Foremost

Foremost 是一个命令行程序，用于根据文件头、文件尾和内部数据结构恢复文件。这个过程通常被称为数据雕刻。Foremost 可以处理镜像文件，例如由 dd、Safeback、Encase 等生成的镜像文件，或者直接在驱动器上工作。文件头和文件尾可以通过配置文件指定，或者你可以使用命令行开关来指定内置的文件类型。这些内置类型会查看给定文件格式的数据结构，从而实现更可靠和更快速的恢复。

安装

安装 foremost 软件包。

配置

在大多数情况下，没有必要配置 Foremost，因为在默认操作中，它已经识别了大多数常见的文件类型。尽管如此，可以添加额外的文件头用于检测，例如添加条目或取消注释示例

/etc/foremost.conf

#	wma     y       8000000  \x30\x26\xB2\x75    \x00\x00\x00\xFF
#
#	wma     y       8000000  \x30\x26\xB2\x75    \x52\x9A\x12\x46
#
	mp3     y    	8000000 \xFF\xFB??\x44\x00\x00
	mp3     y    	8000000 \x57\x41\x56\45            \x00\x00\xFF\
	mp3     y    	8000000 \xFF\xFB\xD0\            \xD1\x35\x51\xCC\
	mp3     y    	8000000 \x49\x44\x33\
	mp3     y    	8000000 \x4C\x41\x4D\x45\

用法

使用镜像或设备路径作为参数，以及输出目录的附加路径，运行以下命令

# foremost -t all -i /path/to/image -o outputdir

参数 -t all 尝试恢复所有已知的文件类型。

参见

• 主页：https://foremost.sourceforge.net
• Forensicswiki.org 中的条目：https://forensics.wiki/foremost/