Digital Forensics:Data Carving using Foremost

Digital Forensics:Data Carving using Foremost

Foremost  คือ

Foremost เป็นเครื่องมือตัวหนึ่งที่ใช้สำหรับงานทางด้าน Digital Forensics 

ถูกพัฒนา  Jesse Kornblum และ Kris Kendallขึ้นโดยหน่วยงาน Air Force Office of Special Investigations และ  Defense Computer Forensics Lab's carvthis program ของอเมริกา ในปัจจุบัน Foremost ได้ถูกเผยแพร่ให้บุคคลทั่วไปได้นำไปใช้งาน ถึงแม้ในขั้นต้น จะถูกพัฒนาขึ้นเพื่อให้ใช้ สำหรับหน่วยงานบังคับใช้กฎหมายเป็นหลักก็ตาม แต่ด้วยประโยชน์หลากหลาย จึงถูกนำไปใช้ในด้านอื่นๆ ด้วย

Foremost เป็นโปรแกรมที่ทำงานแบบ command line ถูกพัฒนาขึ้นเพื่อใช้บน แพลตฟอร์ม Linux 

หรือเราจะติดตั้ง ให้สามารถใช้งานบน Windows ก็ได้ สำหรับ Foremost นั้น ถูกนำมาใช้ในการกู้ไฟล์คืนกลับมา โดยดูจากลักษณะ Headers, Footers และ โครงสร้างภายในของไฟล์ประเภทนั้นๆ มันสามารถกู้คืน filetypes เฉพาะรวมทั้ง jpg, gif, png, bmp, avi, exe, mpg, wav, riff, wmv, mov, pdf, ole, doc, htm  โดยสามารถกำหนดค่า (โดยปกติจะอยู่ที่ /usr/local/etc/foremost.conf) ซึ่งสามารถใช้เพื่อกำหนดประเภทไฟล์เพิ่มเติม ซึ่งเราอาจเรียกการกู้ข้อมูลในลักษณะนี้ได้ว่าเป็นการทำ Data Carving

SIFT Workstation

สร้าง โฟรเดอร์ ชื่อ  Recove สำหรับเก็บไฟล์ฺ Output

Input & Output Folder

Type the following “foremost -t jpeg,doc -i Linux Financial Case.001 -o recove –v”.
พิมพ์คำสั่ง  #foremost -t jpeg,doc -i Linux Financial Case.001 -o recove –v



To break this down “-t” is setting the file types we want to carve out of the disk image, here those are .jpeg and .png.
-t คำสั่ง ชนิดของไฟล์ที่ต้องการค้นหา เช่น   jpg, gif, png, bmp, avi, exe, mpg, wav, riff, wmv, mov, pdf, ole, doc

“-i” is specifying the input file, the “Linux Financial Case.001” that is placed on the desktop.
-i คำสั่ง ระบุตำแหน่งของสำเนาหลักฐาน( forensic image   )  *.001 ,*.E01 ,*.raw ,*.dd

“-o” is telling Foremost where we want the carved files to be stored, for that we have the “recove” folder on the desktop that we made earlier.
-o คำสั่ง ระบุตำแหน่งโฟลเดอร์ปลายทาง (destination )ที่กู้ไฟล์มาได้  Output file


“-v” is to tell Foremost to log all the messages that appear on screen as the file is being carved into a text file in the output folder (recove) as an audit report.
-v คำสั่งให้แสดง Log report

เมื่อทำงานเสร็จจะแสดงรายละเอียดข้อมูลที่กุ้ได้

 ไฟล์ที่กู้ได้จะอยู่ในโฟรเดอร์ Recove  doc  และ JPG  และไฟล์ audit.txt

Out Put & Audit file

ไฟล์ JPEG ที่กู้ได้

 audit.txt  จะแสดงรายละเอียดของไฟล์ทั้งหมดที่กู้ได้

Foremost Report

Ref:
https://en.wikipedia.org/wiki/Foremost_(software)
https://www.forensicswiki.org/wiki/Foremost
https://bit.ly/2CTp9GU

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud #DataRecovery