《课程设计》——foremost的使用

《课程设计》——foremost的使用

foremost简介

• formost 是一个基于文件头和尾部信息以及文件的内建数据结构恢复文件的命令行工具。这个过程通常叫做数据挖掘（data carvubg）。formost 可以分析由 dd、Safeback、Encase 等生成的镜像文件，也可以直接分析驱动器。文件头和尾可以通过配置文件设置，也可以通过命令行开关使用 formost 内建的文件类型。formost 最初是由美国空军特别调查室（Air Force Office of Special Investigations）和信息系统安全研究中心（The Center for Information Systems Security Studies and Research）开发的，现在使用 GPL 许可。Foremost 支持恢复如下格式：avi, bmp, dll, doc, exe, gif, htm, jar, jpg, mbd, mov, mpg, pdf, png, ppt, rar, rif, sdw, sx, sxc, sxi, sxw, vis, wav, wmv, xls, zip。

实验步骤

恢复单个类型文件

• 因为实验环境无法连接移动设备，所以此实验以还原系统的硬盘文件做演示。
• 登录操作机:账号root，密码123456。
• 打开终端后使用foremost命令：foremost –t 文件类型的后缀 –i 要还原的存储设备路径

• 恢复完成后会在当前目录建立一个 output 目录，在 output 目录下会建立 pdf 子目录下会包括所有可以恢复的 pdf 格式的文件。
• pdf 子目录下会包括的 pdf 格式的文件名称已经改变，另外 output 目录下的 audit.txt 文件是恢复文件列表。

• 查看pdf目录下面是还原的所有的pdf文件。

恢复多个类型文件

输入指令： foremost -v -T -t doc,pdf,jpg,gif(文件类型) -i /dev/hda(要还原的存储设备)

• 恢复完成后会在当前目录建立一个 output 目录，在 output 目录下会建立四个子目录（/doc,/pdf,/jpg,/gif），分别包括四种类型文件。由于此次恢复的所有文件中并没有.doc文件，所以output目录下只有三个子目录，没有/doc子目录。