Tutorial Foremost

**m4k4ss4rh4ck3r** · 11-04-2012, 10:11 PM

foremost merupakan app forensic dengan cara merecover file base headers,footers,dan data internal.foremost bisa mengambil data gambar seperti yang digenerate oleh dd, Safeback, encase, dll, atau langsung pada drive. Artikel pendek ini akan membahas bagaimana Anda dapat menggunakan dan menggambil file yang telah dihapus.
--foremost dibuat oleh lab departement komputer forensic USA tahun 1999.
BACKTRACK==>FORENSIC==>FORENSIC CARVING TOOLS==>FOREMOST
[Image: for0.png]

Tata cara penggunaan dan command untuk menjalankan tools foremost
lebih lengkapnya command = man foremost
[Image: for1.png]

Jenis-jenis file yang mendukung foremost:
jpg - Support for the JFIF and Exif formats including implementations used in modern digital cameras.
gif
png
bmp - Support for windows bmp format.
avi
exe - Support for Windows PE binaries, will extract DLL and EXE files along with their compile times.
mpg - Support for most MPEG files (must begin with 0x000001BA)
wav
riff - This will extract AVI and RIFF since they use the same file format (RIFF). note faster than running each separately.
wmv - Note may also extract -wma files as they have similar format.
mov
pdf
ole - This will grab any file using the OLE file structure. This includes PowerPoint, Word, Excel, Access, and StarWriter
doc - Note it is more efficient to run OLE as you get more bang for your buck. If you wish to ignore all other ole files then use this.
zip - Note is will extract .jar files as well because they use a similar format. Open Office docs are just zipâd XML files so they are extracted
as well. These include SXW, SXC, SXI, and SX? for undetermined OpenOffice files.
rar
htm
cpp - C source code detection, note this is primitive and may generate documents other than C code.

sebelumnya kita mendetek lokasi drive kita
fdisk -l
lokasi pendrive saya di /dev/sdc1
Ok kita akan mengambil file.exe yang ada di pendrive saya tadi
[Image: for5.png]

Hasilnya...bisa kita lihat di directory ./ROOT
[HIDE] [Image: for6.png]

[/HIDE]

Untuk pencarian file yang lain silahkan dicoba....untuk mengambil file yang telah terhapus semakin banyak dan besar file yang akan di recover semakin lama waktu yang dibutuhkan. Happy Forensic.

Untuk Tutorial Forensic Yang saya posting di IBT silahkan dibaca bagi yg belum:
FATBACK
TRUECRYPT
Recoverjpg

Tunggu Kelanjutannya ya!!!!!!!!!!!!!!

**Al - Ayyubi** · 11-04-2012, 10:54 PM

tar ampe rumah coba in deh Smile

trimakasih om untuk terus share ilmunya Smile

**m4k4ss4rh4ck3r** · 11-05-2012, 03:02 AM

(11-04-2012, 10:54 PM)Al - Ayyubi Wrote: tar ampe rumah coba in deh
trimakasih om untuk terus share ilmunya

YOO semagat om

**m4k4ss4rh4ck3r** · 11-06-2012, 12:51 AM

for IBT Family everything is OK.....................

**r1ku** · 11-07-2012, 11:40 AM

thank om m4k4ss4rh4ck3r tutorial nya, ane belajar Forensic dulu,, Big Grin

zee eichel · 11-18-2012, 11:26 PM

yang kayak gini kudu di kembangkan Smile

**xsan-lahci** · 11-22-2012, 01:10 PM

nice post om m4k4s4rh4ck3r Big Grin

**aristateles**$ · 12-25-2012, 03:06 PM

ahhhh nyoba gagal.
Misal data ane ada di flashdisk yang namanya Linux. Terus ada data ane yang ilang, formatnya .odt
Apa perintahnya tetep foremost -t odt -T /dev/sdc1 ?
Atau
foremost -t odt -T Linux ?.

Mana tugas Penelitian Sosial lagi Sad

**xsan-lahci** · 12-31-2012, 07:46 AM

santai om. odt kl blm bs di recover pake foremost cb pakai photorec om.. search disini udh ada tutornya

**aristateles**$ · 12-31-2012, 04:25 PM

udah Bang, photorec tapi ga bisa nyari data yang di format full ya ?, bukan quick format. Ane udah nyoba dan zonk. Mungkin ada cara lainnya kali ya.

(12-31-2012, 07:46 AM)xsan-lahci Wrote: santai om. odt kl blm bs di recover pake foremost cb pakai photorec om.. search disini udh ada tutornya

udah Bang, photorec tapi ga bisa nyari data yang di format full ya ?, bukan quick format. Ane udah nyoba dan zonk. Mungkin ada cara lainnya kali ya.