Foremost
Описание Foremost
Foremost — это консольная программа для восстановления файлов на основе их заголовков, колонтитулов и внутренней структуры данных. Этот процесс обычно называют «выскабливанием данных». Foremost может работать с файлами образов, такими как сгенерированные в dd, Safeback, Encase и т. д. или напрямую с диском. Заголовки и колонтитулы могут быть указаны в конфигурационном файле или вы можете использовать переключатели командной строки, для точного определения встроенных типов. Эти встроенные типы смотрят на структуру данных данного файлового формата, позволяя более надёжное и быстрое восстановление.
Домашняя страница: http://foremost.sourceforge.net/
Автор: US Government
Лицензия: Public Domain
Справка по Foremost
Использование:
foremost [-v|-V|-h|-T|-Q|-q|-a|-w-d] [-t <тип>] [-s <блоки>] [-k <размер>] [-b <размер>] [-c <файл>] [-o <директория>] [-i <файл]
-V - показать копирайт и выйти -t - определить тип файлов. (-t jpeg,pdf ...) -d - включить обнаружения блока косвенной адресации (для файловых систем UNIX) -i - задать файл ввода (по умолчанию это stdin, т. е. стандартный ввод) -a - записать все заголовки, не выполнять обнаружение ошибок (повреждённые файлы) -w - только записать файл аудита, не записывать какие-либо обнаруженные файлы на диск -o - установить директорию вывода (по умолчанию это output) -c - установить используемый конфигурационный файл (по умолчанию это foremost.conf) -q - включить быстрый режим. Поиск выполняется на границах 512 байт. -Q - включить тихий режим. Подавление сообщений вывода. -v - вербальный режим. Записывать все сообщения на экран
Руководство по Foremost
ВСТРОЕННЫЕ ФОРМАТЫ
Файлы восстанавливаются с образа диска на основе типов файлов, заданных пользователем с помощью переключателя -t.
jpg |
Поддерживаются форматы JFIF и Exif, включая реализации, используемые в современных цифровых камерах. |
gif |
|
png |
|
bmp |
Поддержка формата Windows bmp. |
avi |
|
exe |
Поддержка исполнимых файлов Windows PE, извлечёт DLL и EXE файлы вместе с временем их компиляции. |
mpg |
Поддержка большинства MPEG файлов (должны начинаться с 0x000001BA) |
mp4 |
|
wav |
|
riff |
Это извлечёт AVI и RIFF поскольку они используют один и тот формат (RIFF). Примечание: быстрее, чем запускать каждый по отдельности. |
wmv |
Примечание: также может извлекать -wma файлы, поскольку они имеют схожий формат. |
mov |
|
|
|
ole |
Это соберёт любые файлы, использующие файловую структуру OLE. В том числе PowerPoint, Word, Excel, Access и StarWriter. |
doc |
Примечание: эффективнее запускать OLE, так вы получите большую отдачу. Если вы хотите игнорировать другие ole файлы, тогда используйте это. |
zip |
Примечание: это извлечёт также .jar, поскольку они используют схожий формат. Open Office docs — это просто XML файлы, сжатые в zip, поэтому они также будут извлечены. Сюда включены SXW, SXC, SXI и SX? для неопределённых файлов OpenOffice. Файлы Office 2007 также основываются на XML (PPTX,DOCX,XLSX) |
rar |
|
htm |
|
cpp |
Выявление исходных кодов C. Примечание: это сделано примитивно, и может генерировать не только документы с C кодом. |
all |
Запустить все предопределённые методы извлечения. [Если не указана -t, то используется по умолчанию] |
ОПЦИИ
-h
Показать справку и выйти.
-V
Показать информацию об авторском праве и выйти.
-d
Включить обнаружение косвенного потока, это хорошо работает на файловых системах Unix.
-T
Временные метки директории вывода, следовательно, вам не нужно удалять директорию вывода при запуске несколько раз.
-v
Включить вербальный режим. Это приводит к отображению на экране болеее подробной информации о текущем состоянии программы, настоятельно рекомендуется.
-q
Включить быстрый режим. В быстром режиме совпадающие заголовки ищутся только в начале каждого сектора. То есть заголовки ищутся только по длине самого длинного заголовка. Остаток сектора, обычно примерно 500 байт, игнорируются. Этот режим делает работу foremost заметно более быстрой, но он может привести к пропуску файлов, которые включены в другие файлы. Например, используя быстрый режим вы не сможете найти JPEG изображения, включённые в документы Microsoft Word.
