκρίνει τις αλληλουχίες δεδομένων που βρίσκει με πρότυπα που έχει και έτσι εντοπίζει πιθανά αρχεία διαφόρων τύπων (εκ κατασκευής μπορεί να ανιχνεύσει jpg, gif, png, bmp, avi, exe, mpg, wav, riff, wmv, mov, pdf, ole, doc, zip, rar, htm, και cpp, μπορεί όμως να επεκταθεί με την δημιουργία νέων προτύπων. Αν στο -t δώσετε all, τότε θα ψάξει για όλους τους πιθανούς τύπους που έχει στα πρότυπά του.
  • Το IMAGE_FILE είναι η ακριβής τοποθεσία και όνομα του image το οποίο καλείται να ερευνήσει το foremost, πχ /media/disk/IMAGE.dd

Αφού λοιπόν έχετε δημιουργήσει το image (ας πούμε ότι το ονομάσατε IMAGE.dd και βρίσκεται στην τοποθεσία /media/disk) η κλήση του foremost γίνεται ως εξής:

Κώδικας: Επιλογή όλων
sudo foremost -o /media/disk/RESCUE -t all -i /media/disk/IMAGE.dd


Το foremost θα ψάξει για όλους τους δυνατούς τύπους αρχείων στο /media/disk/IMAGE.dd και ότι βρει θα το αποθηκεύσει στο /media/disk/RESCUE. Μάλιστα, αντίθετα από άλλα utilities, ότι βρίσκει τα ομαδοποιεί ανά τύπο! Έτσι θα δείτε ότι στην τοποθεσία /media/disk/RESCUE έχουν δημιουργηθεί κατάλογοι όπως png, gif κλπ και ο καθένας περιέχει τα αποτελέσματα της εύρεσης! Αρκετά πρακτικό!
Έχετε υπ'όψιν πως είναι πιθανό να βρεθούν χιλιάδες ή και εκατοντάδες χιλιάδες αρχείων (ανάλογα με το μέγεθος του image) οπότε ίσως η προσπέλαση των αποτελεσμάτων να είναι εξαιρετικά αργή! Εγώ στην αρχή νόμιζα ότι δεν μου είχε βρει τίποτε διότι ανοίγοντας πχ τον φάκελο /jpg με τον nautilus δεν μου εμφάνιζε κανένα από τα >70.000 αρχεία που είχε βρει, μιας και ο nautilus ετοίμαζε για πολλή ώρα τις μικρογραφίες!! :geek:
Στον κατάλογο που θα αποθηκευτούν τα αποτελέσματα δημιουργείται και ένα αρχείο ονόματι audit.txt το οποίο είναι το log της διαδικασίας και περιγράφει αναλυτικά όλα τα αποτελέσματα!

Εμένα, σε τριπλοφορμαρισμένο δίσκο 40GB μου βρήκε συνολικά 145592 αρχεία (!!!!) εκ των οποίων:

Κώδικας: Επιλογή όλων
jpg:= 72678
gif:= 15831
bmp:= 3592
wmv:= 32
mov:= 18
rif:= 2747
htm:= 10199
ole:= 221
zip:= 594
rar:= 1
exe:= 18164
png:= 21040
mpg:= 6
pdf:= 469


Άντε τώρα από τις ~90000 εικόνες να βρω εκείνες που πραγματικά ήθελα!! :shock: :mrgreen: :mrgreen:

:ugeek:Creative Commons License
Η εργασία υπάγεται στην άδεια Creative Commons Αναφορά-Παρόμοια διανομή 3.0 Ελλάδα
Τελευταία επεξεργασία από digibill και 26 Μαρ 2010, 15:46, έχει επεξεργασθεί 4 φορά/ες συνολικά
Εικόναwww.yiannakos.gr
Σύστημα:AMD Athlon 64x2 @ 5200+, 3GB DDR2 RAM, ASUS M2N3 SLI m/b, nVidia 8600GT 512MB DDR2, Creative Live! 5.1 soundcard
OS:Ubuntu 10.10 32bit en
Εικόνα
Άβαταρ μέλους
digibill
seniorTUX
seniorTUX
 
