Foremost (software)

Foremost é um programa de recuperação de dados forense para Linux usado para recuperar arquivos usando seus cabeçalhos, rodapés e estruturas de dados por meio de um processo conhecido como esculpimento de dados.^[3] Apesar de ser escrito para uso para aplicação da lei, ele está livremente disponível e pode ser usado como uma ferramenta de recuperação de dados geral.^[2]

Foremost
Captura de tela da saída -h (help) do foremost no Xubuntu 11.04
Autor	Agentes Especiais Kris Kendall e Jesse Kornblum do Escritório de Investigações Especiais da Força Aérea dos Estados Unidos
Lançamento	março de 2001 (23 anos)[1]
Versão estável	1.5.7
Escrito em	C[2]
Sistema operacional	Linux
Gênero(s)	Recuperação de dados
Licença	Domínio Público (Governo dos Estados Unidos)O código-fonte está disponível
Tamanho	52.12 KB
Página oficial	foremost.sourceforge.net

História

Foremost foi criado em março de 2001 para duplicar a funcionalidade do programa para DOS CarvThis para uso na plataforma Linux.^[4] Foi originalmente escrito pelos agentes especiais Kris Kendall e Jesse Kornblum do Escritório de Investigações Especiais da Força Aérea dos Estados Unidos. Em 2005, o programa foi modificado por Nick Mikus, um pesquisador associado ao Centro para Estudos e Pesquisas de Segurança de Sistemas de Informação da Escola de Pós-graduação Naval como parte de uma tese de mestrado.^[5] Estas modificações incluíram melhorias à precisão e taxas de extração do Foremost.^[6]

Funcionalidade

O Foremost foi projetado para ignorar o tipo do sistema de arquivos subjacente e ler e copiar porções diretamente da unidade na memória do computador.^[3] Ele pega estas porções por um segmento de cada vez e, usando um processo conhecido como esculpimento de arquivo, busca esta memória por um tipo de cabeçalho de arquivo que corresponda àqueles encontrados no arquivo de configuração do Foremost.^[1] Quando uma correspondência é encontrada, ele escreve este cabeçalho e os dados que o seguem em um arquivo, parando quando um rodapé é encontrado ou até que o limite do tamanho do arquivo seja alcançado.^[4]

O Foremost é usado a partir da interface de linha de comando, sem opção de interface gráfica de usuário disponível.^[7] Ele é capaz de recuperar tipos de arquivos específicos, incluindo jpg, gif, png, bmp, avi, exe, mpg, wav, riff, wmv, mov, pdf, ole, doc, zip, rar, htm, e cpp.^[8] Há um arquivo de configuração (normalmente encontrado em /usr/local/etc/foremost.conf) que pode ser usado para definir tipos de arquivo adicionais.^[9]

Foremost pode ser usado para recuperar dados de arquivos de imagem,^[10] ou diretamente de discos rígidos que usam os sistemas de arquivos ext3, NTFS ou FAT.^[11] Também pode ser usado por meio de um computador para recuperar dados de iPhones.^[12]

O FIDR recuperação de dados iPhone Free, foremost licenciado pela GPL, é destinado a recuperação de dados do iPhone.

Referências

1. Spenneberg, Ralf (2008). «Recovering Deleted Files». Linux Magazine Online. Consultado em 28 de abril de 2012 
2. «Foremost». SourceForge. Consultado em 24 de janeiro de 2012 
3. «Recover Deleted Files with Foremost,scalpel in Ubuntu». Ubuntu Geek. 27 de setembro de 2008. Consultado em 24 de janeiro de 2012 
4. Strubinger, Ray (6 de agosto de 2003). «The Foremost Open Source Forensic Tool». Dr. Dobb's. Consultado em 28 de abril de 2012 
5. «foremost(1) - Linux man page». Consultado em 24 de janeiro de 2012 
6. Mikus, Nicholas (março de 2005). «Thesis - An Analysis of Data Carving Techniques» (PDF). Naval Postgraduate School. 13 páginas. Consultado em 28 de abril de 2012 
7. Bekolay, Trevor (27 de abril de 2010). «Recover Data Like a Forensics Expert Using an Ubuntu Live CD». howtogeek.com. Consultado em 4 de novembro de 2011 
8. Getchell, Abe (2 de novembro de 2010). «Data Recovery on Linux and ext3». Symantec. Consultado em 4 de novembro de 2011 
9. Bergeron, Chris. «Foremost in Data Recovery». thelinuxdoctor.org. Consultado em 6 de fevereiro de 2012 
10. «foremost – Open Source Digital Forensics». Open Source Digital Forensics. Consultado em 24 de janeiro de 2012. Arquivado do original em 26 de novembro de 2010 
11. «DataRecovery - Community Ubuntu Documentation». Ubuntu. Consultado em 24 de janeiro de 2012 
12. Zdziarski, Jonathan (2008). iPhone Forensics. [S.l.]: O'Reilly. pp. 58–62. ISBN 978-0-596-15358-8