Foremost es el nombre de una aplicación de código abierto disponible para Linux, con la cual se pueden recuperar los archivos eliminados del sistema. Funciona para muchos formatos de archivos, como:
avi, bmp, dll, doc, exe, gif, htm, jar, jpg, mbd, mov, mpg, pdf, png, ppt, rar, rif, sdw, sx, sxc, sxi, sxw, vis, wav, wmv, xls, zip
Su funcionamiento consiste en escanear la unidad para tratar de reconocer los archivos por la estructura de su formato, buscando en valores hexadecimales, hasta conseguir alguno que coincida con el tipo especificado y luego escribiendo los datos del archivo que se desea recuperar.
No debe ser ejecutado en la misma partición en la que se encuentran los archivos a recuperar, por ejemplo, si has instalado el directorio raíz en una partición diferente al directorio /home, perfecto, funcionará de maravilla. También va bien si los archivos borrados estaban en una memoria USB, o en una tarjeta SD.
Otra precaución a seguir, es que los archivos que se quieren recuperar no deben reescribirse en la misma partición donde se hace la búsqueda sino en una diferente, por ejemplo: si los ficheros estaban en el directorio /home, ponlos a guardar en una memoria USB.
Para instalar a Foremost dirígete al terminal y escribe la siguiente línea:
sudo apt-get install foremost
Algunas de las opciones del programa son:
-t seguido de la extensión del archivo a recuperar (.gif, .jpg, etc) para recuperar archivos de determinado formato.
-h mostrar ayuda.
-v ver la versión del programa.
-T añadir fecha al directorio donde se quiere guardar el archivo recuperado.
-v mostrar la salida de datos.
-q ejecutarse en modo rápido.
-Q ejecutarse en modo silencioso.
-w informar de los archivos que se pueden recuperar, pero sin ejecutar la recuperación.
-i determinar la partición a escanear (in).
-o determinar el directorio de salida (out).
Para ejecutarlo una vez instalado, en el terminal escribe:
sudo foremost -opción
En -opción escribe el comando de la opción a ejecutar.
Por ejemplo, para buscar fotos .jpg en una memoria USB:
sudo foremost -v -T -t jpg -i /dev/sdc4 -o /home/usuario/temporal/sample/
-v es para mostrar la salida.
-T es para añadir fecha y hora al directorio donde se guardarán los archivos.
-t jpg especifica el tipo de archivo, en este caso se trata de una imagen .jpg.
-i /dev/sdc4 especifica la partición donde están los ficheros a buscar, en este caso se encontrarían en /dev/sdc4.
-o /home/usuario/temporal/sample/ especifica el directorio a donde saldrán los archivos recuperados.
Los valores de las dos últimas opciones varían de acuerdo a la ruta de los directorios, en este caso he colocado los anteriores sólo a manera de ejemplo.
Una vez ejecutada la línea, busca en el directorio que has especificado para la salida de los archivos y allí encontrarás los archivos eliminados.
