InformationSecurityPro
Marcos Henrique
Recuperar dados usando foremost
O foremost é uma ferramenta de recuperação de arquivos desenvolvido por dois agentes especiais do grupo de investigações da Força Aérea dos Estados Unidos o agente Kris Kendall e Jese Komblum e foi foi modificado por um pesquisador naval chamado Nick Mikus que tornou a ferramente ainda mais eficiente.
Como pode observar este Pendrive de 2 GB esta vazio pois todos os arquivos foram apagados.
Vamos iniciar o processo de Recuperação dos Dados.
01 - Passo
Crie um diretório para armazenar os arquivos recuperados.
Linuxmkdir recuperar cd recuperar/
02 - Passo
Execute o comando fdisk -l para certificar que o Pendrive esta conectado.
Linuxfdisk -l
Observe a coluna Device Boot : /dev/sdb1
03 - Passo
Execute o comando foremost -h para conhecer as opções de ajuda.
Linuxforemost -h
04 - Passo
Execute o comando foremost com as seguintes opções:
-T : Especifica a saída padrão (stdin).
-t : Informe os tipo(s) de arquivos que devem ser recuperados exemplo: -t jpg,png.
-i : Informe o arquivo/dispositivo de saída.
Aguarde o processo de recuperação.
foremost -T -t jpg,png -i /dev/sdb1
05 - Passo
Um diretório com os arquivos recuperados serão criados output_DiaDaSemana_Mês_Dia_Hora_Minuto_Segundo_Ano no exemplo output_Sat_Jul_27_12_15_14_2013.
Linuxls -l cd output_Sat_Jul_27_12_15_14_2013/ ls -l
06 - Passo
Visualizar o arquivo audit.txt que contem um relatório com todos os arquivos que foram recuperados.
Linuxcat audit.txt
07 - Passo
Foram recuperados 6 arquivos .jpg e 33 arquivos .png.
08 - Passo
Conteúdo do diretório jpg.
09 - Passo
Conteúdo do diretório png.
São Paulo/SP
