Outils pour utilisateurs

Outils du site


foremost

Description

Foremost est un programme en console pour récupérer des fichiers en fonction de leurs headers, footers et des structures de données internes. Ce processus est communément appelé data carving. Foremost peut travailler sur des fichiers image, tels que ceux générés par dd, Safeback, Encase, etc, ou directement sur un disque. Les headers et footers peuvent être spécifiés par un fichier de configuration ou vous pouvez utiliser les options de ligne de commande pour une récupération plus rapide et plus fiable. Quand vous supprimez un fichier, c'est uniquement le pointeur vers celui-ci qui est cassé mais il n'est pas immédiatement re-écrit par d'autres données. Le fichier est donc parfois toujours physiquement présent sur le disque dur.

Pré-requis

Ne surtout pas écraser les fichiers présent sur le disque dur cible, ne plus rien installer dessus, voire même faire une image du disque/partition.

Installation

foremost se trouve dans les dépôt de Kali Linux et de la plupart des distribution GNU/Linux, pour l'installer depuis les dépôts utiliser le gestionnaire de paquets.

apt-get install foremost

Utilisation

Vous trouverez foremost dans le menu forensics de Kali Linux.

Qui vous affichera cette aide.

Vous devez ensuite connaître la partition sur laquelle vous voulez récupérer des fichiers (par exemple /dev/sda1).

Si vous voulez connaitre les fichiers qu'il est possible de récupérer sur votre partition, entre la ligne de commande :

foremost -w -i /dev/sda1 -o /recovery/foremost

Par exemple, pour récupérer des images .jpg supprimées, il faut taper :

foremost -t jpeg -i /dev/sda1

Foremost va alors créer un répertoire nommé “output” dans lequel il placera tous les fichiers récupérés. Évidement, si les images auront commencé à être écrasées, vous récupérerez des demi images mais c'est déjà ça…

Pour connaître les options, vous pouvez regarder dans le man de foremost, et changez ou ajoutez d’autres fonctions.

man foremost

Désinstallation

apt-get purge foremost

Voir aussi

foremost.txt · Dernière modification: 2016/08/24 18:58 (modification externe)