Comment récupérer les fichiers supprimés avec avant tout sur Linux

Dans cet article, nous parlerons de avant toute chose, Un utilitaire médico-légal open source très utile qui est capable de récupérer des fichiers supprimés à l'aide de la technique appelée sculpture de données. L'utilitaire a été initialement développé par le United States Force Office of Special Investigations et est en mesure de récupérer plusieurs types de fichiers (la prise en charge de types de fichiers spécifiques peut être ajoutée par l'utilisateur, via le fichier de configuration). Le programme peut également fonctionner sur des images de partition produites par DD ou des outils similaires.

Dans ce tutoriel, vous apprendrez:

• Comment installer avant tout
• Comment utiliser avant tout pour récupérer les fichiers supprimés
• Comment ajouter la prise en charge d'un type de fichier spécifique

Le plus important est un programme de récupération de données médico-légaux pour Linux utilisé pour récupérer des fichiers à l'aide de leurs en-têtes, de leur pied de page et de leurs structures de données via un processus connu sous le nom de sculpture de fichiers.

Exigences et conventions logicielles utilisées

Exigences logicielles et conventions de ligne de commande Linux

Catégorie	Exigences, conventions ou version logicielle utilisée
Système	Indépendant de la distribution
Logiciel	Le programme «avant tout»
Autre	Familiarité avec l'interface de ligne de commande
Conventions	# - Exige que les commandes Linux soient exécutées avec des privilèges racine soit directement en tant qu'utilisateur racine, soit par l'utilisation de Sudo commande $ - Exige que les commandes Linux soient exécutées en tant qu'utilisateur non privilégié régulier

Installation

Depuis avant toute chose est déjà présent dans tous les principaux référentiels de distribution Linux, l'installer est une tâche très facile. Tout ce que nous avons à faire est d'utiliser notre gestionnaire de packages de distribution préféré. Sur Debian et Ubuntu, nous pouvons utiliser apte:

$ sudo apt installer avant tout

Dans les versions récentes de Fedora, nous utilisons le DNF Gestionnaire de packages pour installer des packages, le DNF est un successeur de Miam. Le nom du package est le même:

$ sudo dnf installer avant tout

Si nous utilisons Archlinux, nous pouvons utiliser Pac-Man à installer avant toute chose. Le programme se trouve dans le référentiel «communautaire» de distribution:

$ sudo pacman -s avant tout

---

---

Utilisation de base

AVERTISSEMENT
Peu importe l'outil de récupération de fichiers ou le traitement que vous allez utiliser pour récupérer vos fichiers, avant de commencer, il est recommandé d'effectuer un disque dur ou une sauvegarde de partition de bas niveau, en évitant ainsi un écrasement de données accidentelles !!! Dans ce cas, vous pouvez réessayer pour récupérer vos fichiers même après une tentative de récupération infructueuse. Vérifiez le guide de commande DD suivant sur la façon d'effectuer une sauvegarde de bas niveau du disque dur ou de partition.

Le avant toute chose Utility essaie de récupérer et de reconstruire des fichiers sur la base de leurs en-têtes, pieds de page et structures de données, sans compter sur métadonnées du système de fichiers. Cette technique médico-légale est connue sous le nom sculpture de fichiers. Le programme prend en charge divers types de fichiers, comme par exemple:

• jpg
• gif
• PNG
• BMP
• avi
• exe
• MPG
• wav
• riff
• WMV
• se déplacer
• pdf
• ole
• doc
• zipper
• rare
• htm
• cpp

La façon la plus élémentaire d'utiliser avant toute chose est en fournissant une source pour rechercher des fichiers supprimés (il peut s'agir d'une partition ou d'un fichier image, comme ceux générés avec dd). Voyons un exemple. Imaginez que nous voulons scanner le / dev / sdb1 Partition: Avant de commencer, une chose très importante à retenir est de ne jamais stocker des données récupérées sur la même partition que nous récupérons les données, pour éviter de remplacer les fichiers de suppression toujours présents sur le périphérique de blocage. La commande que nous exécutrions est:

$ sudo avant tout -i / dev / sdb1

Par défaut, le programme crée un répertoire appelé sortir À l'intérieur du répertoire, nous l'avons lancé et l'utilisons comme destination. À l'intérieur de ce répertoire, un sous-répertoire pour chaque type de fichier pris en charge que nous tentons de récupérer est créé. Chaque répertoire contiendra le type de fichier correspondant obtenu à partir du processus de sculpture de données:

