Ubuntu-gr Forum

To foremost είναι ένα πολύ ισχυρό όσο και "στριφνό" εργαλείο ανάκτησης δεδομένων από όλους τους τύπους των αποθηκευτικών μέσων. Αρχικά είχε αναπτυχθεί από τις υπηρεσίες ασφαλείας των ΗΠΑ και πλέον είναι διαθέσιμο στο κοινό χωρίς χρέωση. Είναι ίσως ένα από τα καλύτερα εργαλεία στο είδος του και το γεγονός ότι ψάχνει για δεδομένα όχι με βάση τα partition tables, αλλά με βάση τα headers, footers και την εσωτερική δομή τους το καθιστά ιδανικό για εύρεση διαγραμμένων δεδομένων ακόμη και από φορμαρισμένους δίσκους!
Εγώ έφτασα σε αυτό όταν όλα τα άλλα που δοκίμασα (magic rescue κλπ) απέτυχαν να μου βρουν δεδομένα από έναν δίσκο που φορμάρισα απανωτά τρεις φορές, και μάλιστα σε διαφορετικά file systems!

Κατ' αρχάς θα πρέπει να φτιάξετε ένα disk image του αποθηκευτικού μέσου που θέλετε να ψάξετε με κάποιο πρόγραμμα σαν τα dd, Safeback, Encase klp (οδηγίες για το dd θα βρείτε εδώ). Σημειώνεται ότι το image που θα φτιάξετε θα πρέπει να προέρχεται από low-level διαδικασία, ώστε να είναι ένα πιστό αντίγραφο της φυσικής επιφάνειας του αποθηκευτικού σας μέσου. Επομένως, utility σαν πχ το partimage ενδέχεται να μην κάνουν την δουλειά.....
(σημ: το foremost μπορεί να διαβάσει και κατευθείαν τον δίσκο που σας ενδιαφέρει, χωρίς να χρειάζεται να φτιάξετε το image. Δείτε πώς εδώ!)

Η απλούστερη σύνταξη της εντολής του foremost είναι η εξής:

Κώδικας: Επιλογή όλων

foremost -o ΣΗΜΕΙΟ_ΑΠΟΘΗΚΕΥΣΗΣ_ΑΝΑΚΤΗΘΕΝΤΩΝ -t ΤΥΠΟΙ_ΠΡΟΣ_ΕΥΡΕΣΗ -i IMAGE_FILE

• Το «ΣΗΜΕΙΟ_ΑΠΟΘΗΚΕΥΣΗΣ_ΑΝΑΚΤΗΘΕΝΤΩΝ» είναι η πλήρης διεύθυνση της τοποθεσίας που θέλετε να αποθηκευτούν τα αρχεία που το πρόγραμμα θα βρει. Αποθηκεύστε τα σε κάποιον δίσκο που έχει μεγαλύτερο ελεύθερο χώρο από το μέγεθος του image, ώστε να εξασφαλίσετε ότι όλα όσα βρεθούν θα χωρέσουν.
• Το «ΤΥΠΟΙ_ΠΡΟΣ_ΕΥΡΕΣΗ» λέει στο foremost για ποιούς τύπους αρχείων να ψάξει. Το foremost διαβάζοντας τα bytes της επιφάνειας του δίσκου σας ή του image που του δώσατε, συγκρίνει τις αλληλουχίες δεδομένων που βρίσκει με πρότυπα που έχει και έτσι εντοπίζει πιθανά αρχεία διαφόρων τύπων (εκ κατασκευής μπορεί να ανιχνεύσει jpg, gif, png, bmp, avi, exe, mpg, wav, riff, wmv, mov, pdf, ole, doc, zip, rar, htm, και cpp, μπορεί όμως να επεκταθεί με την δημιουργία νέων προτύπων. Αν στο -t δώσετε all, τότε θα ψάξει για όλους τους πιθανούς τύπους που έχει στα πρότυπά του.
• Το IMAGE_FILE είναι η ακριβής τοποθεσία και όνομα του image το οποίο καλείται να ερευνήσει το foremost, πχ /media/disk/IMAGE.dd

