[Guida] Come recuperare i file cancellati con Foremost
Nell’articolo di oggi vi mostro come utilizzare il programma open source di data recovery Foremost. Questo tool forense, originariamente sviluppato dall’United States Air Force Office of Special Investigations, è particolarmente adatto per recuperare foto, documenti, video e brani musicali cancellati accidentalmente da una partizione. In conclusione, inoltre, vedremo come aggiungere il supporto per tipi di file non previsti di default.
Foremost forensic tool
Foremost è un programma open source molto utile, poiché permette di recuperare i file cancellati da unità flash come dischi rigidi, thumb drive e schede di memoria. Consente di eseguire il data recovery sfruttando una tecnica chiamata data carving. È quindi in grado di farvi riottenere i dati persi in base ai loro header, footer e strutture dati interne. L’installazione è immediata, essendo il pacchetto incluso nei repository delle principali distribuzioni GNU/Linux. Potete utilizzare le seguenti direttive:
sudo apt install foremost #Ubuntu sudo dnf install foremost #Fedora sudo pacman -S foremost #Arch
Una volta installato il programma, tramite l’istruzione foremost -h potete visualizzare l’elenco delle principali opzioni disponibili. Di default il programma supporta moltissimi tipi di file, tra i quali:
- jpg, gif, png, bmp;
- avi, mpg, wav, wmv, mov;
- exe;
- pdf, doc;
- zip, rar;
- htm;
- cpp.
Come funziona
Vediamo un esempio. Come primo step avete bisogno d’individuare la partizione sulla quale Foremost dovrà effettuare il data recovery. L’istruzione che ho utilizzato nel seguente screenshot è fdisk -l. Nell’esempio, infatti, lancerò il tool forense nella partizione sdb4 della thumb drive.
Per avviare il data recovery, quindi, utilizzate la seguente istruzione dove dovrete indicare il tipo di file da ricercare, la partizione target e l’eventuale directory dove conservare l’output del tool. Vi segnalo che questo processo richiederà del tempo soprattutto nel caso in cui stiate analizzando dischi grandi ma anche se ci sono molti file da recuperare.
foremost -t jpg,pdf,mp4 -v -q -i /dev/sdb4 -o /root/Desktop/recovered
Ulteriori tipi di file
Il file di configurazione foremost.conf può essere utilizzato per specificare formati di file non supportati in modo nativo dal tool forense. All’interno del file possiamo trovare diversi esempi commentati che mostrano la sintassi che dovrebbe essere utilizzata. Ecco un esempio che riguarda il tipo flac:
flac y 30000000 \x66\x4c\x61\x43\x00\x00\x00\x22
In particolare, da sinistra a destra, separando ogni elemento con un tab, dovrete inserire l’estensione, se l’header o il footer del tipo di file sono case sensitive, la dimensione massima del file in byte e infine l’header ed il footer (opzionale).
Seguiteci sul nostro canale Telegram, sulla nostra pagina Facebook e su Google News. Nel campo qui sotto è possibile commentare e creare spunti di discussione inerenti le tematiche trattate sul blog.