Продолжаем изучать форензику. Сегодня речь пойдет о восстановлении удаленных файлов Linux. Я покажу, как в Kali Linux с помощью Foremost восстановить данные после удаления и даже после форматирования диска.
Еще по теме: Как восстановить удаленные файлы Linux с PhotoRec
Как восстановить данные в Linux с помощью Foremost
Foremost — это инструмент для восстановления данных в Linux. Foremost может восстанавливать данные с флэш-накопителей, жестких дисков, флешек, карт памяти и т. д.
Тулза может восстанавливать изображения, видеофайлы, exe-файлы, pdf-файлы и т. д. Она также может восстанавливать файлы, созданные приложениями dd, Encase и safeback.
Это инструмент командной строки, ранее он был предустановлен в Kali Linux. Но, теперь, его необходимо установить самостоятельно:
1 |
sudo apt-get install foremost -y |
После установки открываем справку:
1 |
foremost -h |
Удаление файлов с флешки в Kali Linux
Для примера удалим несколько файлов флешки.
На приведенном выше скрине мы видим, что на моей флешке емкостью 32 ГБ лежат несколько изображений, видео и файл pdf. Выделяем все эти файлы и удаляем их.
Затем открываем корзину и удаляем эти файлы:
Восстановление данных с помощью Foremost в Kali Linux
Хорошо, теперь пришло время восстановить удаленные данные. Чтобы восстановить удаленные данные с флешки, необходимо указать путь к диску. Открываем консоль и вводим команду:
1 |
sudo fdisk -l |
На приведенном выше скрине видно, что название устройства нашего 32-гигабайтного диска — dev/sdb, а основной раздел флеш-накопителя — /dev/sdb1. Этот /dev/sdb1 является разделом памяти. Мы можем скопировать этот путь /dev/sdb1 или просто запомнить его.
Теперь вводим команду восстановления данных:
1 |
sudo foremost -t jpg,pdf,mp4 -v -q -i /dev/sdb1 -o /home/Desktop/recovered |
В приведенной выше команде используется параметр -t для указания типов файлов, если его не использовать, будут восстановлены все известные типы файлов. Также используется аргумент -v для отображения процесса восстановления.
Также выбираем -q для быстрого режима, -i для устройств ввода, в нашем случае наше устройство ввода — это флешка, а путь — /dev/sdb1. Я добавил аргумент -o для установки выходного каталога. В моем случае восстановленные данных будут сохранены на рабочий стол в папку recovered.
Процесс восстановления займет некоторое время, в зависимости от размера диска. Если удаленные файлы перезаписываются другими файлами, могут возникнуть проблемы с восстановлением этих удаленных файлов. Утилита их восстановит, но не полностью. Есть вероятность получить поврежденные файлы.
На приведенном выше снимке экрана мы видим, что утилита восстановила удаленные файлы с USB-накопителя.
Заключение
Теперь вы знаете как восстанавливать удаленные данные в Kali Linux. Существует множество различных инструментов для восстановления данных, но мне нравиться и эта тулза. Пишите в комментах если знаете лучшую альтернативу.
Еще по теме: Как удалить метаданные файла в Kali Linux