بازیابی ‌‌فایل‌ها‌‌ در‌ لینوکس‌

Foremost و Scalpel دو ابزاری هستند که در بازیابی فایل‌ها به‌کار می‌آیند. این دو ابزار به سیستم‌فایل وابسته نیستند. شیوه کار این نرم‌افزارها به این صورت است که به دنبال بلاک‌های داده‌ای که پشت هم در محل قابل جستجو وجود دارد، می‌گردند.

فایل‌های dd، RAM یاswap را می‌گردد. کاروینگ (حفاری(Carvin: به شناسایی فایل‌ها در سیستم ‌فایل‌های خراب شده، یا حتا بعد از نصب سیستم عامل جدید به شرطی که بلاک‌های فایل هنوز به صورت فیزیکی وجود داشته باشد، قابل بازیابی است.

Foremost برنامه کنسولی است که برای بازیابی به سرآیند( Header) ، پس‌آیند( Footer) و ساختار داده داخلی آن توجه می‌کند. به این روش معمولا حفاری داده(Data Carving) می‌گویندHeader .ها وFooterها را می‌توان در فایل‌های پیکربندی تعریف کرد یا هنگام اجرای دستور، سوئیچ‌شان را فعال کرد. شیو‌ه نخست به خاطر استفاده کامل از ساختارهای داده قالب فایل مورد بازیابی، امکان بازیابی مطمئن‌تر و سریع‌تری مهیا می‌کند.

نصب Foremost در اوبونتو

دستور زیر را در ترمینال تایپ کنید:

sudo aptitude install foremost

عملیات نصب انجام می شود.

استفاده ازForemost

گرامر Foremost به این صورت است:

foremost ]-h[

]-V[ ]-d[]-vqwQT[

[<-b>blocksize]

[<-o>dir<[]-t> type]

[<-s[>num<[ ]-i>file]

انتخاب‌هایی که موقع اجرای این دستور می‌توان داشت:

-h صفحه کمک‌رسانی (Help) را باز می‌کند.

-V اطلاعات کپی‌رایت را نشان می‌دهد.

-d شناسایی غیرمستقیم بلاک را روشن می‌کند، در فایل سیستم‌های یونیکسی عالی جواب می‌دهد.

-T دایرکتوری نتیجه را با زمان نام‌گذاری می‌کند، برای همین هر دفعه دایرکتوری جدیدی ایجاد می‌شود و نیاز به حذف محتویات دایرکتوری قبلی نیست.

-v وضعیت وراجی(Verbose) را فعال می‌کند. در این حالت تمامی اطلاعات مرتبط با وضعیت جاری دستور در صفحه نمایش نشان داده می‌شود.

-q حالت سریع (Quick) فعال می‌شود. در حالت سریع تنها ابتدای هر سکتور برای یافتن سرآیندها بررسی می‌شود که در این حالت سرآیند فقط تا طول بلندترین سرآیند جستجو می‌شود. بقیه سکتور، که عموما حدود 500 بایت است نادیده گرفته می‌شود. این حالت باعث می‌شود تا foremost به‌طور چشمگیری سریع‌تر اجرا شود، اما ممکن است فایل‌هایی که در فایل‌های دیگر جاسازی شده‌اند را پیدا نکند. مثلا نمی‌توان فایل‌هایJPEGای را که در پرونده‌هایWord مایکروسافت وجود دارد پیدا کرد.

وقتی با NTFS سر و کار دارید، نباید از حالت سریع استفاده کرد چون NTFS فایل‌های کوچک را داخل جدول فایل اصلی می‌گذارد و این فایل‌ها در حالت سریع نادیده گرفته می‌شوند.

- Q حالت ساکت فعال می‌شود. بیشتر پیغام‌های خطا نشان داده نمی‌شود.

‌َ- bتعدادی بلاک‌هایی که در‌foremost مجازند به کار گرفته شوند. این مورد وابسته به نام‌گذاری‌ها و جستجوهاست. عدد پیش‌فرض 512 است. این‌طور به آن مقدار می‌دهند: 1024-b

-k حجم تکه‌های مورد استفاده در foremost اگر حافظه اصلی کافی دارید، در این صورت این دستور می‌تواند با جا دادنimage مورد جستجو در خود، سرعت را بهبود ببخشد و عملیات بررسی بافر را که زمانبر است، دیگر انجام نمی‌دهد. برای مثال اگر شما بیشتر از 500 مگابایت حافظه داشته باشید، در این صورت این انتخاب به کارتان می‌آید. 500- k

-i فایل را به آن می‌دهند. اگر فایلی به دستور داده نشود یا فایل خوانده نشود، در این صورت stdin مورد استفاده قرار می‌گیرد.

-o directory فایل‌های بازیافتی به این دایرکتوری ریخته می‌شوند.

-c file فایل پیکربندی را تنظیم می‌کند. اگر هیچ فایلی انتخاب نشود، در این صورت فایل foremost.conf از دایرکتوری جاری مورد استفاده قرار می‌گیرد، اگر آن هم وجود نداشته باشد، در این صورتetc/foremost.conf مورد استفاده قرار می‌گیرد. شیوه نوشتن فایل پیکربندی در فایل پیش‌فرض آن توضیح داده شده است.

‌َ‌-s- قبل از شروع جستجو برای سرآیندها، این تعداد بلاک را رد می‌کند.

مثلا512 215-t jpeg-i/dev/hdal foremost- بلاک اول را رد می‌کند.

چند مثال:

جستجوی تمام انواع فایل:

sudo foremost t all i image.dd

جستجوی فایل‌های gif و:pdf

sudo foremost -t gif,pdf -i image.dd

جستجو به دنبال فایل‌های Office و فایل‌های jpeg در سیستم فایل یونیکس با حالتVerbose:

sudo foremost -v

-t ole,jpeg -i image.dd

اجرای حالت پیش فرض:

sudo foremost image.dd

image.dd یعنی شما باید مسیر دیسک سخت را وارد کنید. مانند/ 1dev/sda یا /1dev/hda یا به همین ترتیب