バイナリイメージからファイルをリカバリー (Foremost)

• ディスクイメージ、メモリダンプ、パケットキャプチャデータ(pcap形式)等のバイナリデータからファイルを復元するには、以下のツールを使用すると簡単に作業を行える。

• カービング手法(ヘッダ、フッタ、データ構造に基づきファイルを復旧)を用いたリカバリーツール
  • Foremost

• アーカイブを展開してコンパイルするだけでOK
• Cygwin上でも実行可能
  • 予め開発環境を整えておくこと

# wget http://foremost.sourceforge.net/pkg/foremost-1.5.7.tar.gz
# tar xvzf foremost-1.5.7.tar.gz
# cd foremost-1.5.7
# make

• 通常は、解析するファイルを指定(“-i”オプション)するだけで問題無し。
  • リカバリするファイルタイプを指定する場合は“-t”オプションを使用する。
• 解析結果は「output」ディレクトリに保存される。

# ./foremost.exe -i imagefile 
Processing: imagefile
|*|
#

foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus.
$ foremost [-v|-V|-h|-T|-Q|-q|-a|-w-d] [-t <type>] [-s <blocks>] [-k <size>] 
        [-b <size>] [-c <file>] [-o <dir>] [-i <file] 

-V  - display copyright information and exit
-t  - specify file type.  (-t jpeg,pdf ...) 
-d  - turn on indirect block detection (for UNIX file-systems) 
-i  - specify input file (default is stdin) 
-a  - Write all headers, perform no error detection (corrupted files) 
-w  - Only write the audit file, do not write any detected files to the disk 
-o  - set output directory (defaults to output)
-c  - set configuration file to use (defaults to foremost.conf)
-q  - enables quick mode. Search are performed on 512 byte boundaries.
-Q  - enables quiet mode. Suppress output messages. 
-v  - verbose mode. Logs all messages to screen