Digit Oktavianto Web Log

Catatan Sampah si Digit

Recovery File Terhapus Menggunakan Foremost

| Comments

Saya sudah pernah membahas Recovery Files menggunakan Scalpel. Anda dapat melihatnya di sini : http://digitoktavianto.web.id/recovery-file-yang-terhapus-recovery-deleted-files.html. Kali ini saya akan membahas menggunaka software yang berbeda, yaitu Foremost.

Foremost adalah salah satu tools yang powerful yang berguna untuk recovery file yang terhapus / mengembalikan data yang terhapus. Pada awalnya Foremost merupakan software yang di develop oleh militer US (Air Force Office of Special Investigation). Foremost merupakan salah satu tools favorit di bidang digital forensic, terutama dalam hal data carving. Kemampuan Foremost dalam mengembalikan data yang sudah terhapus sudah diakui kehebatannya.

Foremost merupakan aplikasi berbasis console yang melakukan recovery file berdasarkan header file, footer file, data struktur data. Foremost dapat bekerja pada image file (.iiso, dll), seperti yang dihasilkan oleh dd, Safeback, Encase, dll, atau langsung pada drive.

Berikut ini step by step instalasi dan penggunaan foremost. Perlu di ketahui Environment OS yang saya gunakan adalah Ubuntu. Bagi anda pengguna Distro lain dapat mendownload file source dan melakukan kompilasi / build file source tersebut.

  1. Instalasi foremost

     digit@digit-laptop:~$ sudo apt-get install foremost

  2. Mengecek partisi kita, dan mencari tahu di bagian partisi mana file-file yang akan kita recover

     digit@digit-laptop:~$ sudo fdisk -l

  3. Foremost men-support file-file berikut ini untu di recover :

    jpg, gif, png, bmp, avi, exe, mpg, wav, riff, wmv, mov, pdf, ole, doc, zip, rar, htm, cpp, office documents

    Jika file-file yang anda selamatkan tidak ada dalam list file yang di support oleh foremost, tenang saja, anda tetap dapat menambahkannya dalam konfigurasi foremost di /etc/foremost.conf

     digit@digit-laptop:~$ sudo nano /etc/foremost.conf

    Format menambahkan file yang ingin di recover oleh foremost adalah :

     #extension   case sensitive size    header  footer

    Misalkan saya ingin menambahkan file gzip yang ingin saya selamatkan, maka saya menambahkan sbb :

     gzip  y  1500000  \x1f\x8b\x08

    Jika anda tidak mengetahui header atau file type signature, anda bisa mengunjungi web berikut untuk mengetahui jenis ekstensi file beserta header nya :

    http://www.garykessler.net/library/file_sigs.html

  4. Percobaan recovery file :

     digit@digit-laptop:~$ sudo foremost -t <tipe file> -i <partisi anda>

    Misalnya anda ingin menyelamatkan data yang berada di partisi /dev/sda3 (Lihat partisi dengan menggunakan step nomor 2)

     digit@digit-laptop:~$ sudo foremost -t jpg -i /dev/sda3

    Perintah di atas akan melakukan recovery data dengan ekstensi file / type file jpg (gambar, dimana file tersebut berlokasi di /dev/sda3.

  5. Output hasil recovery data secara default berada di /home/useranda/output. Secara default folder output tesebut memiliki ownership root, silakan anda dubah menjadi ownership user anda sendiri

     digit@digit-laptop:~$ sudo chown -R user:user /home/user/output

    Jika anda ingin menspesifikkan dimana anda ingin menaruh output file anda, silakan gunakan perintah ini :

     digit@digit-laptop:~$ sudo foremost -t jpg -i /dev/sda3 -o /home/backup/

  6. Jika anda hanya ingin mencari file yang telah terhapus / terformat, anda dapat menggunakan perintah ini :

     digit@digit-laptop:~$ sudo foremost -t gif,pdf -i /dev/sda3

    Mencari Office Dokumen :

     digit@digit-laptop:~$ sudo foremost -t ole -i /dev/sda3

    Mencari seluruh ekstensi / file type dokumen :

     digit@digit-laptop:~$ sudo foremost -t all -i /dev/sda3

    Bagi anda yang menggunakan distribusi Linux yang berbeda, anda dapat mengcompile Foremost dari source. Source file Foremost dapat anda download dari sini :

    http://foremost.sourceforge.net/pkg/foremost-1.5.7.tar.gz


Selamat Mencoba :D

Comments