Foremost
Foremost is a console program to recover files based on their headers, footers, and internal data structures. This process is commonly referred to as data carving. Foremost can work on image files, such as those generated by dd, Safeback, Encase, etc, or directly on a drive. The headers and footers can be specified by a configuration file or you can use command line switches to specify built-in file types. These built-in types look at the data structures of a given file format allowing for a more reliable and faster recovery.
Foremost è un progetto open-source che permette di recuperare i file cancellati da unità di memoria di massa. Consente di eseguire il data recovery sfruttando una tecnica chiamata data carving.
Il data carving è una tecnica che consente di recuperare file dallo spazio non allocato di un supporto di memorizzazione di dati digitali (ad esempio un hard disk o una chiavetta USB) anche quando non vi è più traccia di quel file nella tabella di allocazione.
Foremost è utilizzabile tramite riga di comando
# foremost -h
foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus.
$ foremost [-v|-V|-h|-T|-Q|-q|-a|-w-d] [-t <type>] [-s <blocks>] [-k <size>]
[-b <size>] [-c <file>] [-o <dir>] [-i <file]
-V - display copyright information and exit
-t - specify file type. (-t jpeg,pdf ...)
-d - turn on indirect block detection (for UNIX file-systems)
-i - specify input file (default is stdin)
-a - Write all headers, perform no error detection (corrupted files)
-w - Only write the audit file, do not write any detected files to the disk
-o - set output directory (defaults to output)
-c - set configuration file to use (defaults to foremost.conf)
-q - enables quick mode. Search are performed on 512 byte boundaries.
-Q - enables quiet mode. Suppress output messages.
-v - verbose mode. Logs all messages to screen
E’ possibile specificare il tipo di file (jpg, gif, png, bmp, zip, pdf, ecc) e per tentare il recovery di file pdf si può utilizzare il comando:
# foremost -t jpg,pdf,mp4 -v -q -i /dev/vdb1 -o /opt/recupero
In questo caso si avvierà il processo sulla partizione vdb1 e il risultato verrà salvato in /opt/recupero .
Le opinioni in quanto tali sono opinabili e nulla ti vieta di approfondire l’argomento.
Risorse: