「Foremost」の版間の差分

提供: ArchWiki
ナビゲーションに移動 検索に移動
(en:Foremostへの転送ページ)
 
 
1行目: 1行目:
  +
[[Category:ファイルシステム]]
#redirect[[en:Foremost]]
 
  +
[[Category:システムリカバリ]]
  +
[[en:Foremost]]
  +
{{Related articles start}}
  +
{{Related|ファイルリカバリ}}
  +
{{Related articles end}}
  +
  +
'''Foremost''' はファイルのヘッダやフッタ、内部データ構造に基づいてファイルを復元するコンソールプログラムです。このような手法は一般的にデータカービングと呼ばれます。Foremost では dd, Safeback, Encase などで生成したイメージファイルを扱ったり、ドライブを直接操作することができます。ヘッダとフッタは設定ファイルで指定することも、コマンドラインスイッチを使って内蔵のファイルタイプを指定することも可能です。内蔵のタイプは指定されたファイルフォーマットのデータ構造を見るため、信頼性の高い高速な復元が可能となっています。
  +
  +
== インストール ==
  +
  +
{{Pkg|foremost}} は [[AUR]] からインストールできます。
  +
  +
== 設定 ==
  +
  +
大抵の場合、Foremost の設定は必要ありません。デフォルトの設定で、大抵のファイルタイプは認識されるためです。それでも、検出するファイルのヘッダを追加することができます。エントリを追加したりサンプルをアンコメントしてください:
  +
{{hc|/etc/foremost.conf|
  +
# wma y 8000000 \x30\x26\xB2\x75 \x00\x00\x00\xFF
  +
#
  +
# wma y 8000000 \x30\x26\xB2\x75 \x52\x9A\x12\x46
  +
#
  +
mp3 y 8000000 \xFF\xFB??\x44\x00\x00
  +
mp3 y 8000000 \x57\x41\x56\45 \x00\x00\xFF\
  +
mp3 y 8000000 \xFF\xFB\xD0\ \xD1\x35\x51\xCC\
  +
mp3 y 8000000 \x49\x44\x33\
  +
mp3 y 8000000 \x4C\x41\x4D\x45\
  +
}}
  +
  +
== 使用方法 ==
  +
  +
{{Note|復元したいハードディスク上で直接実行するのではなく、''dd_rescue'' などを使ってバックアップイメージを作成してから Foremost を使うことを推奨します。}}
  +
イメージやデバイスのパスや出力先のディレクトリのパスを指定して、以下のコマンドを実行:
  +
# foremost -t all -i /path/to/image -o outputdir
  +
{{ic|-t all}} パラメータは既知のファイルタイプ全てを復元します。
  +
  +
== 参照 ==
  +
  +
*ホームページ: http://foremost.sourceforge.net
  +
*Entry in Forensicswiki.org: http://www.forensicswiki.org/wiki/Foremost

2015年10月31日 (土) 17:13時点における最新版

関連記事

Foremost はファイルのヘッダやフッタ、内部データ構造に基づいてファイルを復元するコンソールプログラムです。このような手法は一般的にデータカービングと呼ばれます。Foremost では dd, Safeback, Encase などで生成したイメージファイルを扱ったり、ドライブを直接操作することができます。ヘッダとフッタは設定ファイルで指定することも、コマンドラインスイッチを使って内蔵のファイルタイプを指定することも可能です。内蔵のタイプは指定されたファイルフォーマットのデータ構造を見るため、信頼性の高い高速な復元が可能となっています。

インストール

foremostAUR からインストールできます。

設定

大抵の場合、Foremost の設定は必要ありません。デフォルトの設定で、大抵のファイルタイプは認識されるためです。それでも、検出するファイルのヘッダを追加することができます。エントリを追加したりサンプルをアンコメントしてください:

/etc/foremost.conf
#	wma     y       8000000  \x30\x26\xB2\x75    \x00\x00\x00\xFF
#
#	wma     y       8000000  \x30\x26\xB2\x75    \x52\x9A\x12\x46
#
	mp3     y    	8000000 \xFF\xFB??\x44\x00\x00
	mp3     y    	8000000 \x57\x41\x56\45            \x00\x00\xFF\
	mp3     y    	8000000 \xFF\xFB\xD0\            \xD1\x35\x51\xCC\
	mp3     y    	8000000 \x49\x44\x33\
	mp3     y    	8000000 \x4C\x41\x4D\x45\

使用方法

ノート: 復元したいハードディスク上で直接実行するのではなく、dd_rescue などを使ってバックアップイメージを作成してから Foremost を使うことを推奨します。

イメージやデバイスのパスや出力先のディレクトリのパスを指定して、以下のコマンドを実行:

# foremost -t all -i /path/to/image -o outputdir

-t all パラメータは既知のファイルタイプ全てを復元します。

参照