Sortie ├fique.txt ├fique ── MP4 ├fique sxi ├── sxw ├fiques 

Quand avant toute chose complète son travail, les répertoires vides sont supprimés. Seuls ceux contenant des fichiers sont laissés sur le système de fichiers: cela nous a immédiatement su le type de fichiers a été récupéré avec succès. Par défaut, le programme essaie de récupérer tous les types de fichiers pris en charge; Pour restreindre notre recherche, nous pouvons cependant utiliser le -t Option et fournir une liste des types de fichiers que nous voulons récupérer, séparés par une virgule. Dans l'exemple ci-dessous, nous limitons la recherche uniquement à gif et pdf des dossiers:

$ sudo avant tout gif, pdf -i / dev / sdb1

Dans cette vidéo, nous testerons le programme de récupération des données médico-légales Avant toute chose Pour récupérer un seul PNG dossier de / dev / sdb1 partition formatée avec le Ext4 système de fichiers.

---

---

Spécifiant une destination alternative

Comme nous l'avons déjà dit, si une destination n'est pas explicitement déclarée sortir Répertoire à l'intérieur de notre CWD. Et si nous voulons spécifier un chemin alternatif? Tout ce que nous avons à faire est d'utiliser le -o option et fournir ledit chemin comme argument. Si le répertoire spécifié n'existe pas, il est créé; S'il existe mais qu'il n'est pas vide, le programme jette une plainte:

Erreur: / home / egdoc / les données ne sont pas vides Veuillez spécifier un autre répertoire ou exécuter avec -T. 

Pour résoudre le problème, comme suggéré par le programme lui-même, nous pouvons soit utiliser un autre répertoire, soit relancer la commande avec la commande -T option. Si nous utilisons le -T Option, le répertoire de sortie spécifié avec le -o L'option est horodomagie. Cela permet d'exécuter le programme plusieurs fois avec la même destination. Dans notre cas, le répertoire qui serait utilisé pour stocker les fichiers récupérés serait:

/ home / egdoc / data_thu_sep_12_16_32_38_2019

Le fichier de configuration

Le avant toute chose Le fichier de configuration peut être utilisé pour spécifier les formats de fichiers non pris en charge nativement par le programme. À l'intérieur du fichier, nous pouvons trouver plusieurs exemples commentés montrant la syntaxe qui doit être utilisée pour accomplir la tâche. Voici un exemple impliquant le PNG type (les lignes sont commentées car le type de fichier est pris en charge par défaut):

# PNG (utilisé dans les pages Web) # (Remarque Ce format a une fonction d'extraction intégrée) # Png y 200000 \ x50 \ x4e \ x47? \ xff \ xfc \ xfd \ xfe 

Les informations à fournir afin d'ajouter la prise en charge d'un type de fichier, de gauche à droite, séparée par un caractère d'onglet: l'extension de fichier (PNG Dans ce cas), si l'en-tête et le pied de page sont sensibles à la casse (y), la taille maximale du fichier en octets (200000), l'en-tête (\ x50 \ x4e \ x47?) et et le pied de page (\ xff \ xfc \ xfd \ xfe). Seul ce dernier est facultatif et peut être omis.

Si le chemin du fichier de configuration, il n'est pas explicitement fourni avec le -c Option, un fichier nommé avant toute chose.confli est recherché et utilisé, s'il est présent, dans le répertoire de travail actuel. S'il n'est pas trouvé le fichier de configuration par défaut, / etc / avant tout.confli est utilisé à la place.

Ajout de la prise en charge d'un type de fichier

En lisant les exemples fournis dans le fichier de configuration, nous pouvons facilement ajouter la prise en charge d'un nouveau type de fichier. Dans cet exemple, nous ajouterons le support pour flac fichiers audio. Flac (Code audio gratuit sans perte) est un format audio sans perte non propriétaire qui est capable de fournir un audio compressé sans perte de qualité. Tout d'abord, nous savons que l'en-tête de ce type de fichier sous forme hexadécimale est 66 4c 61 43 00 00 00 22 (flac en ASCII), et nous pouvons le vérifier en utilisant un programme comme hexdume Sur un fichier FLAC:

