《課程設計》——foremost的使用

《課程設計》——foremost的使用

foremost簡介

• formost 是一個基於文件頭和尾部信息以及文件的內建數據結構恢復文件的命令行工具。這個過程一般叫作數據挖掘（data carvubg）。formost 能夠分析由 dd、Safeback、Encase 等生成的鏡像文件，也能夠直接分析驅動器。文件頭和尾能夠經過配置文件設置，也能夠經過命令行開關使用 formost 內建的文件類型。formost 最初是由美國空軍特別調查室（Air Force Office of Special Investigations）和信息系統安全研究中心（The Center for Information Systems Security Studies and Research）開發的，如今使用 GPL 許可。Foremost 支持恢復以下格式：avi, bmp, dll, doc, exe, gif, htm, jar, jpg, mbd, mov, mpg, pdf, png, ppt, rar, rif, sdw, sx, sxc, sxi, sxw, vis, wav, wmv, xls, zip。

實驗步驟

恢復單個類型文件

• 由於實驗環境沒法鏈接移動設備，因此此實驗以還原系統的硬盤文件作演示。
• 登陸操做機:帳號root，密碼123456。
• 打開終端後使用foremost命令：foremost –t 文件類型的後綴 –i 要還原的存儲設備路徑

• 恢復完成後會在當前目錄創建一個 output 目錄，在 output 目錄下會創建 pdf 子目錄下會包括全部能夠恢復的 pdf 格式的文件。
• pdf 子目錄下會包括的 pdf 格式的文件名稱已經改變，另外 output 目錄下的 audit.txt 文件是恢復文件列表。

• 查看pdf目錄下面是還原的全部的pdf文件。

恢復多個類型文件

輸入指令： foremost -v -T -t doc,pdf,jpg,gif(文件類型) -i /dev/hda(要還原的存儲設備)

• 恢復完成後會在當前目錄創建一個 output 目錄，在 output 目錄下會創建四個子目錄（/doc,/pdf,/jpg,/gif），分別包括四種類型文件。因爲這次恢復的全部文件中並無.doc文件，因此output目錄下只有三個子目錄，沒有/doc子目錄。