《课程设计》——foremost的使用

《课程设计》——foremost的使用

foremost简介

• formost 是一个基于文件头和尾部信息以及文件的内建数据结构恢复文件的命令行工具。这个过程一般叫作数据挖掘（data carvubg）。formost 能够分析由 dd、Safeback、Encase 等生成的镜像文件，也能够直接分析驱动器。文件头和尾能够经过配置文件设置，也能够经过命令行开关使用 formost 内建的文件类型。formost 最初是由美国空军特别调查室（Air Force Office of Special Investigations）和信息系统安全研究中心（The Center for Information Systems Security Studies and Research）开发的，如今使用 GPL 许可。Foremost 支持恢复以下格式：avi, bmp, dll, doc, exe, gif, htm, jar, jpg, mbd, mov, mpg, pdf, png, ppt, rar, rif, sdw, sx, sxc, sxi, sxw, vis, wav, wmv, xls, zip。

实验步骤

恢复单个类型文件

• 由于实验环境没法链接移动设备，因此此实验以还原系统的硬盘文件作演示。
• 登陆操做机:帐号root，密码123456。
• 打开终端后使用foremost命令：foremost –t 文件类型的后缀 –i 要还原的存储设备路径

• 恢复完成后会在当前目录创建一个 output 目录，在 output 目录下会创建 pdf 子目录下会包括全部能够恢复的 pdf 格式的文件。
• pdf 子目录下会包括的 pdf 格式的文件名称已经改变，另外 output 目录下的 audit.txt 文件是恢复文件列表。

• 查看pdf目录下面是还原的全部的pdf文件。

恢复多个类型文件

输入指令： foremost -v -T -t doc,pdf,jpg,gif(文件类型) -i /dev/hda(要还原的存储设备)

• 恢复完成后会在当前目录创建一个 output 目录，在 output 目录下会创建四个子目录（/doc,/pdf,/jpg,/gif），分别包括四种类型文件。因为这次恢复的全部文件中并无.doc文件，因此output目录下只有三个子目录，没有/doc子目录。