Rescate de datos en Linux con Foremost
Quien más quien menos ha tenido un despiste y ha borrado lo que no debía. En fin, esta entrada es encontrar la solución a este inconveniente. Para ello hablamos de la herramienta Foremost, una herramienta forense especializada en la recuperación de información borrada.
Sin duda Foremost nos puede ser de gran ayuda, como herramienta de línea de comandos, que nos permite recuperar información de discos duros, dispositivos externos, como USB o tarjetas SD.
La herramienta fue desarrollada originalmente por el gobierno de los Estados Unidos, tal y como indica en su página de man. Aún así esta liberada utilizando una licencia de software libre.
Su diseño está inspirado en un programa llamado CarvThis, original de MS-DOS, escrito en el Laboratorio Forense de Informática de Defensa en el año 1999
¿Cómo funciona Foremost?
La herramienta hace uso de una técnica llamada data mining, que recupera los elementos utilizando sus encabezados, pies de página y escritura interno de estos, lo que permite recuperar un largo lista de formatos, que por defecto son:
jpg, gif, png, bmp, avi, tiff, mp4, exe, mpg, wav, asf, wma, mp3,
fws, riff, wmv, mov, pdf, ole, doc, docx, xls, xlsx. ppt, pptx, zip,rar, html, cpp, java, art,pst, ost, dbx, idx, mbx, wpc, pgp, txt,
rpm, dat, etc.
Si deseamos añadir más formatos, una vez instalada, debemos modificar el fichero de configuración ubicado en «/etc/foremost.conf»
Instalación de Foremost en GNU/Linux
La herramienta está disponible a través del repositorio Repoforge.org para sistemas con paquetería RPM. En Debian y derivados como Ubuntu o Linux Mint, tenemos la herramienta en los repositorios oficiales.
La instalación en Debian, Ubuntu y derivados
sudo apt-get install foremost
Para habilitar el repositorio en nuestro Centos 7:
rpm -Uvh \http://repository.it4i.cz/mirrors/repoforge/redhat/el7/en/x86_64/rpmforge/RPMS/rpmforge-release-0.5.3-1.el7.rf.x86_64.rpm
Actualizamos e instalamos:
apt update
yum install foremost
Trabajando con Foremost
Para recuperar los ficheros deberemos utilizar el siguiente formato: primero el tipo de fichero (aunque no es imprescindible), después la partición donde estaban ubicados los ficheros y por último el lugar donde los queremos recuperar:
foremost -v -t jpg -i /dev/sdb1 -o /Recuper
La carpeta donde queremos que se ubique la información recuperada debe de estar vacía antes de lanzar el comando. Además, se recomienda que esté en un disco separado.
La información, una vez recuperada se encontrará en una subcarpeta, en el caso de nuestro ejemplo llamada “jpg»
Muestra de uso de Foremost
Una vez finalizado el proceso:
Fin del proceso de recuperación
Una vez finalizado el proceso, podemos ver las imágenes recuperadas:
Imágenes en formato JPG recuperadas con Foremost
Conclusión
Un programa más para nuestra caja de herramientas para sistemas GNU/Linux. La verdad es que sorprende la información que pueda llegar a recuperar.
No quiero dejar de mencionar otras webs que me he encontrado en el camino, buscando información de esta herramienta, muchas de ellas colegas, como Lamiradadelreplicante.com
Buenos días. Yo tengo un problema. Compre un portátil con Endless preinstalado y, el problema es que solo se puede instalar los programas que trae Endless por defecto. ¿Habría alguna manera de poder instalar Foremos?
Gracias y perdón por las molestias.
Cordiales saludos desde Cádiz. España.
Hola Juan Jose,
Por lo que he podido leer Endless OS funciona únicamente con paquetes Flatpack. He echado un vistazo a Flathub y no he encontrado ninguna referencia a Foremost.
Mira la nota al respecto en la web del proyecto Endless:
https://support.endlessm.com/hc/es/articles/115000097483–Por-qu%C3%A9-no-puedo-usar-los-comandos-apt-get-dpkg-dnf-o-rpm-
Y si quieres consultar Flathub:
https://flathub.org/home
Quizás algún otro usuario te pueda ayudar.
Saludos
Buenos días. Le agradezco mucho su respuesta y las sugerencias. Miraré haber si hay algún modo de poder instalarlo. Le estoy muy agradecido.
Cordiales saludos. Desde Cádiz. España.
Mejor que PhotoRec? siempre que recupero archivos me hago las mismas preguntas…. estaré utlizando el mejor? uno me recuperará x+y y otro x + z ??? ?
Gracias por los artículos ?
Hola colega,
No he probado PhotoRec, por lo que no te puedo decir. Quizás en otro artículo…
Saludos!!
Gracias por este artículo, tengo información que recuperar, borrada por un «amigo» intencionalmente.