Δημοσιεύσεις: 720
Εγγραφή: 18 Μάιος 2008, 20:12
Τοποθεσία: Αθήνα
Εκτύπωση

Re: Ανάκτηση διεγραμμένων αρχείων με την χρήση του foremost

Δημοσίευσηαπό sokoban4ever » 05 Απρ 2009, 23:34

Μπράβο ;) :D
Χρήσιμος οδηγός :)
Ωραία και τώρα μπορούμε πολύ εύκολα να κρύβουμε δεδομένα από τα περίεργα βλέμματα βαθιά στα σπλάχνα του σκληρού μας δίσκου σε κάτι σκοτεινά sectors :lol:
Θέλουμε και μπορούμε να έχουμε μια καλύτερη ζωή και όσο θα ζούμε θα προσπαθούμε να την αποκτήσουμε ακόμα και αν πεθάνουμε προσπαθώντας, και αν κάποια στιγμή λιγίσουμε έχουμε το επίπεδο να πούμε κουράστηκα λίγο να ,να ξαποστάσουμε , ώστε να συνεχίσουμε πάλι δυνατοί ξανά.

Μήνυμα με αγάπη και αληλλεγγύη σε όλους τους ανθρώπους από όλους τους λαούς , ιδίως του Ελληνικού.
Άβαταρ μέλους
sokoban4ever
Επίτιμο μέλος
Επίτιμο μέλος
 
Δημοσιεύσεις: 2331
Εγγραφή: 13 Φεβ 2009, 02:22
Εκτύπωση

Re: Ανάκτηση διεγραμμένων αρχείων με την χρήση του foremost

Δημοσίευσηαπό logari81 » 06 Απρ 2009, 00:45

μπραβο digbill εκανες κατι που σκεφτομουν ποσο καιρο να κανω και το αμελουσα συνεχεια. Τωρα μενει και το magicrescue.
http://opensourceecology.org/


Λειτουργικό: Ubuntu 10.04 lucid 64-bitΠροδιαγραφές: 4x Intel Core i5 CPU M 450 2.40GHz ‖ RAM 3696 MiB ‖ Lenovo KL3 - LENOVO IdeaPad Y560
Κάρτα γραφικών: ATI Device [1002:68c0]Ασύρματο: wlan0: Atheros Inc. AR928X Wireless Network Adapter (PCI-Express) [168c:002a] (rev 01)
logari81
Επίτιμο μέλος
Επίτιμο μέλος
 
Δημοσιεύσεις: 6074
Εγγραφή: 14 Μάιος 2008, 10:40
Εκτύπωση

Re: Ανάκτηση διεγραμμένων αρχείων με την χρήση του foremost

Δημοσίευσηαπό d_34gl3 » 06 Απρ 2009, 01:09

digibill έγραψε:(σημ: υποτίθεται ότι το foremost μπορεί να διαβάσει και κατευθείαν τον δίσκο που σας ενδιαφέρει, χωρίς να χρειάζεται να φτιάξετε το image. Εγώ ωστόσο δεν έχω καταλάβει ακόμη πώς γίνεται αυτό!)

Ενδιαφέρον οδηγός!Έκανα μια δοκιμή λοιπόν στο foremost χωρίς να ψάχνω κάτι συγκεκριμένο,απλά για να γνωρίσω λίγο τις δυνατότητες του.Ψάχνοντας στο man αλλά και στο sourgeforge ώπου στεγάζεται το project δεν βρήκα πως μπορείς να το καλέσεις ώστε να διαβάζει απευθείας απο τον σκληρό δίσκο και όχι απο image file.

Παρόλα αυτά με μια σύντομη δοκιμή του τύπου
Κώδικας: Επιλογή όλων
sudo foremost -o /media/disk/RESCUE -t all -i /dev/sdb3
έγινε η δουλειά που ήθελα δηλαδή διάβασε απευθείας τον δίσκο/partition (sdb3 στην περίπτωση μου).
Έτσι καταλήγω στο συμπέρασμα πως η είσοδος ("-i") μπορεί να είναι είτε image file είτε ο δίσκος/partition.
Άβαταρ μέλους
d_34gl3
babeTUX
babeTUX
 
Δημοσιεύσεις: 40
Εγγραφή: 16 Ιαν 2009, 22:17
Εκτύπωση

Re: Ανάκτηση διεγραμμένων αρχείων με την χρήση του foremost

Δημοσίευσηαπό ftso » 06 Απρ 2009, 01:18

Μπράβο για τους οδηγούς! :D


logari81 έγραψε:Τωρα μενει και το magicrescue.

