Foremost

提供: ArchWiki
移動先: 案内検索

Foremost はファイルのヘッダやフッタ、内部データ構造に基づいてファイルを復元するコンソールプログラムです。このような手法は一般的にデータカービングと呼ばれます。Foremost では dd, Safeback, Encase などで生成したイメージファイルを扱ったり、ドライブを直接操作することができます。ヘッダとフッタは設定ファイルで指定することも、コマンドラインスイッチを使って内蔵のファイルタイプを指定することも可能です。内蔵のタイプは指定されたファイルフォーマットのデータ構造を見るため、信頼性の高い高速な復元が可能となっています。

インストール

foremostAUR からインストールできます。

設定

大抵の場合、Foremost の設定は必要ありません。デフォルトの設定で、大抵のファイルタイプは認識されるためです。それでも、検出するファイルのヘッダを追加することができます。エントリを追加したりサンプルをアンコメントしてください:

/etc/foremost.conf
#	wma     y       8000000  \x30\x26\xB2\x75    \x00\x00\x00\xFF
#
#	wma     y       8000000  \x30\x26\xB2\x75    \x52\x9A\x12\x46
#
	mp3     y    	8000000 \xFF\xFB??\x44\x00\x00
	mp3     y    	8000000 \x57\x41\x56\45            \x00\x00\xFF\
	mp3     y    	8000000 \xFF\xFB\xD0\            \xD1\x35\x51\xCC\
	mp3     y    	8000000 \x49\x44\x33\
	mp3     y    	8000000 \x4C\x41\x4D\x45\

使用方法

ノート: 復元したいハードディスク上で直接実行するのではなく、dd_rescue などを使ってバックアップイメージを作成してから Foremost を使うことを推奨します。

イメージやデバイスのパスや出力先のディレクトリのパスを指定して、以下のコマンドを実行:

# foremost -t all -i /path/to/image -o outputdir

-t all パラメータは既知のファイルタイプ全てを復元します。

参照