📁 Foremost - File Carving & Data Recovery Tool
🔍 File Carving 💾 Data Recovery 🕵️ Digital Forensics
Category: 8️⃣ Forensics Tools
📝 Description
Foremost एक शक्तिशाली फाइल कार्विंग (file carving) और डेटा रिकवरी टूल है। यह फाइल सिस्टम के मेटाडेटा को इग्नोर करके डिस्क इमेज या RAW डेटा से फाइल्स को रिकवर करता है। Foremost फाइल हेडर (सिग्नेचर) और फुटर के आधार पर फाइल्स को पहचानता है और उन्हें निकाल लेता है। यह विशेष रूप से तब उपयोगी होता है जब फाइल सिस्टम क्षतिग्रस्त हो या फाइल्स को डिलीट कर दिया गया हो।
विशेषता: Foremost की सबसे बड़ी खासियत है इसकी सादगी और प्रभावशीलता। यह JPEG, PNG, GIF, PDF, ZIP, EXE, DOC, XLS, और कई अन्य फाइल टाइप्स को रिकवर कर सकता है। यह फोरेंसिक जांच और डेटा रिकवरी के लिए बहुत लोकप्रिय है।
📦 Installation
Kali Linux (पहले से इंस्टॉल):
foremost -h
Ubuntu/Debian:
sudo apt update sudo apt install foremost -y
GitHub से इंस्टॉल:
git clone https://github.com/raddyfiy/foremost.git cd foremost make sudo make install
💻 Common Commands (उदाहरण सहित)
📌 Foremost का सबसे आम उपयोग डिस्क इमेज से फाइल्स रिकवर करना है:
🔹 1. बेसिक फाइल कार्विंग - सभी फाइल टाइप्स:
foremost -i disk_image.dd
foremost -i evidence.dd से सभी पहचानी गई फाइल्स को output फोल्डर में निकालता है।🔹 2. आउटपुट डायरेक्टरी स्पेसिफाई करना:
foremost -i disk_image.dd -o /recovered_files
/recovered_files फोल्डर में सेव करता है।🔹 3. सिर्फ स्पेसिफिक फाइल टाइप्स रिकवर करना:
foremost -i disk_image.dd -t jpg,png,gif
🔹 4. कस्टम कॉन्फ़िगरेशन फाइल के साथ:
foremost -i disk_image.dd -c foremost.conf
🔹 5. फाइल साइज लिमिट सेट करना:
foremost -i disk_image.dd -s 5000000
🔹 6. डिटेल्ड वर्बोस आउटपुट:
foremost -i disk_image.dd -v
🔹 7. सभी उपलब्ध फाइल टाइप्स देखना:
foremost -h
🔹 8. रॉ डिवाइस से डायरेक्ट रिकवरी:
sudo foremost -i /dev/sdb1 -o /recovered
🔹 9. ऑडियो फाइल्स रिकवर करना:
foremost -i disk_image.dd -t mp3,wav
🔹 10. दस्तावेज़ फाइल्स रिकवर करना:
foremost -i disk_image.dd -t pdf,doc,xls,ppt
🎯 Foremost के सपोर्टेड फाइल टाइप्स:
- Images: jpg, gif, png, bmp, tiff, crw
- Documents: pdf, doc, xls, ppt, rtf, odp, ods, odt
- Archives: zip, rar, tar, gz, bz2, 7z
- Executables: exe, dll, elf
- Audio/Video: mp3, wav, avi, mov, mp4, mpg
- Other: html, htm, xml, sqlite, oracle
🎯 Use Cases (उपयोग के तरीके)
- डिजिटल फोरेंसिक जांच: संदिग्ध ड्राइव से डिलीट की गई फाइल्स रिकवर करना।
- डेटा रिकवरी: क्षतिग्रस्त हार्ड ड्राइव, USB, SD कार्ड से फाइल्स निकालना।
- साइबर अपराध जांच: कंप्यूटर से फोटो, दस्तावेज़, ईमेल रिकवर करना।
- फाइल सिस्टम रिकवरी: फॉर्मेट किए गए ड्राइव से डेटा रिकवर करना।
- फोरेंसिक ट्रेनिंग: फाइल कार्विंग और डेटा रिकवरी सीखना।
⚙️ Key Features (मुख्य विशेषताएँ)
- ✔️ 50+ फाइल टाइप्स सपोर्ट (JPEG, PNG, PDF, ZIP, DOC, XLS, etc.)