Και μετά το testdisk και είμαστε κομπλέ :mrgreen:
Άβαταρ μέλους
ftso
Επίτιμο μέλος
Επίτιμο μέλος
 
Δημοσιεύσεις: 6409
Εγγραφή: 12 Μάιος 2008, 13:40
Τοποθεσία: Αθήνα
IRC: ftso
Εκτύπωση

Re: Ανάκτηση διεγραμμένων αρχείων με την χρήση του foremost

Δημοσίευσηαπό digibill » 06 Απρ 2009, 16:10

d_34gl3 έγραψε:
digibill έγραψε:(σημ: υποτίθεται ότι το foremost μπορεί να διαβάσει και κατευθείαν τον δίσκο που σας ενδιαφέρει, χωρίς να χρειάζεται να φτιάξετε το image. Εγώ ωστόσο δεν έχω καταλάβει ακόμη πώς γίνεται αυτό!)

Ενδιαφέρον οδηγός!Έκανα μια δοκιμή λοιπόν στο foremost χωρίς να ψάχνω κάτι συγκεκριμένο,απλά για να γνωρίσω λίγο τις δυνατότητες του.Ψάχνοντας στο man αλλά και στο sourgeforge ώπου στεγάζεται το project δεν βρήκα πως μπορείς να το καλέσεις ώστε να διαβάζει απευθείας απο τον σκληρό δίσκο και όχι απο image file.

Παρόλα αυτά με μια σύντομη δοκιμή του τύπου
Κώδικας: Επιλογή όλων
sudo foremost -o /media/disk/RESCUE -t all -i /dev/sdb3
έγινε η δουλειά που ήθελα δηλαδή διάβασε απευθείας τον δίσκο/partition (sdb3 στην περίπτωση μου).
Έτσι καταλήγω στο συμπέρασμα πως η είσοδος ("-i") μπορεί να είναι είτε image file είτε ο δίσκος/partition.


Πολύ απλό και λογικό :mrgreen: Τόσο απλό που..... ούτε που το είχα σκεφτεί!!!!! :lol:
Μπράβο για την διαπίστωση λοιπόν :D

Σχετικά με το magicrescue και το testdisk, είναι πιο απλά και κατανοητά στην χρήση........ Το testdisk μάλιστα έχει ήδη έναν πολύ καλό οδηγό εδώ τον οποίος ίσως χρειάζεται απλά να μεταφράσουμε ;)

Το έχω στα υπ'οψιν όταν βρω κι άλλο χρόνο :)
Εικόναwww.yiannakos.gr
Σύστημα:AMD Athlon 64x2 @ 5200+, 3GB DDR2 RAM, ASUS M2N3 SLI m/b, nVidia 8600GT 512MB DDR2, Creative Live! 5.1 soundcard
OS:Ubuntu 10.10 32bit en
Εικόνα
Άβαταρ μέλους
digibill
seniorTUX
seniorTUX
 
Δημοσιεύσεις: 720
Εγγραφή: 18 Μάιος 2008, 20:12
Τοποθεσία: Αθήνα
Εκτύπωση

Re: Ανάκτηση διεγραμμένων αρχείων με την χρήση του foremost

Δημοσίευσηαπό stefanos90 » 08 Μάιος 2009, 14:45

Tα κανω αυτα και μου λεει συνεχεια αυτο
Κώδικας: Επιλογή όλων
Processing: stdin
https://dslr.gr - Αγγελίες για μεταχειρισμένες φωτογραφικές μηχανές
Άβαταρ μέλους
stefanos90
dudeTUX
dudeTUX
 
Δημοσιεύσεις: 364
Εγγραφή: 31 Μαρ 2009, 23:24
Τοποθεσία: Κοζανη
IRC: stefanos90
Εκτύπωση

