foremost - ищем скрытые данные

Программа foremost сканирует и распознаёт файловую структуру известных ему типов файлов, распознав начало знакомого типа файла утилита пытается найти конец файла, собрать всё это воедино и записать на диск.
Тип искомого файла, который нужно восстановить, задаётся опцией “-t”, например:

#foremost -t zip 

Извлечение файлов из файла подкачки:

#foremost -i /mnt/hda1/pagefile.sys -o /root/Desktop/page_file -v -q

Возможности:
-Восстановление удаленных и поврежденных файлов.
-Поиск файлов, замаскированных под другой формат.
- Многое другое...

Три важных момента:

-Восстанавливаемые файлы должны записываться на раздел отличный от того, с которого они восстанавливаются.
-foremost должен быть запущен НЕ с того раздела диска, с которого собрались восстанавливать файлы. Можно запустить foremost с Live-CD. 
-При восстановлении имена файлов не сохраняются.

Аналоги: DiskDigger, Photorec.

Ссылки
Есть очень хороший каталог с описаниями таких программ здесь. Вот тут неплохое описание доступных утилит по анализу данных, ссылки есть и здесь, а ещё лучше погуглить со словом forensic.

http://mydebianblog.blogspot.ru/2007/01/1-foremost.html
http://acerfans.ru/faq/1256-vosstanovlenie-udaljonnykh-fajjlov-v-os-linux.html