[사용법] how to use foremost

foremost는 리눅스에서 데이터 복구를 위한 카빙 툴이다. 간단히 말하자면 디스크 hex 데이터에서 파일 헤더를 탐지하고 length를 체크하여 개별 파일을 복구해낸다. 특히 해킹대회에서 알 수 없는 파일이나 무엇인가 합쳐져 있는 것 같은 파일을 분리해낼때 융하게 쓰일 수 있다.

사용옵션

foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus.

$ foremost [-v|-V|-h|-T|-Q|-q|-a|-w-d] [-t <type>] [-s <blocks>] [-k <size>] 

[-b <size>] [-c <file>] [-o <dir>] [-i <file] 

-V  - display copyright information and exit

저작권 정보를 출력하고 종료한다.

-t  - specify file type.  (-t jpeg,pdf ...) 

뽑아낼 파일 형식을 지정한다.

-d  - turn on indirect block detection (for UNIX file-systems)

UNIX 파일 시스템 지원을 활성화한다.

-i  - specify input file (default is stdin) 

입력 파일을 지정한다.

-a  - Write all headers, perform no error detection (corrupted files) 

가능한 모든 파일을 검색하고 출력한다.

-w  - Only write the audit file, do not write any detected files to the disk 

-o  - set output directory (defaults to output)

출력파일을 저장한 디렉토리를 지정한다.

-c  - set configuration file to use (defaults to foremost.conf)

설정파일을 지정한다.

-q  - enables quick mode. Search are performed on 512 byte boundaries.

빠른 모드, 

-Q  - enables quiet mode. Suppress output messages.

조용한 모드? 

-v  - verbose mode. Logs all messages to screen

진행과정을 출력한다.

예를들면 test.png 라는 파일이 있고 이 파일에서 모든 파일을 분리해내고 싶을때 다음과 같은 옵셥을 사용할 수 있다.

- foremost -i test.png -a