martes, 1 de noviembre de 2011

Recuperar archivos borrados con foremost


Foremost es un programa de consola para recuperar archivos basados ​​en sus cabeceras, pies de página, y estructuras de datos internas. Este proceso se conoce comúnmente como la talla de los datos. Todo se puede trabajar con archivos de imagen, tales como los generados por dd, SafeBack, EnCase, etc, o directamente en un disco. Los encabezados y pies de página se puede especificar un archivo de configuración o puede usar los interruptores de línea de comandos para especificar incorporado en los tipos de archivo. Estos tipos built-in vistazo a las estructuras de datos de un formato de archivo dado que permite una recuperación más rápidas y fiables.

Instalacion de foremost

Slackware 13.37:

NOTA 0: Usando Slapget

# slapt-get --install foremost


Ayuda de Foremost:

Ejecutarlo por primera vez para ver su ayuda


#foremost -h

Caso de uso:

Recuperar de una USB de 4GB unos archivos .ppt que fueron borrados accidentalmente.


Solución:


1ro: Sacar la imagen de la USB:

#dd if=/dev/sdc1 of=img_usb.dd


2do: Iniciar la recuperacion de archivos:

#foremost -t ppt -av img_usb.dd -o tmp/


Al terminar, se crearan carpetas dentro de tmp, las cuales indica el tipo de archivos que recuperó, en nuestro caso los ppt.


3ro: Revisar todos los archivos .ppt recuperados:

Entrar a la carpeta tmp/ppt y revizar los archivos que recuperó.


NOTA 1: Las opciones -t, -av y -o están en la ayuda de foremost “Unos renglones mas arriba”.


Buscar otro tipo de archivos con foremost


#foremost -t ppt,pdf,avi,exe,doc,docx,png,jpg -av img_usb.dd -o tmp/


Thks !

No hay comentarios:

Publicar un comentario