7

Foremost: outil de récupération de fichiers effacés sous Linux

Posted on by fred

Un fichier effacé sur un support est toujours présent, seul son pointeur est cassé. Par conséquant, il est possible de récupérer ce fichier dans la condition où ce dernier ne fut pas écrasé par d’autres données.

Pour pouvoir récupérer ces données, il existe un petit outil en ligne de commande: Foremost.
Cet outil a été développé à l’origine par Defense Computer Forensics Lab en 1999.

Installation de Foremost

  • Sous Debian/Ubuntu:
    • sudo apt-get install foremost
  • Sous Arch Linux/Manjaro(dépôts AUR):
    • yaourt -S foremost

Utilisation de Foremost

Audit

Faire un audit sur la partition pour savoir ce qui peut-être récupéré:

sudo foremost -w -i [partition] -o [destination]
  • -w : activation du mode audit
  • -i : choix de la partition où se trouvent les fichiers effacés.
  • -o : répertoire de destination de l’audit.
Récupération

Récupération de toutes les données effacées:

sudo foremost -t all -i /dev/sda1 -o /media/cleusb/sauv/

La partition /dev/sda1 est à adapter suivant les cas.

Ou choisir que certains types de fichier(jpeg,png et gif):

sudo foremost -t jpeg,png,gif -i /dev/sda1 -o /media/cleusb/sauv/
  • -t : choix du type de fichier.
  • -i : choix de la partition où se trouvent les fichiers effacés.
  • -o : répertoire de destination de la récupération des fichiers effacés. Le répertoire de destination doit être obligatoirement vide.
Exemple de sortie
cat audit.txt

Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus
Audit File

Foremost started at Mon Oct  7 12:49:20 2013
Invocation: foremost -t jpeg,png,gif -i /dev/sda1 -o /home/fred/sauve/
Output directory: /home/fred/sauve
Configuration file: /etc/foremost.conf
------------------------------------------------------------------
File: /dev/sda1
Start: Mon Oct  7 12:49:20 2013
Length: 337 MB (353654784 bytes)

Num      Name (bs=512)         Size      File Offset     Comment

0:      00349988.gif          48 KB       179194278       (8233 x 29811)
Finish: Mon Oct  7 12:49:23 2013

1 FILES EXTRACTED

gif:= 1
------------------------------------------------------------------

Foremost finished at Mon Oct  7 12:49:23 2013
Pour en savoir plus
man foremost

Partager l'article :





fred

"Dire que l'on s'en fiche du droit à la vie privée sous prétexte qu'on a rien à cacher, c'est comme déclarer que l'on se fiche du droit à la liberté d'expression sous prétexte qu'on a rien à dire." Edward Snowden

7 commentaires

  1. A noter qu’il existe les outils testdisk et photorec développés par Christophe grenier qui font exactement la même chose !
    Cocorico !

  2. Salut Polluw!
    Testdisk ne sert pas à récupérer des données effacées… par contre réécriture du MBR, analyse des disques, création d’image, etc…
    Photorec est un outil puissant, qui lui permet de récupérer des données même sur un disque défaillant et pour le coup il serait plus puissant que Foremost!
    Photorec sera un sujet d’article futur…

  3. Pour ajouter le support de plus de types de fichiers éditer /etc/foremost.conf

  5. Bonjour,
    merci du conseil. j’ai lancé un audit sur un disque ntfs windows avec un systeme dessus à partir de mon disque linux Mint :
    sudo foremost -w -i /media/patrinux/COMPAQ_OLD -o /media/patrinux/COMPAQ
    et sa réponse a été ça:
    Processing: stdin
    |
    et depuis plus rien, la main de revient pas et le fichier audit.txt est vide….Que se passe t-il, svp, ceux qui l’ont déjà utilisé?

  7. Salut,
    Pour le fichier source il faut indiquer /dev/sdb (par exemple).

    L.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.