Re: Ανάκτηση διεγραμμένων αρχείων με την χρήση του foremost

Δημοσίευσηαπό digibill » 08 Μάιος 2009, 16:02

stefanos90 έγραψε:Tα κανω αυτα και μου λεει συνεχεια αυτο
Κώδικας: Επιλογή όλων
Processing: stdin


Αυτό συμβαίνει όταν δεν παίρνει ως είσοδο κάποιο συγκεκριμένο image ή δίσκο. Κάτι δεν κάνεις σωστά μάλλον... Μπορείς να μας παραθέσεις επακριβώς και με την σειρά τις εντολές που δίνεις?
Εικόναwww.yiannakos.gr
Σύστημα:AMD Athlon 64x2 @ 5200+, 3GB DDR2 RAM, ASUS M2N3 SLI m/b, nVidia 8600GT 512MB DDR2, Creative Live! 5.1 soundcard
OS:Ubuntu 10.10 32bit en
Εικόνα
Άβαταρ μέλους
digibill
seniorTUX
seniorTUX
 
Δημοσιεύσεις: 720
Εγγραφή: 18 Μάιος 2008, 20:12
Τοποθεσία: Αθήνα
Εκτύπωση

Re: Ανάκτηση διεγραμμένων αρχείων με την χρήση του foremost

Δημοσίευσηαπό stefanos90 » 08 Μάιος 2009, 17:11

To εκανα χωρις να φτιαξω εικονα, οπως ειπε ο d_34gl3
δεν μπορουσα να φτιαξω εικονα απο usb
Κώδικας: Επιλογή όλων
sudo foremost -o /media/paper/RESCUE -t all -i /media/CARD
https://dslr.gr - Αγγελίες για μεταχειρισμένες φωτογραφικές μηχανές
Άβαταρ μέλους
stefanos90
dudeTUX
dudeTUX
 
Δημοσιεύσεις: 364
Εγγραφή: 31 Μαρ 2009, 23:24
Τοποθεσία: Κοζανη
IRC: stefanos90
Εκτύπωση

Re: Ανάκτηση διεγραμμένων αρχείων με την χρήση του foremost

Δημοσίευσηαπό digibill » 08 Μάιος 2009, 17:53

stefanos90 έγραψε:To εκανα χωρις να φτιαξω εικονα, οπως ειπε ο d_34gl3
δεν μπορουσα να φτιαξω εικονα απο usb
Κώδικας: Επιλογή όλων
sudo foremost -o /media/paper/RESCUE -t all -i /media/CARD


Υποθέτω ότι θες να βρεις τα περιεχόμενα του /media/CARD. Για να διαβάσει αυτή την συσκευή το foremost θα πρέπει να του δώσεις το ID της, όχι το mount point!
Αφού έχεις κάνει mount την συσκευή σου λοιπόν, άνοιξε τον partition editor, βρες την και σημείωσε το id της (πχ /dev/sdb3). ΑΥΤΟ θα δώσεις στο foremost αντί του /media/CARD ;)
Εικόναwww.yiannakos.gr
Σύστημα:AMD Athlon 64x2 @ 5200+, 3GB DDR2 RAM, ASUS M2N3 SLI m/b, nVidia 8600GT 512MB DDR2, Creative Live! 5.1 soundcard
OS:Ubuntu 10.10 32bit en
Εικόνα
Άβαταρ μέλους
digibill
seniorTUX
seniorTUX
 
Δημοσιεύσεις: 720
Εγγραφή: 18 Μάιος 2008, 20:12
Τοποθεσία: Αθήνα
Εκτύπωση

Επόμενο

  • ΣΧΕΤΙΚΑ ΘΕΜΑΤΑ
    ΑΠΑΝΤΗΣΕΙΣ
    ΠΡΟΒΟΛΕΣ
    ΣΥΓΓΡΑΦΕΑΣ

Επιστροφή στο Οδηγοί - How to - Tutorials

Μέλη σε σύνδεση

Μέλη σε αυτή τη Δ. Συζήτηση: Δεν υπάρχουν εγγεγραμμένα μέλη και 4 επισκέπτες