Pulihkan File yang Dihapus dengan Foremost Di Ubuntu 18.04

oleh

Dalam panduan ini, kita akan belajar bagaimana memulihkan file yang terhapus dengan Foremost di Ubuntu 18.04. Foremost  adalah program pemulihan data forensik untuk Linux yang digunakan untuk memulihkan file menggunakan header, footer, dan struktur data melalui proses yang dikenal sebagai file carving.

Pulihkan File yang Dihapus dengan Foremost Di Ubuntu 18.04

Instal Terutama di Ubuntu 18.04

Untuk menggunakan Foremost untuk memulihkan file yang dihapus, Anda harus menginstal alat ini terlebih dahulu. Untungnya, Foremost tersedia di repositori default Ubuntu 18.04;

apt-cache policy foremost foremost: Installed: (none) Candidate: 1.5.7-6 Version table: 1.5.7-6 500 500 http://ke.archive.ubuntu.com/ubuntu bionic/universe amd64 Packages

Oleh karena itu cukup diinstal seperti yang ditunjukkan di bawah ini;

apt install foremost

Ingin membangun Terdepan dari sumber? Periksa cara README Terdepan.

Menurut halaman manual Foremost, ada berbagai format file yang dapat dipulihkan. Ini termasuk;

  • jpg – Dukungan untuk format JFIF dan Exif termasuk implementasi yang digunakan pada kamera digital modern.
  • gif
  • png
  • bmp – Mendukung format bmp windows.
  • avi
  • exe – Dukungan untuk binari Windows PE, akan mengekstrak file DLL dan EXE bersama dengan waktu kompilasinya.
  • mpg – Dukungan untuk sebagian besar file MPEG (harus dimulai dengan 0x000001BA)
  • wav
  • riff – Ini akan mengekstrak AVI dan RIFF karena menggunakan format file yang sama (RIFF). perhatikan lebih cepat daripada menjalankan masing-masing secara terpisah.
  • wmv – Catatan juga dapat mengekstrak file wma karena memiliki format yang serupa.
  • pindah
  • pdf
  • ole – Ini akan mengambil file apa pun menggunakan struktur file OLE. Ini termasuk PowerPoint, Word, Excel, Access, dan StarWriter
  • doc – Perhatikan bahwa menjalankan OLE lebih efisien karena Anda mendapatkan lebih banyak uang. Jika Anda ingin mengabaikan semua file ole lainnya, gunakan ini.
  • zip – Ini juga akan mengekstrak file.jar karena menggunakan format yang serupa. Dokumen Open Office hanyalah file XML zip sehingga mereka juga diekstraksi. Ini termasuk SXW, SXC, SXI dan SX? untuk file OpenOffice yang belum ditentukan. File Office 2007 juga berbasis XML (PPTX, DOCX, XLSX)
  • jarang
  • htm
  • cpp – Deteksi kode sumber C, perhatikan ini primitif dan dapat menghasilkan dokumen selain kode C.
  • mp4 – Dukungan untuk file MP4.
  • all – Jalankan semua metode ekstraksi yang telah ditentukan sebelumnya. [Default jika tidak ada -t ditentukan]

Menggunakan Foremost untuk Memulihkan file yang Dihapus

Untuk mendemonstrasikan cara menggunakan Foremost untuk memulihkan file yang dihapus, kita akan menggunakan file PNG sebagai contoh. Di direktori pengujian saya, saya memiliki file berikut;

ls -1 ~/test Selection_005.png

Sebelum melanjutkan, mari kita buat hash MD5 untuk file ini terlebih dahulu dan hapus agar kita dapat mencoba memulihkannya. Kami akan menghitung ulang hash untuk memverifikasi integritas untuk memastikan kami mendapatkan file yang benar.

