티스토리 뷰
무료 데이터 복구 (Kali Linux Forensics Tool - Foremost) : 무료 데이터 복구
Kali Linux - Forensics carving tool에 데이터 복구에 유명한 foremost 프로그램이 있습니다. 사용법이 간단하며 복구 결과도 매우 뛰어나며 사용자의 목적에 따라 요구되는 복구 포맷 형식을 /etc/foremost.conf에 추가할 수 있습니다.
foremost 사용법 및 응용법 설명드리도록 하겠습니다.
foremost 사용법 및 /etc/foremost.conf 설정 방법
foremost를 실행하기에 앞서 sudo vi /etc/foremost.conf 명령어를 실행하여 foremost.conf(환경설정 파일)에서 복구할 포맷의 앞에 있는 #(주석 처리)를 삭제해 줍니다. 원하는 #를 선택하고 x를 눌러주면 삭제됩니다.
원하는 포맷의 주석(#)을 삭제했다면 esc를 누르고 :x 를 눌러서 저장하고 vi editor를 나옵니다.
SD_image.000은 SD memory를 guymager 프로그램을 활용하여 dd raw image로 생성한 파일이며 지워진 저장 장치의 source가 됩니다. 복구될 파일들은-o 옵션을 사용하여 recovery 폴더로 저장(자신에게 적절한 디렉토리 선택)을 시킵니다.
foremost 실행 방법
foremost -i SD_image.000 -o ./recovery/ -v 와 같이 명령하시면 됩니다.
-v 옵션은 복구 진행 중 자세한 내용을 확인하기 위해 추가해 준 옵션입니다.
-i 뒤에는 source file, -o 옵션 뒤에는 저장할 디렉토리명을 지정하시면 됩니다.
명령어가 실행되면 복구되는 파일들이 순차적으로 표시됩니다. image 용량에 따라 복구에 걸리는 시간이 다를 수 있습니다. 2기가 SD 이미지 전체를 복구하는데 약 2분 10초 정도 걸린 것 같습니다.
foremost 복구 데이터
foremost에서 복구되는 데이터는 종류별로 별도의 디렉터리에 복구가 됩니다. /etc/foremost.conf에서 jpg, mov, mpg, pdf, png, zip 파일만 복구하게 환경설정을 했기 때문에 위 파일들만 복구가 된 상태입니다.
jpg 폴더에 이상하게 복구된 이미지들이 추가로 보이는데요, 이런 이미지들은 pdf 문서에 있는 이미지들도 추출된 상태라서 그렇습니다.
/etc/foremost.conf에서 jpg의 경우 3개의 기본 설정이 있습니다. 하이라이트 시켜둔 부분 중 "\xff\xd8" "\xff\xd9" 부분이 PDF 문서의 jpg 파일까지 추출시키게 만든 장본인 입니다.
/etc/foremost.conf 설정하실 때에는 이런 결과가 생길 수 있으니 적절한 기본값을 선택해서 주석 해제하시기 바랍니다.
pdf 문서 역시 잘 복구가 된 상태입니다. 문서도 열어보니 잘 열리고 아무런 문제가 없습니다.
/etc/foremost.conf 설정 시 꼭 필요한 부분만 주석을 해제해서 복구하는 것이 좋을 것 같습니다.
모든 항목을 주석 해제해서 사용하시면 너무 많은 불필요한 파일들이 복구됩니다. 사용하면서 최적화 시켜가는 과정이 필요할 것 같아요.
/etc/foremost.conf 와 hexeditor 활용법
hexeditor로 jpg 파일을 한 번 열어보세요. FF D8 FF E0 00 10으로 시작하며, jpg 파일의 마지막은 FF D9로 끝나게 됩니다.
/etc/foremost.conf의 jpg 부분에도 보면 시작, 끝에 각각 포함되어 있음을 확인할 수 있습니다.
jpg 3번째 \xff\xd8, \xff\xd9의 경우, 범위가 너무 넓게 설정되어 있습니다. 범위가 너무 넓다보니 pdf 문서에 있는 jpg까지 추출하게 됩니다.
foremost에서 생성된 audit.txt 파일을 확인해보면 jpg 3번째 조건으로 3,279개의 파일이 복구되었음을 확인할 수 있습니다. 그러나 일반적으로 이런 결과는 불필요한 자료만 생성시키게 됩니다.
sudo vi /etc/foremost.conf 명령어를 실행하여 불필요한 조건을 다시 # (주석 처리) 합니다.
원하는 위치로 이동하여 i 키를 누른 후 #를 입력합니다.
입력이 완료된 상태라면 esc 키를 누르고 :x 를 눌러서 저장하고 vi editor를 나옵니다.
/etc/foremost.conf에 자신이 원하는 파일 포맷이 없는 경우, 해당 파일 포맷을 아무 파일이나 hexeditor로 열어서 시작부분과 끝나는 부분의 패턴을 직접 /etc/formost.conf에 추가할 수 있습니다.
'Computer' 카테고리의 다른 글
| 추천 사진 편집 프로그램(이미지 캡쳐 및 편집 프로그램) (0) | 2022.08.15 |
|---|---|
| Hash값 확인 프로그램 GtkHash (MD5, SHA1, SHA256, CRC32) (0) | 2022.08.12 |
| Kali Linux 활용법 - LUKS 디스크 암호화 사용법 (How to use LUKS encrypted volume) (0) | 2022.08.10 |
| 삼성 노트북 USB 부팅 - SAMSUNG NOTEBOOK USB BOOTING (1) | 2022.07.22 |
| 무료 포렌식 툴(Free Forensics Tool) - 무료 복구 프로그램(Free data recovery) - Kali Linux 활용법 (0) | 2022.07.19 |
| WSL2 Sound 설정 꿀팁 총정리 (WSL2 방화벽 IP Range) (0) | 2022.07.10 |
| msa@communication.microsoft.com 피싱(phishing)인가? 진짜(legit)인가? (0) | 2022.07.03 |
| Facebook, Instagram 피싱 예방법 (0) | 2022.06.27 |
- 장유맛집
- 무료 오피스 프로그램
- 폴더 암호화
- Affinity Photo 꿀팁
- Windows Pro 암호화
- PDF Editor
- 간헐적단식
- affinity photo
- 다이어트
- 1일1식
- 전라북도 맛집
- 무료 데이터 복구
- iA Writer
- 꿀벌 진드기
- 70 mai Dash Cam Pro Firmware
- 70 mai 펌웨어 업그레이드
- Set Password for PDF
- PDF 문서 만들기
- FREE OFFICE SOFTWARE
- Kali Linux 활용법
- 무료 동기화 프로그램
- Markdown Editor
- netstat 사용법
- 김해맛집
- PDF 가리기
- IP 추적 프로그램
- 고추농사
- 샤오미 블랙박스 펌웨어
- KEX Error
- 아재입맛
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |