foremost
Dieser Artikel wurde für die folgenden Ubuntu-Versionen getestet:
Zum Verständnis dieses Artikels sind folgende Seiten hilfreich:
Foremost 
ist ein Konsolenprogrogramm zur Wiederherstellung von Daten anhand deren Headers, Footers bzw. internen Datenstrukturen. Es kann direkt mit Datenträgern umgehen, als auch mit Images, wie man sie z.B. mit dd erstellen kann.
Konfiguration¶
Foremost muss in den meisten Fällen nicht konfiguriert werden, doch es besteht die Möglichkeit z.B. neue Dateitypen hinzuzufügen bzw. anderen zu aktivieren. Dazu öffnet man die Konfigurationsdatei mit einem Texteditor [4], welche sich in /etc/foremost.conf befindet. Diese Datei enthält Informationen für viele einzelne Dateitypen, die nach der Installation alle auskommentiert sind. Für Dateitypen mit dem Hinweis "NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION" ist es nicht notwendig, diese zu aktivieren.
Dabei ist zu beachten, dass wenn man einen Dateityp in der Konfigurationsdatei einkommentiert, immer nach diesem gesucht wird, selbst wenn dieser über den Parameter -t nicht explizit angegeben ist. Möchte man also gezielt nur nach einem bestimmten Dateitypen suchen, sollten alle anderen auskommentiert sein.
Beispiel¶
MP3-Dateien sind standardmäßig deaktiviert, da ein # vorangestellt ist.
#--------------------------------------------------------------------- # SOUND FILES #--------------------------------------------------------------------- # (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION) # wav y 200000 RIFF????WAVE # # Real Audio Files # ra y 1000000 \x2e\x72\x61\xfd # ra y 1000000 .RMF # # asf y 8000000 \x30\x26\xB2\x75\x8E\x66\xCF\x11\xA6\xD9\x00\xAA\x00\x62\xCE\x6C # # wmv y 20000000 \x30\x26\xB2\x75\x8E\x66\xCF\x11\xA6\xD9\x00\xAA\x00\x62\xCE\x6C # # wma y 8000000 \x30\x26\xB2\x75 \x00\x00\x00\xFF # # wma y 8000000 \x30\x26\xB2\x75 \x52\x9A\x12\x46 # # mp3 y 8000000 \xFF\xFB??\x44\x00\x00 # mp3 y 8000000 \x57\x41\x56\45 \x00\x00\xFF\ # mp3 y 8000000 \xFF\xFB\xD0\ \xD1\x35\x51\xCC\ # mp3 y 8000000 \x49\x44\x33\ # mp3 y 8000000 \x4C\x41\x4D\x45\
Wenn MP3 Dateien wiederhergestellt werden sollen, muss man die # vor den entsprechenden Zeilen entfernen, also so:
# wma y 8000000 \x30\x26\xB2\x75 \x00\x00\x00\xFF # # wma y 8000000 \x30\x26\xB2\x75 \x52\x9A\x12\x46 # mp3 y 8000000 \xFF\xFB??\x44\x00\x00 mp3 y 8000000 \x57\x41\x56\45 \x00\x00\xFF\ mp3 y 8000000 \xFF\xFB\xD0\ \xD1\x35\x51\xCC\ mp3 y 8000000 \x49\x44\x33\ mp3 y 8000000 \x4C\x41\x4D\x45\
Entsprechend verhält es sich bei anderen Dateitypen.
Benutzung¶
Achtung!
erzeugt werden.
Datenträgerabbilder¶
Foremost kann Datenträgerabbilder bzw. Image-Dateien nach noch vorhandenen Daten durchsuchen. Dazu führt man folgenden Befehl im Terminal aus[3]:
sudo foremost -t all -i /pfad/zum/Datenträgerabbild
Dabei bewirkt -t all, dass versucht wird alle Dateitypen wiederherzustellen. Eine vollständige Liste der Parameter erhält man mit
foremost -h
reale Datenträger¶
Natürlich kann foremost nicht nur mit Datenträgerabbildern umgehen, sondern auch auf die reale Festplatte zugreifen. Man führt z.B. folgenden Befehl aus:
sudo foremost -t all -i /dev/sda1
Die Datenträgerangabe "/dev/sda1" muss entsprechend angepasst werden.
Die wiederhergestellten Daten befinden sich im Ordner output des aktuellen Verzeichnisses, welcher für jeden Dateitypen einen Unterordner enthält.
-
Inyoka unter der Haube
Inyoka v0.0.18 (Fehler in Inyoka melden) -
Zur mobilen Version
2004 – 2011 ubuntuusers.de • Einige Rechte vorbehalten
CC • Lizenz • Kontakt • Datenschutz • Impressum -
Serverhousing gespendet von
