Foremost

Бесплатно
Открытый исходный код
Linux

Сайт: foremost.sourceforge.net

Foremost — консольная утилита для восстановления данных методом file carving, разработанная для извлечения файлов из образов дисков и устройств хранения на основе сигнатур заголовков, футеров и внутренних структур файлов. Программа изначально создавалась и использовалась в задачах цифровой криминалистики и инцидент-реакции для быстрого поиска и извлечения известных типов файлов, когда файловая система повреждена или метаданные недоступны. Foremost работает в среде командной строки и ориентирована на обработку побайтных образов, raw-разделов и устройств блочного хранения.

Инструмент поддерживает набор предопределённых сигнатур для распространённых форматов (таких как изображения, документы и архивы) и позволяет пользователю добавлять собственные определения. Foremost осуществляет сканирование по всему объёму заданного образа, находит сегменты, соответствующие указанным сигнатурам, и восстанавливает содержимое в отдельные файлы, группируя результаты по типам. В случае ограниченной информации о конкретной реализации или изменениях в развитии проекта текст строится на общедоступных описаниях и типичных сценариях использования подобных утилит.

  • Поиск по сигнатурам: восстановление файлов по заголовкам и футерам форматов без опоры на файловую систему.
  • Поддержка форматов: набор предопределённых типов файлов (изображения, документы, архивы и пр.) с возможностью добавления пользовательских сигнатур.
  • Работа с образами: обработка raw-образов, разделов и блочных устройств в режиме чтения.
  • Консольный интерфейс: управление через командную строку с параметрами для указания диапазонов, форматов вывода и настроек производительности.
  • Группировка результатов: организация восстановленных файлов по каталогам и типам для удобства анализа.
  • Логирование и отчётность: ведение журналов операций и отчётов о найденных и восстановленных объектах.
  • Расширяемость: возможность адаптации и добавления новых сигнатур для поддержки нестандартных или редких форматов.
  • Применение в криминалистике: используется как вспомогательное средство при предварительном анализе носителей и извлечении артефактов.
Подробнее