Recuperando dados que você apagou com a ferramenta Foremost no Linux

Bom, nos últimos dias tenho estudado, escrito e pesquisado bastante sobre Segurança da Informação e Pentesting, pois além de me ajudar a ter ideias para o TCC da faculdade, é uma área que me desperta bastante interesse pessoal e profissional.

Veja aqui alguns artigos que fiz sobre Segurança da Informação:

• Boas práticas para a segurança de informação no Linux
• Boas práticas para a segurança de informação no Linux | Parte 2
• Se proteja de programas maliciosos com o Firejail

E, dentre uma dessas pesquisas eu encontrei uma ferramenta que é muito utilizada em forense digital, e que envolve a recuperação de dados.

Trata-se do foremost.

Assim sendo, no artigo de hoje vamos aprender a instalar o foremost e a realizar um scan em um pendrive para averiguar se ele de fato funciona.

**Como instalar o foremost no Linux?

Para Debian e derivados:

$ apt install foremost -y

Para Manjaro e derivados:

$ pacman -S foremost -y

Para CentOS e derivados:

Não está disponível no repositório oficial, logo, temos que baixar o source code aqui.

Obs.: Se você não sabe o que é um source code, veja este artigo que fiz.

Prosseguindo, abra o terminal como root e execute os seguintes comandos:

$ tar xvzf foremost-1.5.5.tar.gz
$ cd foremost-1.5.5
$ make
$ make install
$ echo “export PATH=$PATH:/usr/local/bin” >> /etc/bashrc

Finalizado este processo, finalize a sessão do seu usuário com CTRL+D e inicie novamente.

Como recuperar dados no Linux com foremost?

Primeiro, abra seu terminal como root e vamos identificar qual é o disco que você deseja verificar.

$ fdisk -l

Bom, no meu caso será o pendrive de 16GB que utilizo para uso pessoal, mais especificamente na partição /dev/sdd1.

Veja, abaixo, que no meu pendrive tenho fotos no formato jpg, e ,além disso, existe uma pasta oculta com o nome de .Trash-1000 para onde os arquivos são enviados quando apagados. Vou excluir as fotos e ainda apagar a pasta .Trash-1000 para lhe mostrar que esta pasta não impacta em nada:

Muito bem, agora, vamos garantir que nosso dispositivo não está montado.

$ umount /dev/sdd1

Em seguida, antes de começar a verificar, devemos definir qual o formato de arquivos que estaremos pesquisando. Os formatos suportados de fábrica são: jpg, gif, png, bmp, avi, exe, mpg, wav, riff, wmv, mov, pdf, ole, doc, zip, rar, htm, cpp, mp4. Ou, ainda, você também pode usar a opção all que vai buscar por todos os formatos.

Caso você queira modificar e adicionar outros formatos, pode, também, alterar o arquivo /etc/foremost.conf descomentando a linha do formato desejado.

Então, vamos criar um diretório que irá armazenar as saídas do comando foremost:

$ mkdir foremost

$ cd foremost

E, ainda, rodar o scan:

$ foremost -v -t jpg -i /dev/sdd1

-v irá mostrar detalhes em tempo real.

-t define o tipo de arquivo que no nosso caso será jpg.

-i define o dispositivo que estamos executando o scan.

[][1]

Em seguida, depois de finalizar a recuperação dos dados, uma pasta output será criada. Dentro desta pasta, uma pasta com o nome do formato que você definiu foi criada com os arquivos encontrados dentro.

Veja que, na foto abaixo, eu movi a pasta para o /home do meu usuário e alterei o owner de tudo para mateus:

Então, foi só abrir no modo gráfico e visualizar todas as fotos encontradas:

Bom, este era o artigo de hoje galera. Até a próxima!

Se tiver alguma dúvida ou sugestão de conteúdo, por favor, comente!