Αφού λοιπόν έχετε δημιουργήσει το image (ας πούμε ότι το ονομάσατε IMAGE.dd και βρίσκεται στην τοποθεσία /media/disk) η κλήση του foremost γίνεται ως εξής:

Κώδικας: Επιλογή όλων

sudo foremost -o /media/disk/RESCUE -t all -i /media/disk/IMAGE.dd

Το foremost θα ψάξει για όλους τους δυνατούς τύπους αρχείων στο /media/disk/IMAGE.dd και ότι βρει θα το αποθηκεύσει στο /media/disk/RESCUE. Μάλιστα, αντίθετα από άλλα utilities, ότι βρίσκει τα ομαδοποιεί ανά τύπο! Έτσι θα δείτε ότι στην τοποθεσία /media/disk/RESCUE έχουν δημιουργηθεί κατάλογοι όπως png, gif κλπ και ο καθένας περιέχει τα αποτελέσματα της εύρεσης! Αρκετά πρακτικό!
Έχετε υπ'όψιν πως είναι πιθανό να βρεθούν χιλιάδες ή και εκατοντάδες χιλιάδες αρχείων (ανάλογα με το μέγεθος του image) οπότε ίσως η προσπέλαση των αποτελεσμάτων να είναι εξαιρετικά αργή! Εγώ στην αρχή νόμιζα ότι δεν μου είχε βρει τίποτε διότι ανοίγοντας πχ τον φάκελο /jpg με τον nautilus δεν μου εμφάνιζε κανένα από τα >70.000 αρχεία που είχε βρει, μιας και ο nautilus ετοίμαζε για πολλή ώρα τις μικρογραφίες!!
Στον κατάλογο που θα αποθηκευτούν τα αποτελέσματα δημιουργείται και ένα αρχείο ονόματι audit.txt το οποίο είναι το log της διαδικασίας και περιγράφει αναλυτικά όλα τα αποτελέσματα!

Εμένα, σε τριπλοφορμαρισμένο δίσκο 40GB μου βρήκε συνολικά 145592 αρχεία (!!!!) εκ των οποίων:

Κώδικας: Επιλογή όλων

jpg:= 72678
gif:= 15831
bmp:= 3592
wmv:= 32
mov:= 18
rif:= 2747
htm:= 10199
ole:= 221
zip:= 594
rar:= 1
exe:= 18164
png:= 21040
mpg:= 6
pdf:= 469

Άντε τώρα από τις ~90000 εικόνες να βρω εκείνες που πραγματικά ήθελα!!


Η εργασία υπάγεται στην άδεια Creative Commons Αναφορά-Παρόμοια διανομή 3.0 Ελλάδα

Μπράβο
Χρήσιμος οδηγός
Ωραία και τώρα μπορούμε πολύ εύκολα να κρύβουμε δεδομένα από τα περίεργα βλέμματα βαθιά στα σπλάχνα του σκληρού μας δίσκου σε κάτι σκοτεινά sectors

μπραβο digbill εκανες κατι που σκεφτομουν ποσο καιρο να κανω και το αμελουσα συνεχεια. Τωρα μενει και το magicrescue.

digibill έγραψε:(σημ: υποτίθεται ότι το foremost μπορεί να διαβάσει και κατευθείαν τον δίσκο που σας ενδιαφέρει, χωρίς να χρειάζεται να φτιάξετε το image. Εγώ ωστόσο δεν έχω καταλάβει ακόμη πώς γίνεται αυτό!)

Ενδιαφέρον οδηγός!Έκανα μια δοκιμή λοιπόν στο foremost χωρίς να ψάχνω κάτι συγκεκριμένο,απλά για να γνωρίσω λίγο τις δυνατότητες του.Ψάχνοντας στο man αλλά και στο sourgeforge ώπου στεγάζεται το project δεν βρήκα πως μπορείς να το καλέσεις ώστε να διαβάζει απευθείας απο τον σκληρό δίσκο και όχι απο image file.

Παρόλα αυτά με μια σύντομη δοκιμή του τύπου

Κώδικας: Επιλογή όλων

sudo foremost -o /media/disk/RESCUE -t all -i /dev/sdb3

έγινε η δουλειά που ήθελα δηλαδή διάβασε απευθείας τον δίσκο/partition (sdb3 στην περίπτωση μου).
Έτσι καταλήγω στο συμπέρασμα πως η είσοδος ("-i") μπορεί να είναι είτε image file είτε ο δίσκος/partition.

Μπράβο για τους οδηγούς!

logari81 έγραψε:Τωρα μενει και το magicrescue.

Και μετά το testdisk και είμαστε κομπλέ

d_34gl3 έγραψε:

digibill έγραψε:(σημ: υποτίθεται ότι το foremost μπορεί να διαβάσει και κατευθείαν τον δίσκο που σας ενδιαφέρει, χωρίς να χρειάζεται να φτιάξετε το image. Εγώ ωστόσο δεν έχω καταλάβει ακόμη πώς γίνεται αυτό!)

Ενδιαφέρον οδηγός!Έκανα μια δοκιμή λοιπόν στο foremost χωρίς να ψάχνω κάτι συγκεκριμένο,απλά για να γνωρίσω λίγο τις δυνατότητες του.Ψάχνοντας στο man αλλά και στο sourgeforge ώπου στεγάζεται το project δεν βρήκα πως μπορείς να το καλέσεις ώστε να διαβάζει απευθείας απο τον σκληρό δίσκο και όχι απο image file.

Παρόλα αυτά με μια σύντομη δοκιμή του τύπου

Κώδικας: Επιλογή όλων

sudo foremost -o /media/disk/RESCUE -t all -i /dev/sdb3

έγινε η δουλειά που ήθελα δηλαδή διάβασε απευθείας τον δίσκο/partition (sdb3 στην περίπτωση μου).
Έτσι καταλήγω στο συμπέρασμα πως η είσοδος ("-i") μπορεί να είναι είτε image file είτε ο δίσκος/partition.

Πολύ απλό και λογικό Τόσο απλό που..... ούτε που το είχα σκεφτεί!!!!!
Μπράβο για την διαπίστωση λοιπόν

Σχετικά με το magicrescue και το testdisk, είναι πιο απλά και κατανοητά στην χρήση........ Το testdisk μάλιστα έχει ήδη έναν πολύ καλό οδηγό εδώ τον οποίος ίσως χρειάζεται απλά να μεταφράσουμε

Το έχω στα υπ'οψιν όταν βρω κι άλλο χρόνο

Tα κανω αυτα και μου λεει συνεχεια αυτο

Κώδικας: Επιλογή όλων

Processing: stdin

stefanos90 έγραψε:Tα κανω αυτα και μου λεει συνεχεια αυτο

Κώδικας: Επιλογή όλων

Processing: stdin

Αυτό συμβαίνει όταν δεν παίρνει ως είσοδο κάποιο συγκεκριμένο image ή δίσκο. Κάτι δεν κάνεις σωστά μάλλον... Μπορείς να μας παραθέσεις επακριβώς και με την σειρά τις εντολές που δίνεις?

To εκανα χωρις να φτιαξω εικονα, οπως ειπε ο d_34gl3
δεν μπορουσα να φτιαξω εικονα απο usb

Κώδικας: Επιλογή όλων

sudo foremost -o /media/paper/RESCUE -t all -i /media/CARD

stefanos90 έγραψε:To εκανα χωρις να φτιαξω εικονα, οπως ειπε ο d_34gl3
δεν μπορουσα να φτιαξω εικονα απο usb

Κώδικας: Επιλογή όλων

sudo foremost -o /media/paper/RESCUE -t all -i /media/CARD

Υποθέτω ότι θες να βρεις τα περιεχόμενα του /media/CARD. Για να διαβάσει αυτή την συσκευή το foremost θα πρέπει να του δώσεις το ID της, όχι το mount point!
Αφού έχεις κάνει mount την συσκευή σου λοιπόν, άνοιξε τον partition editor, βρες την και σημείωσε το id της (πχ /dev/sdb3). ΑΥΤΟ θα δώσεις στο foremost αντί του /media/CARD