$ hexdump -c blind_guardian_war_of_wrath.Flac | Head 00000000 66 4C 61 43 00 00 00 22 12 00 12 00 00 00 0e 00 | Flac… "… | 00000010 36 F2 0A C4 42 F0 00 4D 04 60 6D 0B 64 36 D7 BD | 6… B… M.'m.D6… | 0000000020 3E 4C 0D 8B C1 46 B6 Fe CD 42 04 00 03 DB 20 00 |> L… F… B… | 00000030 00 00 72 65 66 65 72 65 6E 63 65 20 6C 69 62 46 |… Référence Libf | 00000040 4C 41 43 20 31 2E 33 2E 31 20 32 30 31 34 31 31 | LAC 1.3.1 201411 | 00000050 32 35 21 00 00 00 12 00 00 00 54 49 54 4C 45 3d | 25!… Titre = | 0000000060 57 61 72 20 6F 66 20 57 72 61 74 68 11 00 00 00 | War of Wrath… | 00000070 52 45 4C 45 41 53 45 43 4F 55 4E 54 52 59 3d 44 | ReleaseCountry = D | 00000080 45 0C 00 00 00 54 4F 54 41 4C 44 49 53 43 53 3d | E… TotalDiscs = | 00000090 32 0C 00 00 00 4C 41 42 45 4C 3D 56 69 72 67 69 | 2… Étiquette = Virgi | 

Comme vous pouvez le voir, la signature du fichier est en effet ce à quoi nous nous attendions. Ici, nous supposerons une taille de fichier maximale de 30 Mo, ou 30000000 octets. Ajoutons l'entrée au fichier:

flac y 30000000 \ x66 \ x4c \ x61 \ x43 \ x00 \ x00 \ x00 \ x22

Le bas de page La signature est facultative alors nous ne l'avons pas fourni. Le programme devrait désormais pouvoir récupérer supprimé flac des dossiers. Voyons-le. Pour tester que tout fonctionne comme prévu que j'ai précédemment placé, puis supprimé, un fichier FLAC du / dev / sdb1 partition, puis a procédé à l'exécution de la commande:

$ sudo avant tout -i / dev / sdb1 -o $ home / documents / sortie

Comme prévu, le programme a pu récupérer le fichier FLAC supprimé (c'était le seul fichier sur l'appareil, exprès), bien qu'il l'ait renommé avec une chaîne aléatoire. Le nom de fichier d'origine ne peut pas être récupéré car, comme nous le savons, les métadonnées de fichiers sont contenues dans le système de fichiers, et non dans le fichier lui-même:

/ Home / Egdoc / Documents └fiques.TXT └fique.flac 

---

---

L'audit.Le fichier txt contient des informations sur les actions effectuées par le programme, dans ce cas:

Version la plus importante 1.5.7 par Jesse Kornblum, Kris Kendall et le fichier d'audit Nick Mikus avant tout le 12 sept. Egdoc / Documents / Sortie Fichier de configuration: / etc / avant tout.conf ------------------------------------------------- ----------------- Fichier: / dev / sdb1 Début: jeu 12 septembre 23:47:04 2019 Longueur: 200 Mo (209715200 octets) Nom Nom (BS = 512) Fichier Offset Commentaire 0: 00020482.FLAC 28 MB 10486784 FINITION: Jeu 12 septembre 23:47:04 2019 1 Fichiers extraits Flac: = 1 -------------------------- -------------------------------------- Avant tout terminé le jeu 12 23:47:04 2019 

Conclusion

Dans cet article, nous avons appris à utiliser avant tout, un programme médico-légal capable de récupérer des fichiers supprimés de différents types. Nous avons appris que le programme fonctionne en utilisant une technique appelée sculpture de données, et s'appuie sur des signatures de fichiers pour atteindre son objectif. Nous avons vu un exemple de l'utilisation du programme et nous avons également appris à ajouter la prise en charge d'un type de fichier spécifique en utilisant la syntaxe illustrée dans le fichier de configuration. Pour plus d'informations sur l'utilisation du programme, veuillez consulter sa page manuelle.

Tutoriels Linux connexes:

• Comment partitionner un lecteur sur Linux
• Comment partitionner le lecteur USB en Linux
• Comment manipuler les tables de partition GPT avec Gdisk et Sgdisk…
• Comment récupérer la table de partition dans Linux
• Choses à installer sur Ubuntu 20.04
• Manjaro Linux Windows 10 Double démarrage
• Une introduction à l'automatisation Linux, des outils et des techniques
• Masterring Bash Script Loops
• Clone partition sur Linux
• Comment monter l'image ISO sur Linux