Foremost

Описание Foremost

Foremost — это консольная программа для восстановления файлов на основе их заголовков, колонтитулов и внутренней структуры данных. Этот процесс обычно называют «выскабливанием данных». Foremost может работать с файлами образов, такими как сгенерированные в dd, Safeback, Encase и т. д. или напрямую с диском. Заголовки и колонтитулы могут быть указаны в конфигурационном файле или вы можете использовать переключатели командной строки, для точного определения встроенных типов. Эти встроенные типы смотрят на структуру данных данного файлового формата, позволяя более надёжное и быстрое восстановление.

Домашняя страница: http://foremost.sourceforge.net/

Автор: US Government

Лицензия: Public Domain

Справка по Foremost

Использование:

foremost [-v|-V|-h|-T|-Q|-q|-a|-w-d] [-t <тип>] [-s <блоки>] [-k <размер>] 
	[-b <размер>] [-c <файл>] [-o <директория>] [-i <файл] 
-V  - показать копирайт и выйти
-t  - определить тип файлов.  (-t jpeg,pdf ...) 
-d  - включить обнаружения блока косвенной адресации (для файловых систем UNIX) 
-i  - задать файл ввода (по умолчанию это stdin, т. е. стандартный ввод) 
-a  - записать все заголовки, не выполнять обнаружение ошибок (повреждённые файлы) 
-w  - только записать файл аудита, не записывать какие-либо обнаруженные файлы на диск
-o  - установить директорию вывода (по умолчанию это output)
-c  - установить используемый конфигурационный файл (по умолчанию это foremost.conf)
-q  - включить быстрый режим. Поиск выполняется на границах 512 байт.
-Q  - включить тихий режим. Подавление сообщений вывода. 
-v  - вербальный режим. Записывать все сообщения на экран

Руководство по Foremost

ВСТРОЕННЫЕ ФОРМАТЫ

Файлы восстанавливаются с образа диска на основе типов файлов, заданных пользователем с помощью переключателя -t.

jpg

Поддерживаются форматы JFIF и Exif, включая реализации, используемые в современных цифровых камерах.

gif

 

png

 

bmp

Поддержка формата Windows bmp.

avi

 

exe

Поддержка исполнимых файлов Windows PE, извлечёт DLL и EXE файлы вместе с временем их компиляции.

mpg

Поддержка большинства MPEG файлов (должны начинаться с 0x000001BA)

mp4

 

wav

 

riff

Это извлечёт AVI и RIFF поскольку они используют один и тот формат (RIFF). Примечание: быстрее, чем запускать каждый по отдельности.

wmv

Примечание: также может извлекать -wma файлы, поскольку они имеют схожий формат.

mov

 

pdf

 

ole

Это соберёт любые файлы, использующие файловую структуру OLE. В том числе PowerPoint, Word, Excel, Access и StarWriter.

doc

Примечание: эффективнее запускать OLE, так вы получите большую отдачу. Если вы хотите игнорировать другие ole файлы, тогда используйте это.

zip

Примечание: это извлечёт также .jar, поскольку они используют схожий формат. Open Office docs — это просто XML файлы, сжатые в zip, поэтому они также будут извлечены. Сюда включены SXW, SXC, SXI и SX? для неопределённых файлов OpenOffice. Файлы Office 2007 также основываются на XML (PPTX,DOCX,XLSX)

rar

 

htm

 

cpp

Выявление исходных кодов C. Примечание: это сделано примитивно, и может генерировать не только документы с C кодом.

all

Запустить все предопределённые методы извлечения. [Если не указана -t, то используется по умолчанию]

ОПЦИИ

-h

Показать справку и выйти.

-V

Показать информацию об авторском праве и выйти.

-d

Включить обнаружение косвенного потока, это хорошо работает на файловых системах Unix.

-T

Временные метки директории вывода, следовательно, вам не нужно удалять директорию вывода при запуске несколько раз.

-v

Включить вербальный режим. Это приводит к отображению на экране болеее подробной информации о текущем состоянии программы, настоятельно рекомендуется.

-q

Включить быстрый режим. В быстром режиме совпадающие заголовки ищутся только в начале каждого сектора. То есть заголовки ищутся только по длине самого длинного заголовка. Остаток сектора, обычно примерно 500 байт, игнорируются. Этот режим делает работу foremost заметно более быстрой, но он может привести к пропуску файлов, которые включены в другие файлы. Например, используя быстрый режим вы не сможете найти JPEG изображения, включённые в документы Microsoft Word.

