「Foremost」の版間の差分
ナビゲーションに移動
検索に移動
(en:Foremostへの転送ページ) |
|||
| 1行目: | 1行目: | ||
| + | [[Category:ファイルシステム]] |
||
| − | #redirect[[en:Foremost]] |
||
| + | [[Category:システムリカバリ]] |
||
| + | [[en:Foremost]] |
||
| + | {{Related articles start}} |
||
| + | {{Related|ファイルリカバリ}} |
||
| + | {{Related articles end}} |
||
| + | |||
| + | '''Foremost''' はファイルのヘッダやフッタ、内部データ構造に基づいてファイルを復元するコンソールプログラムです。このような手法は一般的にデータカービングと呼ばれます。Foremost では dd, Safeback, Encase などで生成したイメージファイルを扱ったり、ドライブを直接操作することができます。ヘッダとフッタは設定ファイルで指定することも、コマンドラインスイッチを使って内蔵のファイルタイプを指定することも可能です。内蔵のタイプは指定されたファイルフォーマットのデータ構造を見るため、信頼性の高い高速な復元が可能となっています。 |
||
| + | |||
| + | == インストール == |
||
| + | |||
| + | {{Pkg|foremost}} は [[AUR]] からインストールできます。 |
||
| + | |||
| + | == 設定 == |
||
| + | |||
| + | 大抵の場合、Foremost の設定は必要ありません。デフォルトの設定で、大抵のファイルタイプは認識されるためです。それでも、検出するファイルのヘッダを追加することができます。エントリを追加したりサンプルをアンコメントしてください: |
||
| + | {{hc|/etc/foremost.conf| |
||
| + | # wma y 8000000 \x30\x26\xB2\x75 \x00\x00\x00\xFF |
||
| + | # |
||
| + | # wma y 8000000 \x30\x26\xB2\x75 \x52\x9A\x12\x46 |
||
| + | # |
||
| + | mp3 y 8000000 \xFF\xFB??\x44\x00\x00 |
||
| + | mp3 y 8000000 \x57\x41\x56\45 \x00\x00\xFF\ |
||
| + | mp3 y 8000000 \xFF\xFB\xD0\ \xD1\x35\x51\xCC\ |
||
| + | mp3 y 8000000 \x49\x44\x33\ |
||
| + | mp3 y 8000000 \x4C\x41\x4D\x45\ |
||
| + | }} |
||
| + | |||
| + | == 使用方法 == |
||
| + | |||
| + | {{Note|復元したいハードディスク上で直接実行するのではなく、''dd_rescue'' などを使ってバックアップイメージを作成してから Foremost を使うことを推奨します。}} |
||
| + | イメージやデバイスのパスや出力先のディレクトリのパスを指定して、以下のコマンドを実行: |
||
| + | # foremost -t all -i /path/to/image -o outputdir |
||
| + | {{ic|-t all}} パラメータは既知のファイルタイプ全てを復元します。 |
||
| + | |||
| + | == 参照 == |
||
| + | |||
| + | *ホームページ: http://foremost.sourceforge.net |
||
| + | *Entry in Forensicswiki.org: http://www.forensicswiki.org/wiki/Foremost |
||
2015年10月31日 (土) 17:13時点における最新版
関連記事
Foremost はファイルのヘッダやフッタ、内部データ構造に基づいてファイルを復元するコンソールプログラムです。このような手法は一般的にデータカービングと呼ばれます。Foremost では dd, Safeback, Encase などで生成したイメージファイルを扱ったり、ドライブを直接操作することができます。ヘッダとフッタは設定ファイルで指定することも、コマンドラインスイッチを使って内蔵のファイルタイプを指定することも可能です。内蔵のタイプは指定されたファイルフォーマットのデータ構造を見るため、信頼性の高い高速な復元が可能となっています。
インストール
設定
大抵の場合、Foremost の設定は必要ありません。デフォルトの設定で、大抵のファイルタイプは認識されるためです。それでも、検出するファイルのヘッダを追加することができます。エントリを追加したりサンプルをアンコメントしてください:
/etc/foremost.conf
# wma y 8000000 \x30\x26\xB2\x75 \x00\x00\x00\xFF # # wma y 8000000 \x30\x26\xB2\x75 \x52\x9A\x12\x46 # mp3 y 8000000 \xFF\xFB??\x44\x00\x00 mp3 y 8000000 \x57\x41\x56\45 \x00\x00\xFF\ mp3 y 8000000 \xFF\xFB\xD0\ \xD1\x35\x51\xCC\ mp3 y 8000000 \x49\x44\x33\ mp3 y 8000000 \x4C\x41\x4D\x45\
使用方法
イメージやデバイスのパスや出力先のディレクトリのパスを指定して、以下のコマンドを実行:
# foremost -t all -i /path/to/image -o outputdir
-t all パラメータは既知のファイルタイプ全てを復元します。
参照
- ホームページ: http://foremost.sourceforge.net
- Entry in Forensicswiki.org: http://www.forensicswiki.org/wiki/Foremost