- ✔️ फाइल हेडर और फुटर बेस्ड कार्विंग
- ✔️ कस्टम सिग्नेचर फाइल सपोर्ट (foremost.conf)
- ✔️ फाइल साइज लिमिट सेट करना
- ✔️ डिस्क इमेज, RAW डेटा, और लाइव डिवाइस सपोर्ट
- ✔️ सिंपल कमांड लाइन इंटरफेस
- ✔️ तेज और कुशल फाइल कार्विंग
- ✔️ ऑटोमेटिक आउटपुट ऑर्गनाइजेशन (फाइल टाइप के हिसाब से फोल्डर)
- ✔️ क्रॉस-प्लेटफॉर्म (Linux, Windows via Cygwin, macOS)
- ✔️ ओपन-सोर्स और फ्री
📌 कस्टम सिग्नेचर फाइल (foremost.conf) उदाहरण:
# foremost.conf फाइल
# कस्टम फाइल टाइप जोड़ना
jpg y 200000 \xff\xd8\xff\xe0 \xff\xd9
png y 200000 \x89\x50\x4e\x47 \x49\x45\x4e\x44
zip y 500000 \x50\x4b\x03\x04 \x50\x4b\x05\x06
custom y 100000 \x43\x55\x53\x54 \x45\x4e\x44
📌 फोरेंसिक जांच की पूरी प्रक्रिया:
# 1. डिस्क इमेज बनाएं (dd के साथ)
sudo dd if=/dev/sdb of=evidence.dd bs=4M status=progress
# 2. इमेज का हैश वेरिफिकेशन
sha256sum evidence.dd
# 3. फाइल्स रिकवर करें
foremost -i evidence.dd -o recovered_files
# 4. रिकवर फाइल्स एनालिसिस करें
cd recovered_files
ls -la
file */*
📌 Foremost vs Binwalk:
- Foremost: जनरल फाइल कार्विंग, फोरेंसिक डेटा रिकवरी, सिंपल, 50+ फाइल टाइप्स
- Binwalk: फर्मवेयर एनालिसिस पर फोकस, एंट्रॉपी एनालिसिस, रिकर्सिव एक्सट्रैक्शन
- अनुशंसा: डिस्क फोरेंसिक और डेटा रिकवरी के लिए Foremost, IoT/फर्मवेयर एनालिसिस के लिए Binwalk।
📌 Foremost के लिए सुझाव:
- हमेशा पहले डिस्क इमेज बनाएं, लाइव ड्राइव पर काम न करें
- इमेज का हैश (SHA256) वेरिफाई करें
- आउटपुट फोल्डर को खाली रखें (Foremost मौजूदा फाइल्स को ओवरराइट नहीं करता)
- -t से सिर्फ जरूरी फाइल टाइप्स चुनें (तेज स्कैन)
- रिकवर फाइल्स को file कमांड से वेरिफाई करें:
file */*
🔗 Official Resources
- GitHub Repository: https://github.com/raddyfiy/foremost
- Original Source: http://foremost.sourceforge.net
- Kali Linux Tools: Kali Foremost Page
- Documentation:
man foremost
🔧 Related Tools (समान उपकरण)
- Binwalk: फर्मवेयर एनालिसिस और फाइल कार्विंग
- Scalpel: Foremost का तेज वर्शन (C में लिखा)
- PhotoRec: डिलीट फाइल्स रिकवरी टूल (TestDisk का हिस्सा)
- ddrescue: क्षतिग्रस्त ड्राइव से डेटा रिकवरी
- Autopsy: ग्राफिकल फोरेंसिक टूल
- The Sleuth Kit: कमांड लाइन फोरेंसिक टूल्स
📌 Foremost vs Scalpel:
- Foremost: सिंपल, कॉन्फ़िगरेशन आसान, धीमा
- Scalpel: तेज, C में लिखा, ज्यादा कस्टमाइज़ेबल
- अनुशंसा: Foremost से शुरुआत करें, Scalpel बड़ी फाइल्स के लिए।
⚠️ Important Note (सावधानी)
Foremost एक शक्तिशाली फाइल कार्विंग टूल है। इसका उपयोग केवल उन्हीं ड्राइव या इमेज पर करें जिनकी आपको अनुमति हो। बिना अनुमति के डेटा रिकवरी करना प्राइवेसी का उल्लंघन और कानूनी अपराध हो सकता है। हमेशा अपने खुद के डेटा, कानूनी रूप से अधिकृत केस, या CTF चैलेंज पर ही प्रैक्टिस करें। फोरेंसिक जांच में डिस्क इमेज की इंटीग्रिटी बनाए रखें (हैश वेरिफिकेशन)।