Не следует использовать быстрый режим при исследовании файловых систем NTFS. Поскольку NTFS сохраняет маленькие файлы внутри Master File Table, эти файлы во время быстрого режима будут пропущены.

-Q

Включает тихий режим. Будут подавлены большинство сообщений об ошибках.

-w

Включает режим только записи аудита. Файлы не будут извлекаться.

-a

Включает запись всех заголовков, не выполняется обнаружение ошибок в отношении повреждённых файлов.

-b число

Позволяет вам указать размер используемого foremost в блока. Это актуально для именования файлов и быстрых поисков. По умолчанию это 512, т. е. foremost -b 1024 image.dd

-k число

Позволяет вам указать размер используемых кусков в foremost. Это может увеличить скорость, если у вас достаточно оперативной памяти соответствующий образу. Это уменьшает проверки того, что попадается между кусками буфера.

Например, если у вас > 500MB of RAM. Тогда foremost -k 500 image.dd

-i файл

Этот файл используется как файл ввода. Если файл ввода не указан или не может быть прочитан, то используется stdin (стандартный ввод).

-o директория

Восстановленные файлы записываются в эту директорию.

-c файл

Устанавливает используемый конфигурационный файл. Если не указан, используется файл "foremost.conf" из текущей директории, если он не существует, тогда используется "/etc/foremost.conf". Формат для конфигурационного файла описан в конфигурационном файле по умолчанию, который включён с этой программой. Смотрите раздел КОНФИГУРАЦИОННЫЙ ФАЙЛ.

-s число

Перед началом поиска заголовков пропустить данное число блоков в файле ввода. Т.е.

foremost -s 512 -t jpeg -i /dev/hda1

КОНФИГУРАЦИОННЫЙ ФАЙЛ

Конфигурационный файл используется для контроля, какие типы файлов ищет foremost. Пример конфигурационного файла, foremost.conf, включён в программу. Для каждого типа файла конфигурационный файл описывает файловое расширение, чувствительны ли заголовок и колонтитул к регистру, максимальный размер файла и заголовок и колонтитул файла. Поле колонтитул является необязательным, но заголовок, размер, чувствительность к регистру и расширение — нет!

Любая строка может начинаться со знака решётки (#), что означает комментарий, который игнорируется. Т.е. для пропуска типов файлов, просто добавьте в начале строки решётку.

Заголовки и колонтитулы перед использованием кодируются. ДЛя указания значения в шестнадцатеричном виде используйте \x[0-f][0-f], для восьмеричной используйте \[1-9][1-9][1-9]. Пробелы могут быть представлены как \s. Пример: "\x4F\123\I\sCCI" декодируется в "OSI CCI".

В качестве подстановочного символа (wildcard), который означает любой одиночный символ, используйте ?. Если вам нужно искать символ ?, то вам нужно изменить подстановочный символ и каждое вхождение старого подстановочного символа в конфигурационном файле. Не забудьте значения в шестнадцатеричный и восьмеричных кодированиях! ? - это \x3f и \063.

В файл README имеется образец набора заголовков.

Примеры запуска Foremost

Поиск выбранных типов файлов (-t doc,jpg,pdf,xls) в данном файле образа (-i image.dd):

root@kali:~# foremost -t doc,jpg,pdf,xls -i image.dd 
Processing: image.dd
|*|
root@kali:~# ls output/
audit.txt  jpg  pdf

Поиск формата jpeg с пропуском первых 100 блоков:

foremost -s 100 -t jpg -i image.dd

Только сгенерировать файл аудита и вывести его на экран (вербальный режим):

foremost -av image.dd

Поиск всех определённых типов:

foremost -t all -i image.dd

Поиск gif и pdf:

foremost -t gif,pdf -i image.dd

Поиск офисных документов и файлов jpeg в файловой системе Unix в вербальном режиме:

foremost -vd -t ole,jpeg -i image.dd

Запуск по умолчанию:

foremost image.dd

Установка Foremost

Программа предустановлена в Kali Linux.

Установка в BlackArch

Программа предустановлена в BlackArch.

Информация об установке в другие операционные системы будет добавлена позже.

Скриншоты Foremost

Это утилита командной строки.

Инструкции по Foremost

Рекомендуемые статьи: