Foremost

Foremost 是一个控制台程序，用于根据文件的头、尾和内部数据结构恢复文件。这个过程通常被称为数据提取（data carving）。Foremost 可以处理镜像文件（例如 dd、Safeback、Encase 等生成的），或者直接在驱动器上操作。头和尾可以通过配置文件指定，也可以使用命令行开关指定内置的文件类型。这些内置类型会分析给定文件格式的数据结构，从而实现更可靠、更快速的恢复。

安装 foremost 包。

在大多数情况下，无需配置 Foremost，因为默认操作已能识别大多数常用文件类型。尽管如此，也可以添加其他文件头用于检测，例如添加条目或取消注释示例。

/etc/foremost.conf

#	wma     y       8000000  \x30\x26\xB2\x75    \x00\x00\x00\xFF
#
#	wma     y       8000000  \x30\x26\xB2\x75    \x52\x9A\x12\x46
#
	mp3     y    	8000000 \xFF\xFB??\x44\x00\x00
	mp3     y    	8000000 \x57\x41\x56\45            \x00\x00\xFF\
	mp3     y    	8000000 \xFF\xFB\xD0\            \xD1\x35\x51\xCC\
	mp3     y    	8000000 \x49\x44\x33\
	mp3     y    	8000000 \x4C\x41\x4D\x45\

使用镜像或设备路径作为参数，并加上输出目录的路径，运行以下命令：

# foremost -t all -i /path/to/image -o outputdir

参数 -t all 尝试恢复所有已知的文件类型。

• 主页： https://foremost.sourceforge.net
• Forensicswiki.org 条目： https://forensics.wiki/foremost/