Hitung hash MD5

Jalankan perintah di bawah ini untuk menghitung hash MD5 untuk file Anda.

cd ~/test md5sum Selection_005.png 790956cca71bce68c478f1bd74df0eda Selection_005.png

Sekarang, mari kita hapus file ini secara permanen.

rm -rf ~/test/Selection_005.png

Memulihkan File yang Dihapus

Sintaks command line untuk yang paling utama adalah;

foremost [-h] [-V] [-d] [-vqwQT] [-b <blocksize>] [-o <dir>] [-t <type>] [-s <num>] [-i <file>]

Di mana;

-V - display copyright information and exit -t - specify file type. (-t jpeg,pdf...) -d - turn on indirect block detection (for UNIX file-systems) -i - specify input file (default is stdin) -a - Write all headers, perform no error detection (corrupted files) -w - Only write the audit file, do not write any detected files to the disk -o - set output directory (defaults to output) -c - set configuration file to use (defaults to foremost.conf) -q - enables quick mode. Search are performed on 512 byte boundaries. -Q - enables quiet mode. Suppress output messages. -v - verbose mode. Logs all messages to screen

Untuk memulainya, kita akan memulihkan beberapa file individual seperti yang ditunjukkan di atas.

Pulihkan file PNG yang Dihapus

Kami menghapus file PNG di atas bernama, Selection_005. Untuk memulihkan file ini, jalankan terutama yang ditunjukkan di bawah ini;

foremost -t png -i /dev/sda1 -o ~/test

Ketika pemulihan selesai, hasilnya ditulis ke direktori ~/test. Di bawah direktori ini, Anda dapat menemukan file bernamaaudit.txt yang menjelaskan semua kegiatan yang dilakukan oleh Foremost dan a png direktori yang menyimpan semua file png yang dipulihkan.

ls testaudit.txt png

Banyak file dapat dipulihkan. Nama file yang dipulihkan tidak cocok dengan nama aslinya. Oleh karena itu, untuk mengidentifikasi file Anda, Anda dapat menggunakan hash MD5. Namun, jika Anda sudah menghapus file sebelum mendapatkan hash, opsi yang layak adalah menjelajahi semua jung yang dipulihkan.

Di atas, kami membuat hash MD5 untuk file kami sebelum menghapusnya. Untuk mengetahui apakah file PNG kami dipulihkan, periksa hash MD5 dari file yang dipulihkan jika ada yang cocok dengan hash file PNG di atas,790956cca71bce68c478f1bd74df0eda.

for i in ls -1 ~/test/png/; do md5sum test/png/$i; done | grep 790956cca71bce68c478f1bd74df0eda 790956cca71bce68c478f1bd74df0eda test/png/08803584.png

Seperti yang Anda lihat, hash MD5 asli untuk salah satu file yang dipulihkan cocok dengan hash MD5 asli untuk file PNG kami.

Jika Anda perlu memulihkan file lain, pastikan untuk membuat direktori keluaran lain atau stempel waktu direktori yang sama menggunakan opsi -T karena Foremost tidak dapat menulis ke direktori yang sebelumnya ditulis ke direktori. Sebagai contoh,

foremost -t pdf -i /dev/sda1 -T -o ~/test

Ini akan menulis output ke direktori pengujian dengan cap waktu sebagai, test_Tue_May_14_16_43_29_2019, Misalnya.

ls ~/test_Tue_May_14_16_43_29_2019/audit.txt pdf

Nah, itulah sedikit yang bisa kami bahas tentang menggunakan Foremost untuk memulihkan file yang terhapus di Ubuntu 18.04. Namun ini berlaku untuk semua distro Linux yang menjalankan Foremost.

Perhatikan juga bahwa ada jaminan 100% bahwa Foremost akan memulihkan semua file Anda yang terhapus. Dalam kasus seperti itu, Anda dapat mempertimbangkan opsi lain. Semoga berhasil. Jangan lupa untuk menjatuhkan komentar Anda.

Ingin membaca tutorial Ubuntu 18.04 lainnya? lihat tautan di bawah ini;

Instal dan Konfigurasikan Logstash 7 di Ubuntu 18/Debian 9.8

Instal dan Konfigurasi Filebeat 7 di Ubuntu 18.04/Debian 9.8

Instal Elastic Stack 7 di Ubuntu 18.04/Debian 9.8

Instal Java 11 di Debian 9.8/Ubuntu 18.04

Instal dan Atur Lansekap di Ubuntu 18.04

Cara Menginstal dan Menggunakan VeraCrypt untuk Mengenkripsi Drive di Ubuntu 18.04