Forensicist

# foremost [-v|-V|-h|-T|-Q|-q|-a|-w-d] [-t <type>] [-s <blocks>] [-k <size>] [-b <size>] [-c <file>] [-o <dir>] [-i <file>]

• -t 抽出したいフォーマットを指定します。指定可能なタイプはjpg, gif, png, bmp, avi, exe, mpg, wav, riff, wmv, mov, pdf, ole, doc, zip, rar, htm, cppで、allを指定すると全ての指定と等価です。
• -d 間接ブロックを検出するようにします。Unix系ファイルシステムでのみ指定可能です。
• -T 出力ディレクトリ名にタイムスタンプを付与します。
• -v 冗長出力のモードで実行します。
• -q クイックモードで実行します。各セクタの先頭のみからマッチするヘッダを探すため、Wordの埋め込みJPGなどは探索できないことがあります。
• -w ファイル抽出はせずに検査のみ実施します。
• -a 壊れたファイルでもエラー検出せず全てのヘッダを書き出します。
• -b n ブロックサイズをnにします。デフォルトは512です。
• -k n チャンクサイズをnにします。メモリ搭載量との兼ね合いで処理速度の向上が可能です。
• -i file 入力ファイルをfileに指定します。指定しない場合は標準入力を読み込みます。
• -o dir ディレクトリ名dirに抽出したファイルを書き出します。デフォルトはoutputです。
• -c file コンフィグファイルをfileから読み込みます。
• -s n 入力ファイルの先頭nブロックをスキップします。

コンフィグファイルで検索を制御することが可能です。抽出するファイルのタイプは拡張子、ヘッダ、フッタ、最大ファイルサイズを記述します。

(実行例)
先頭100ブロック分をスキップしてjpeg形式のファイルを抽出したい場合
# foremost -s 100 -t jpg -i image.dd

検査結果のみを冗長モードで出力したい場合
# foremost -av image.dd

全ての定義されたタイプのファイルを抽出したい場合
# foremost -t all -i image.dd

gifとpdf形式のファイルを抽出したい場合
# foremost -t gif,pdf -i image.dd

Unix系ファイルシステムからofficeドキュメントとjpegファイルを冗長モードで出力したい場合
# foremost -vd -t ole,jpeg -i image.dd

デフォルト設定で実行する場合
# foremost image.dd