Не следует использовать быстрый режим при исследовании файловых систем NTFS. Поскольку NTFS сохраняет маленькие файлы внутри Master File Table, эти файлы во время быстрого режима будут пропущены.
-Q
Включает тихий режим. Будут подавлены большинство сообщений об ошибках.
-w
Включает режим только записи аудита. Файлы не будут извлекаться.
-a
Включает запись всех заголовков, не выполняется обнаружение ошибок в отношении повреждённых файлов.
-b число
Позволяет вам указать размер используемого foremost в блока. Это актуально для именования файлов и быстрых поисков. По умолчанию это 512, т. е. foremost -b 1024 image.dd
-k число
Позволяет вам указать размер используемых кусков в foremost. Это может увеличить скорость, если у вас достаточно оперативной памяти соответствующий образу. Это уменьшает проверки того, что попадается между кусками буфера.
Например, если у вас > 500MB of RAM. Тогда foremost -k 500 image.dd
-i файл
Этот файл используется как файл ввода. Если файл ввода не указан или не может быть прочитан, то используется stdin (стандартный ввод).
-o директория
Восстановленные файлы записываются в эту директорию.
-c файл
Устанавливает используемый конфигурационный файл. Если не указан, используется файл "foremost.conf" из текущей директории, если он не существует, тогда используется "/etc/foremost.conf". Формат для конфигурационного файла описан в конфигурационном файле по умолчанию, который включён с этой программой. Смотрите раздел КОНФИГУРАЦИОННЫЙ ФАЙЛ.
-s число
Перед началом поиска заголовков пропустить данное число блоков в файле ввода. Т.е.
foremost -s 512 -t jpeg -i /dev/hda1
КОНФИГУРАЦИОННЫЙ ФАЙЛ
Конфигурационный файл используется для контроля, какие типы файлов ищет foremost. Пример конфигурационного файла, foremost.conf, включён в программу. Для каждого типа файла конфигурационный файл описывает файловое расширение, чувствительны ли заголовок и колонтитул к регистру, максимальный размер файла и заголовок и колонтитул файла. Поле колонтитул является необязательным, но заголовок, размер, чувствительность к регистру и расширение — нет!
Любая строка может начинаться со знака решётки (#), что означает комментарий, который игнорируется. Т.е. для пропуска типов файлов, просто добавьте в начале строки решётку.
Заголовки и колонтитулы перед использованием кодируются. ДЛя указания значения в шестнадцатеричном виде используйте \x[0-f][0-f], для восьмеричной используйте \[1-9][1-9][1-9]. Пробелы могут быть представлены как \s. Пример: "\x4F\123\I\sCCI" декодируется в "OSI CCI".
В качестве подстановочного символа (wildcard), который означает любой одиночный символ, используйте ?. Если вам нужно искать символ ?, то вам нужно изменить подстановочный символ и каждое вхождение старого подстановочного символа в конфигурационном файле. Не забудьте значения в шестнадцатеричный и восьмеричных кодированиях! ? - это \x3f и \063.
В файл README имеется образец набора заголовков.
Примеры запуска Foremost
Поиск выбранных типов файлов (-t doc,jpg,pdf,xls) в данном файле образа (-i image.dd):
root@kali:~# foremost -t doc,jpg,pdf,xls -i image.dd Processing: image.dd |*| root@kali:~# ls output/ audit.txt jpg pdf
Поиск формата jpeg с пропуском первых 100 блоков:
foremost -s 100 -t jpg -i image.dd
Только сгенерировать файл аудита и вывести его на экран (вербальный режим):
foremost -av image.dd
Поиск всех определённых типов:
foremost -t all -i image.dd
Поиск gif и pdf:
foremost -t gif,pdf -i image.dd
Поиск офисных документов и файлов jpeg в файловой системе Unix в вербальном режиме:
foremost -vd -t ole,jpeg -i image.dd
Запуск по умолчанию:
foremost image.dd
Установка Foremost
Программа предустановлена в Kali Linux.
Установка в BlackArch
Программа предустановлена в BlackArch.
Информация об установке в другие операционные системы будет добавлена позже.
Скриншоты Foremost
Это утилита командной строки.
Инструкции по Foremost
- Как восстановить удалённый файл в Linux
- Могут ли правоохранительные органы восстановить удалённые файлы?
Comments are Closed