Foremost

A qui c'est déjà arrivé de supprimer définitivement un fichier sous Linux qu'on voulait garder et que d'un coup on se met a transpirer car c’était le projet du siècle?
Pleins de monde.

Cependant, rien n'est perdu, il existe pleins de solutions qui permettent de récupérer les données.

Parmi ces solutions, sous Linux on a Foremost.

Foremost est un outil de forensic écris en C par Kris Kendall et Jesse Kornblum pour l'US Air Force donc le but est de reformer les fichiers en utilisant les headers,footers et les structures de données.

Avant tout, il faut savoir ce qu'est un fichier, un fichier comporte 3 parties:

  • une entête :type de fichier, signature
  • un corps :données du fichier
  • un pied : pour marquer la fin du fichier

Si il manque une des trois parties, le fichier devient corrompu et donc moyennement exploitable.

Cependant, il faut pas espérer retrouver des fichiers supprimés depuis plusieurs années, lorsque l'on supprime un fichier d'un secteur du disque dur, il reste des traces du fichier, ces fameux headers,footer et structures de données, par-contre si l'on ré-écris par dessus, ces données sont définitivement perdues.

Comme une démo est toujours mieux qu'un pavé:
La manipulation a été faite sur une partition entière ou plein de données ont déjà été supprimées.

# foremost -i /dev/da0p2 -o /home/outdir
#-i <partition> -o <dossier de récupération>
Processing: /dev/da0p2
|*******************************foundat=calstblx.dtdUT
foundat=catalog.xmlUT
foundat=dbcentx.modUT
foundat=dbgenent.modUT
[...]
 
#cd outdir/
# ls
audit.txt       bmp             gif             htm             jpg             pdf             png             sx              sxc             sxi             zip

A la fin de la manipulation, un fichier audit.txt va être crée, dans lequel sera précisé tout ce qui a été récupéré et des dossiers seront crées pour chaque type de fichier dans lesquels seront placés les fichier récupérés.
Cependant, les fichiers récupérés possèdent tous des nom affreux par exemple 02670336.zip, a vous de vous débrouiller pour retrouver vos données.

wiki/foremost.txt · Dernière modification: 2018/04/25 12:42 par root
CC0 1.0 Universal
Powered by PHP Driven by DokuWiki Recent changes RSS feed Valid CSS Valid XHTML 1.0 Valid HTML5