Procediamo con l’installazione di Foremost (dovrebbe essere presente nei repo di tutte le distro) e successivamente creiamo un immagine della partizioe che desideriamo esplorare: “dd if=/dev/hda1 of=partizione.img“. A questo punto lanciamo foremost in questo modo : “foremost -t jpg,gif -o ritrovati -i partizione.img“. Analizziamo il comando: sostituiamo a jpg,gif i formati dei files che ci interessano (un elenco completo dei formati riconosciuti lo troviamo nell man page del software : “man foremost“); sostituiamo “ritrovati” con il nome della cartella in cui vogliamo che siano messi i files recuperati.

Con foremost possiamo anche utilizzare come criterio di ricerca una singola stringa di testo : apriamo il file /etc/foremost.conf ed aggiungiamo una riga del tipo “testo n 1000 stringa” inserendo al posto di “stringa” i caratteri da ricercare. A questo punto eseguiamo foremost così: “foremost -o ritrovati -i partizione.img“. Nella cartella “ritrovati”, i files contenenti la stringa di testo richiesta, saranno indicati con l’estensione “testo” nel nome.