[[Vorlage(Getestet, bionic)]] {{{#!vorlage Wissen [:Pakete_installieren: Installation von Programmen] [:Editor: Einen Editor öffnen] [:sudo: Root-Rechte erlangen] [:Terminal: Ein Terminal öffnen] }}} [[Inhaltsverzeichnis(1)]] [[Bild(Wiki/Icons/terminal.png, 48, align=left)]] [sourceforge2:foremost:Foremost] {en} ist ein Kommandozeilenprogramm zur Wiederherstellung von Daten anhand deren Header, Footer oder internen Datenstrukturen. Man spricht hierbei auch von [wikipedia:Carving_(Datenrettung):Carving]. Foremost kann sowohl mit Datenträgern als auch mit Abbildern (Images) umgehen. Die Abbilder können z.B. mit [:Shell/dd:dd] oder [:gddrescue:dd_rescue] erstellen werden. = Installation = Folgendes Paket muss installiert [1] werden: {{{#!vorlage Paketinstallation foremost, universe }}} = Benutzung = {{{#!vorlage Warnung Bevor man mit Foremost Daten wiederherstellen will, sollte man unbedingt eine 1:1-Kopie des Datenträgers erstellen und damit arbeiten, um weiteren Datenverlust vorzubeugen. Ein Abbild des Datenträgers kann mit [:Shell/dd: dd] oder besser mit [:gddrescue:dd_rescue] erzeugt werden. }}} == Datenträgerabbilder == Foremost kann Datenträgerabbilder bzw. Image-Dateien nach noch vorhandenen Daten durchsuchen. Dazu führt man folgenden Befehl im Terminal aus[4]: {{{#!vorlage Befehl foremost -t all -i /Pfad/zum/Datenträgerabbild }}} Mit `-t all` wird versucht, alle Dateitypen wiederherzustellen. Eine vollständige Liste der Parameter erhält man mit: {{{#!vorlage Befehl foremost -h }}} == Reale Datenträger == Natürlich kann Foremost nicht nur mit Datenträgerabbildern umgehen, sondern auch auf die reale Festplatte zugreifen. Man führt z.B. folgenden Befehl aus: {{{#!vorlage Befehl sudo foremost -t all -i /dev/sda1 }}} Die Datenträgerangabe `/dev/sda1` muss entsprechend angepasst werden. Die wiederhergestellten Daten befinden sich im Ordner `output` des aktuellen Verzeichnisses, welcher für jeden Dateitypen einen Unterordner enthält. == Konfiguration == Foremost muss in den meisten Fällen nicht konfiguriert werden. Allerdings besteht die Möglichkeit, um z.B. neue Dateitypen hinzuzufügen oder andere zu aktivieren. Dazu öffnet man die Konfigurationsdatei `/etc/foremost.conf` mit einem Texteditor [2] und Root-Rechten [3]. Diese Datei enthält Informationen für viele einzelne Dateitypen, die nach der Installation alle auskommentiert sind. Für Dateitypen mit dem Hinweis „`NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION`“ ist es nicht notwendig, diese zu aktivieren. Dabei ist zu beachten, dass nach einem einkommentierten Dateityp immer gesucht wird – selbst wenn dieser über den Parameter `-t` nicht explizit angegeben ist. Möchte man also gezielt nur nach einem bestimmten Dateitypen suchen, sollten alle anderen auskommentiert sein. === Beispiel === MP3-Dateien sind standardmäßig deaktiviert, da ein `#` vorangestellt ist. {{{ #--------------------------------------------------------------------- # SOUND FILES #--------------------------------------------------------------------- # (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION) # wav y 200000 RIFF????WAVE # # Real Audio Files # ra y 1000000 \x2e\x72\x61\xfd # ra y 1000000 .RMF # # asf y 8000000 \x30\x26\xB2\x75\x8E\x66\xCF\x11\xA6\xD9\x00\xAA\x00\x62\xCE\x6C # # wmv y 20000000 \x30\x26\xB2\x75\x8E\x66\xCF\x11\xA6\xD9\x00\xAA\x00\x62\xCE\x6C # # wma y 8000000 \x30\x26\xB2\x75 \x00\x00\x00\xFF # # wma y 8000000 \x30\x26\xB2\x75 \x52\x9A\x12\x46 # # mp3 y 8000000 \xFF\xFB??\x44\x00\x00 # mp3 y 8000000 \x57\x41\x56\45 \x00\x00\xFF\ # mp3 y 8000000 \xFF\xFB\xD0\ \xD1\x35\x51\xCC\ # mp3 y 8000000 \x49\x44\x33\ # mp3 y 8000000 \x4C\x41\x4D\x45\ }}} Wenn MP3 Dateien wiederhergestellt werden sollen, muss man die `#` vor den entsprechenden Zeilen entfernen, also so: {{{ # wma y 8000000 \x30\x26\xB2\x75 \x00\x00\x00\xFF # # wma y 8000000 \x30\x26\xB2\x75 \x52\x9A\x12\x46 # mp3 y 8000000 \xFF\xFB??\x44\x00\x00 mp3 y 8000000 \x57\x41\x56\45 \x00\x00\xFF\ mp3 y 8000000 \xFF\xFB\xD0\ \xD1\x35\x51\xCC\ mp3 y 8000000 \x49\x44\x33\ mp3 y 8000000 \x4C\x41\x4D\x45\ }}} Entsprechend verhält es sich bei anderen Dateitypen. = Links = * [sourceforge2:foremost:Projektseite] {en} * [man:foremost:Manpage] {en} * [http://www.ubuntugeek.com/recover-deleted-files-with-foremostscalpel-in-ubuntu.html Recover Deleted Files with Foremost,scalpel in Ubuntu] {en} - Blogeintrag, 09/2008 * [:Datenrettung:] {Übersicht} Übersichtsartikel * [sourceforge2:dftt:Testimages zum Ausprobieren] {en} #tag: Sicherheit, Shell, Datenrettung