foremost

Dieser Artikel wurde für die folgenden Ubuntu-Versionen getestet:

Zum Verständnis dieses Artikels sind folgende Seiten hilfreich:

  1. Installation von Programmen

  2. Einen Editor öffnen

  3. Root-Rechte erlangen

  4. Ein Terminal öffnen

Inhaltsverzeichnis
  1. Installation
  2. Benutzung
  3. Links

Wiki/Icons/terminal.png Foremost 🇬🇧 ist ein Kommandozeilenprogramm zur Wiederherstellung von Daten anhand deren Header, Footer oder internen Datenstrukturen. Man spricht hierbei auch von Carving. Foremost kann sowohl mit Datenträgern als auch mit Abbildern (Images) umgehen. Die Abbilder können z.B. mit dd oder dd_rescue erstellen werden.

Installation

Folgendes Paket muss installiert [1] werden:

Paketliste zum Kopieren:

sudo apt-get install foremost 

Oder mit apturl die Pakete installieren. Link: apt://foremost

Benutzung

Achtung!

Bevor man mit Foremost Daten wiederherstellen will, sollte man unbedingt eine 1:1-Kopie des Datenträgers erstellen und damit arbeiten, um weiteren Datenverlust vorzubeugen. Ein Abbild des Datenträgers kann mit dd oder besser mit dd_rescue erzeugt werden.

Datenträgerabbilder

Foremost kann Datenträgerabbilder bzw. Image-Dateien nach noch vorhandenen Daten durchsuchen. Dazu führt man folgenden Befehl im Terminal aus[4]:

foremost -t all -i /Pfad/zum/Datenträgerabbild 

Mit -t all wird versucht, alle Dateitypen wiederherzustellen. Eine vollständige Liste der Parameter erhält man mit:

foremost -h 

Reale Datenträger

Natürlich kann Foremost nicht nur mit Datenträgerabbildern umgehen, sondern auch auf die reale Festplatte zugreifen. Man führt z.B. folgenden Befehl aus:

sudo foremost -t all -i /dev/sda1 

Die Datenträgerangabe /dev/sda1 muss entsprechend angepasst werden.

Die wiederhergestellten Daten befinden sich im Ordner output des aktuellen Verzeichnisses, welcher für jeden Dateitypen einen Unterordner enthält.

Konfiguration

Foremost muss in den meisten Fällen nicht konfiguriert werden. Allerdings besteht die Möglichkeit, um z.B. neue Dateitypen hinzuzufügen oder andere zu aktivieren. Dazu öffnet man die Konfigurationsdatei /etc/foremost.conf mit einem Texteditor [2] und Root-Rechten [3]. Diese Datei enthält Informationen für viele einzelne Dateitypen, die nach der Installation alle auskommentiert sind. Für Dateitypen mit dem Hinweis „NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION“ ist es nicht notwendig, diese zu aktivieren.

Dabei ist zu beachten, dass nach einem einkommentierten Dateityp immer gesucht wird – selbst wenn dieser über den Parameter -t nicht explizit angegeben ist. Möchte man also gezielt nur nach einem bestimmten Dateitypen suchen, sollten alle anderen auskommentiert sein.

Beispiel

MP3-Dateien sind standardmäßig deaktiviert, da ein # vorangestellt ist.

#---------------------------------------------------------------------	
# SOUND FILES
#---------------------------------------------------------------------	
#	(NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
#	wav     y	200000	RIFF????WAVE
#
# Real Audio Files
#	ra	y	1000000	\x2e\x72\x61\xfd
#	ra	y	1000000	.RMF
#
#	asf     y       8000000	 \x30\x26\xB2\x75\x8E\x66\xCF\x11\xA6\xD9\x00\xAA\x00\x62\xCE\x6C
#
#	wmv     y       20000000 \x30\x26\xB2\x75\x8E\x66\xCF\x11\xA6\xD9\x00\xAA\x00\x62\xCE\x6C
#
#	wma     y       8000000  \x30\x26\xB2\x75    \x00\x00\x00\xFF
#
#	wma     y       8000000  \x30\x26\xB2\x75    \x52\x9A\x12\x46
#
#	mp3     y    	8000000 \xFF\xFB??\x44\x00\x00
#	mp3     y    	8000000 \x57\x41\x56\45            \x00\x00\xFF\
#	mp3     y    	8000000 \xFF\xFB\xD0\            \xD1\x35\x51\xCC\
#	mp3     y    	8000000 \x49\x44\x33\
#	mp3     y    	8000000 \x4C\x41\x4D\x45\

Wenn MP3 Dateien wiederhergestellt werden sollen, muss man die # vor den entsprechenden Zeilen entfernen, also so:

#	wma     y       8000000  \x30\x26\xB2\x75    \x00\x00\x00\xFF
#
#	wma     y       8000000  \x30\x26\xB2\x75    \x52\x9A\x12\x46
#
	mp3     y    	8000000 \xFF\xFB??\x44\x00\x00
	mp3     y    	8000000 \x57\x41\x56\45            \x00\x00\xFF\
	mp3     y    	8000000 \xFF\xFB\xD0\            \xD1\x35\x51\xCC\
	mp3     y    	8000000 \x49\x44\x33\
	mp3     y    	8000000 \x4C\x41\x4D\x45\

Entsprechend verhält es sich bei anderen Dateitypen.