Восстановление данных в Linux с помощью Foremost

Восстановление удаленных файлов

Продолжаем изучать форензику. Сегодня речь пойдет о восстановлении удаленных файлов Linux. Я покажу, как в Kali Linux с помощью Foremost восстановить данные после удаления и даже после форматирования диска.

Еще по теме: Как восстановить удаленные файлы Linux с PhotoRec

Как восстановить данные в Linux с помощью Foremost

Foremost — это инструмент для восстановления данных в Linux. Foremost может восстанавливать данные с флэш-накопителей, жестких дисков, флешек, карт памяти и т. д.

Тулза может восстанавливать изображения, видеофайлы, exe-файлы, pdf-файлы и т. д. Она также может восстанавливать файлы, созданные приложениями dd, Encase и safeback.

Это инструмент командной строки, ранее он был предустановлен в Kali Linux. Но, теперь, его необходимо установить самостоятельно:

После установки открываем справку:

Утилита Foremost для восстановление данных Linux
Справка Foremost

Удаление файлов с флешки в Kali Linux

Для примера удалим несколько файлов флешки.

Файлы на флешке в Kali Linux

На приведенном выше скрине мы видим, что на моей флешке емкостью 32 ГБ лежат несколько изображений, видео и файл pdf. Выделяем все эти файлы и удаляем их.

Затем открываем корзину и удаляем эти файлы:

Удаление данных с флешки Kali Linux

Восстановление данных с помощью Foremost в Kali Linux

Хорошо, теперь пришло время восстановить удаленные данные. Чтобы восстановить удаленные данные с флешки, необходимо указать путь к диску. Открываем консоль и вводим команду:

Восстановление данных с помощью Foremost Kali Linux

На приведенном выше скрине видно, что название устройства нашего 32-гигабайтного диска — dev/sdb, а основной раздел флеш-накопителя — /dev/sdb1. Этот /dev/sdb1 является разделом памяти. Мы можем скопировать этот путь /dev/sdb1 или просто запомнить его.

Теперь вводим команду восстановления данных:

В приведенной выше команде используется параметр -t для указания типов файлов, если его не использовать, будут восстановлены все известные типы файлов. Также используется аргумент -v для отображения процесса восстановления.

Также выбираем -q для быстрого режима, -i для устройств ввода, в нашем случае наше устройство ввода — это флешка, а путь — /dev/sdb1. Я добавил аргумент -o для установки выходного каталога. В моем случае восстановленные данных будут сохранены на рабочий стол в папку recovered.

Процесс восстановления займет некоторое время, в зависимости от размера диска. Если удаленные файлы перезаписываются другими файлами, могут возникнуть проблемы с восстановлением этих удаленных файлов. Утилита их восстановит, но не полностью. Есть вероятность получить поврежденные файлы.

Восстановить удаленны данные Linux

На приведенном выше снимке экрана мы видим, что утилита восстановила удаленные файлы с USB-накопителя.

Заключение

Теперь вы знаете как восстанавливать удаленные данные в Kali Linux. Существует множество различных инструментов для восстановления данных, но мне нравиться и эта тулза. Пишите в комментах если знаете лучшую альтернативу.

Еще по теме: Как удалить метаданные файла в Kali Linux

QUASAR

Этичный хакер и компьютерный ниндзя. Новые статьи в нашей Телеге!

Добавить комментарий