Foremost

提供: ArchWiki
2015年10月31日 (土) 17:13時点におけるKusakata (トーク | 投稿記録)による版
(差分) ← 古い版 | 最新版 (差分) | 新しい版 → (差分)
ナビゲーションに移動 検索に移動

関連記事

Foremost はファイルのヘッダやフッタ、内部データ構造に基づいてファイルを復元するコンソールプログラムです。このような手法は一般的にデータカービングと呼ばれます。Foremost では dd, Safeback, Encase などで生成したイメージファイルを扱ったり、ドライブを直接操作することができます。ヘッダとフッタは設定ファイルで指定することも、コマンドラインスイッチを使って内蔵のファイルタイプを指定することも可能です。内蔵のタイプは指定されたファイルフォーマットのデータ構造を見るため、信頼性の高い高速な復元が可能となっています。

インストール

foremostAUR からインストールできます。

設定

大抵の場合、Foremost の設定は必要ありません。デフォルトの設定で、大抵のファイルタイプは認識されるためです。それでも、検出するファイルのヘッダを追加することができます。エントリを追加したりサンプルをアンコメントしてください:

/etc/foremost.conf
#	wma     y       8000000  \x30\x26\xB2\x75    \x00\x00\x00\xFF
#
#	wma     y       8000000  \x30\x26\xB2\x75    \x52\x9A\x12\x46
#
	mp3     y    	8000000 \xFF\xFB??\x44\x00\x00
	mp3     y    	8000000 \x57\x41\x56\45            \x00\x00\xFF\
	mp3     y    	8000000 \xFF\xFB\xD0\            \xD1\x35\x51\xCC\
	mp3     y    	8000000 \x49\x44\x33\
	mp3     y    	8000000 \x4C\x41\x4D\x45\

使用方法

ノート: 復元したいハードディスク上で直接実行するのではなく、dd_rescue などを使ってバックアップイメージを作成してから Foremost を使うことを推奨します。

イメージやデバイスのパスや出力先のディレクトリのパスを指定して、以下のコマンドを実行:

# foremost -t all -i /path/to/image -o outputdir

-t all パラメータは既知のファイルタイプ全てを復元します。

参照