foremost: Eine Alternative zu photorec?

Vor einiger Zeit habe ich hier im Blog schon mal kurz photorec vorgestellt. Mit dieser Software lassen sich recht simpel die verschiedensten Dateiformate wiederherstellen.

Im aktuellen Fall muss ich von einer „klackernden“ Festplatte mp3-Dateien wiederherstellen. Der Anwender hat zwar vorbildlich Backups von wichtigen Dateien gemacht, nur die Musiksammlung hat er vergessen und zu allem Übel auch noch in der Hitze des Gefechts gelöscht. Da die Platte schon Geräusche von sich gibt, habe ich sicherheitshalber erst einmal ein Image erstellt. Sonst gebe ich immer photorec den Vorzug, diesmal wollte ich aber foremost die Arbeit verrichten lassen.

Installation

Unter Debian und Ubuntu gelingt die Installtion ganz simpel mit

apt-get install foremost

Schon hat man das Forensiktool auf seinem System installiert.

Konfiguration

Installiert ist foremost schon einmal, aber im Gegensatz zu photorec muss man hier in der Konfigurationsdatei /etc/foremost.conf erst händisch die unterstützen Formate freischalten. Die Datei sieht in Auszügen folgender Maßen aus:

#
# Foremost configuration file
#————————————————————————-
# Note the foremost configuration file is provided to support formats which
# don’t have built-in extraction functions. If the format is built-in to foremost
# simply run foremost with -t and provide the format you wish to extract.


#
#wildcard ?
#
# case size header footer
#extension sensitive
#
#———————————————————————
# EXAMPLE WITH NO SUFFIX
#———————————————————————
#
# Here is an example of how to use the no extension option. Any files
# containing the string „FOREMOST“ would be extracted to a file without
# an extension (eg: 00000000,00000001)
# NONE y 1000 FOREMOST

#———————————————————————
# SOUND FILES
#———————————————————————
# (NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION)
# wav y 200000 RIFF????WAVE
#
# Real Audio Files
# ra y 1000000 \x2e\x72\x61\xfd
# ra y 1000000 .RMF
#
# asf y 8000000 \x30\x26\xB2\x75\x8E\x66\xCF\x11\xA6\xD9\x00\xAA\x00\x62\xCE\x6C
#
# wmv y 20000000 \x30\x26\xB2\x75\x8E\x66\xCF\x11\xA6\xD9\x00\xAA\x00\x62\xCE\x6C
#
# wma y 8000000 \x30\x26\xB2\x75 \x00\x00\x00\xFF
#
# wma y 8000000 \x30\x26\xB2\x75 \x52\x9A\x12\x46
#
# mp3 y 8000000 \xFF\xFB??\x44\x00\x00
# mp3 y 8000000 \x57\x41\x56\45 \x00\x00\xFF\
# mp3 y 8000000 \xFF\xFB\xD0\ \xD1\x35\x51\xCC\
# mp3 y 8000000 \x49\x44\x33\
# mp3 y 8000000 \x4C\x41\x4D\x45\
#———————————————————————

Vor jedem Dateityp steht eine Raute, dies bedeutet der Dateityp ist deaktiviert. Also Raute vor mp3 entfernen und schon kann es losgehen.

Benutzung

Wiederherstellung aus der Abbilddatei:

foremost -t mp3 -i /hier/gehts/zur/Abbilddatei

Anschließend findet man die Dateien unter /home/Benutzer/output. Wer lieber sein eigenes Output-Directory angibt nimmt den Schalter -o

foremost -t mp3 -i /hier/gehts/zur/Abbilddatei -o /mein/output/dir/

Etwas mehr Info zur Benutzung findet man im Artikel des UU-Wikis.

Kurzes Fazit

Ist foremost erst einmal eingerichtet verrichtet es seine Arbeit tadellos. Zuküftig werde ich aber trotzdem weiterhin photorec verwenden, da wesentlich mehr Optionen und unterstützte Dateiformate bietet.

  1. No trackbacks yet.

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: