最重要的包装说明
最重要的是取证程序来恢复基于其页眉,页脚和内部数据结构丢失的文件。最重要的是可以使图像文件,如那些使用dd,Safeback,包住,等,或直接在一个驱动器产生的工作。页眉和页脚可以通过配置文件中指定,也可以使用命令行开关指定内置的文件类型。这些内置的类型来看一个给定的文件格式,实现更可靠和更快的恢复的数据结构。 资料来源:http://foremost.sourceforge.net/
- 作者:美国政府
- 许可:公共领域
0x01 包括在最重要的包装工具
最重要的是 - 司法程序来恢复丢失的文件:~# foremost -h foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus. $ foremost [-v|-V|-h|-T|-Q|-q|-a|-w-d] [-t <type>] [-s <blocks>] [-k <size>] [-b <size>] [-c <file>] [-o <dir>] [-i <file] -V - display copyright information and exit -t - specify file type. (-t jpeg,pdf ...) -d - turn on indirect block detection (for UNIX file-systems) -i - specify input file (default is stdin) -a - Write all headers, perform no error detection (corrupted files) -w - Only write the audit file, do not write any detected files to the disk -o - set output directory (defaults to output) -c - set configuration file to use (defaults to foremost.conf) -q - enables quick mode. Search are performed on 512 byte boundaries. -Q - enables quiet mode. Suppress output messages. -v - verbose mode. Logs all messages to screen0x02 最重要的是用法示例
搜索选择文件类型 (-t DOC,JPG,PDF,XLS) 给定的图像文件 (-i image.dd) 在::~# foremost -t doc,jpg,pdf,xls -i image.dd Processing: image.dd |*| :~# ls output/ audit.txt jpg pdf原文来自:https://www.hackfun.org/kali-tools/foremost_zh.html。转载请注明原出处,商用请联系原作者授权。