Foremost

Foremost, Amerika Hava Kuvvetlerinden Agents Jesse Kornblum ve Kris Kendall tarafından yazılmış bir uygulamadır ve ikili dosya içindeki verileri kurtarmak için kullanılır. dd, Safeback, Encase gibi uygulamalar tarafından oluşturulmuş imaj dosyaları üzerinde çalışabileceği gibi direkt olarak sabit disk sürücüsü üzerinde de çalışabilir.

Bu ikili dosya;

  • İmaj dosyası
  • Swap alanı
  • Unallocated alanların çıkartılmasıyla oluşan dosya

olabilir.

foremost veri kurtarma işlemi sırasında konfigurasyon dosyasında yer alan ve farklı dosya tipleri için ön tanımlı olarak gelen dosya header, footer bilgilerini baz alır. Foremost’un son sürümüne http://foremost.sourceforge.net/ adresinden ulaşılabilir.
Foremost’un kullanım şekli şöyledir.

# foremost -c konfigurasyon_dosyası -o çıktı_dizini  İmageDosyası        

  • -c konfigurasyon_dosyası    Dosya kurtarma sırasında kullanılacak konfigurasyon dosyasını belirtir.
  • -o çıktı_dizini                         Kurtarılan dosyaların nereye yazılacını belirtir.
  • -q                                                              Hızlı mod olarak bilinir ve sadece sektörlerin başlangıcına bakılır.

Çıktı dizininde kurtarılan dosyaların yanında audit.txt isimli bir dosya da bulunur. Bu dosyada kurtarılan dosyanın ilgili imaj dosyası içindeki byte offset bilgisi yer alır.

Foremost.conf Dosyası

Foremost tarafından kullanılan konfigurasyon dosyası foremost.conf dosyasıdır ve bu dosya genellikle /usr/local/etc dizini altında yer alır. Bu dosya içinde yer alan satırlardan foremost tarafından imaj içinde aranmasını istediğiniz dosya türüne ait satırların başındaki # işaretini kaldırmamız gerekiyor.

Örneğin aşağıdaki konfigurasyon dosyasında png ve bmp türünde dosyaların kurtarılması sağlayacak bir konfigurasyon örneği yer alıyor.
foremost-conf1
Aşağıdaki ekran görüntüsünde foremost.conf dosyasında yer alan iki satır üzerinden bu satırlardaki alanların ne anlama geldiği anlatılmıştır.
foremost-conf-2
Burada şu noktanın altını özellikle çizmek istiyorum. Medya dosyaları için yapılan tanımlardaki maksimum dosya boyutu kısmına dikkat etmeniz gerekiyor. Silinmiş dosyanın boyutu çok büyükse foremost gözden kaçırabilir.
Foremost’u bir konfigurasyon dosyası kullanmadan da çalıştırabiliriz. –t parametresi ile kurtarılacak dosyaların tipini belirtmemiz yeterli. Örneğin;
#foremost -t gif,pdf -i image.dd
Aşağıdaki ekran görüntüsünde foremost’un çalıştırılmasını görebilirsiniz. Foremost çalıştırıldıktan sonra imaj dosyası içinden kurtardığı dosyaları her bir dosya türü için oluşturduğu bir alt dizine saklar.
foremost-conf-3
Foremost çalıştırıldığında output dizininde audit.txt isimli bir dosya oluşturur. Bu dosya içinde foremost’un gerçekleştirdiği işlemlere ilişkin detaylar yer alır. Örnek bir audit.txt dosyasının içeriği aşağıda gösterilmiştir.
foremost-conf-4
Derleyen ve yazan: Halil Öztürkci / penttest tools. net’ten alıntıdır.
Reklamlar

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Google+ fotoğrafı

Google+ hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Connecting to %s