TestDisk
開発元 | Christophe Grenier |
---|---|
最新版 |
7.2
/ 2024年2月22日 |
リポジトリ | |
プログラミング 言語 | C |
種別 | Data recovery |
ライセンス | GPL |
公式サイト |
www |
この項目「TestDisk」は途中まで翻訳されたものです。(原文:[1]) 翻訳作業に協力して下さる方を求めています。ノートページや履歴、翻訳のガイドラインも参照してください。要約欄への翻訳情報の記入をお忘れなく。(2024年3月) |
TestDiskは、自由でオープンソースのデータ復元プログラムであり、失われたパーティションの復元や壊れたファイルシステムの復元をすることができる[1]。TestDiskは壊れたドライブの詳細な情報を集めることができ、そのデータを専門家に渡してより細かい分析を依頼することもできる。TestDiskは、DOS、Microsoft Windows (NT 4.0、2000、XP、Server 2003、Server 2008、Vista、Windows 7、Windows 8.1、Windows 10)、Linux、FreeBSD、NetBSD、OpenBSD、SunOS、MacOSをサポートしている。パーティションされていないメディアとパーティションされているメディアのどちらも操作できる[2]。GUID Partition Table (GPT)、 Apple partition map、PC/Intel BIOS partition tables、Sun Solaris slice、Xbox fixed partitioning schemeを認識できる。TestDiskの操作にはキャラクタユーザインタフェース(CLI)を用いる。TestDiskによって、削除されたファイルを97%の精度で復元することができる[3]。
特徴
[編集]TestDiskは削除したパーティションの復元、パーティションテーブルの再構成やマスターブートレコード (MBR)の書き直しをすることができる[4][3]。
パーティションの復元
[編集]TestDiskはデータを保存したデバイス (たとえばハードディスクドライブ、メモリーカード、USBフラッシュドライブ、もしくは仮想ディスクのイメージ) のLBAやCHSの配置を、BIOSやオペレーティングシステムから取り出す。この配置の情報は復元を成功させるために必要である。TestDiskはデバイスのセクターを読み取り、パーティションテーブルやファイルシステムに修復が必要かどうかを判断する(次項を参照)。
TestDiskが認識できるパーティションテーブルのフォーマットは以下の通り[2]:
- Apple partition map
- GUID Partition Table
- Humax
- PC/Intel Partition Table (master boot record)
- Sun Solaris slice
- Xbox fixed partitioning scheme
- Non-partitioned media
TestDiskはさらに細かいチェックで、パーティションテーブルから削除されたパーティションを配置することができる[2]。ただし、TestDiskの見つけた復元可能な可能性のあるパーティションのリストから、実際に復元するパーティションを選択するのはユーザー自身の判断となる。
パーティションの配置後、TestDiskはパーティションテーブルの再構築とMBRの書き直しを行える[2]。
ファイルシステムの修復
[編集]TestDiskはいくつかの論理ファイルシステムに関しては修復することができる[5]。
ファイル復元
[編集]ファイルか削除されたとき、そのファイルの占めていたディスク内のクラスタの情報が消去され、その後に別のファイルの作成や修正をする際に利用可能なように印がつけられる。特に、もしそのファイルがフラグメンテーションされておらず、そのクラスタが再利用されていない場合は、TestDiskは削除されたファイルを復元することができる。
TesDiskのパッケージには2つのファイル復元の方法がある[2]:
- TestDiskは、ファイルシステムの情報を適切に用いて復元を行う。
- PhotoRecは「file carver」である。ファイルシステムの情報を使うのではなく、パーティションやディスクの中でファイルフォーマットのパターンを探す。フラグメンテーション化していないファイルに対しては有効である。ファイル名を復元することはできない。
デジタル・フォレンジック
[編集]TestDiskはデジタル・フォレンジックの分野で、ずっと昔に削除されたパーティションを回復するために使用できる[3]。EnCase(英語版)で使われているExpert Witness File Formatなど、様々な種類のディスクイメージをマウントすることができる[2]。ddrescueで作られたバイナリのディスクイメージなども、デバイスと同様にマウントすることが可能である[6]。
バージョン7以前のTestDiskでは、細工されたディスクやイメージを用いて、Cygwin上のTestDiskに悪意のあるコードを挿入することが可能であった[6]。
ファイルシステムのサポート
[編集]TestDiskのファイルシステムのサポート状況を次の表に示す。
名称[2] | パーティションの回復 | ファイルシステムの回復 | ファイルの回復 | |
---|---|---|---|---|
ファイルシステムの検知 | ブートセクタ/ スーパーブロックの修復 |
ファイルテーブルの修正 | 復元[2] | |
FAT12/16/32 | Yes | Yes[注釈 1][注釈 2] | Yes[注釈 3] | Yes |
exFAT | Yes | Yes[注釈 2] | Use fsck | Yes |
NTFS | Yes | Yes[注釈 1][注釈 2] | Yes[注釈 4] | Yes |
ext2, ext3, and ext4 | Yes | Yes[注釈 5] | Use fsck | Yes |
HFS, HFS+, HFSX | Yes | Yes[注釈 2] | Use fsck | No |
BeOS | Yes | No | No | |
BSD disklabel (FreeBSD/OpenBSD/NetBSD) | Yes | No | ||
Cramfs | Yes | No | ||
IBM JFS2 | Yes | No | ||
Linux RAID (mdadm)[注釈 6] | Yes | No | ||
Linux Swap 1 and 2 | Yes | No | ||
LVM and LVM2 | Yes | No | ||
Novell Storage Services (NSS) | Yes | No | ||
ReiserFS 3.5, 3.6 and 4 | Yes | No | ||
Sun Solaris i386 disklabel | Yes | No | ||
UFS and UFS2 (Sun/BSD/…) | Yes | No | ||
XFS from SGI | Yes | No |
パーティションテーブルの編集やPhotoRecの「carving」などの機能は、どのファイルシステムでも使用できる。
- ^ a b Find filesystem parameters to rewrite a valid BIOS parameter block (analogous to "superblocks" in Unix file systems)
- ^ a b c d Restore the BPB using its backup (NTFS, FAT32, exFAT)
- ^ Use the two copies of the FAT to rewrite a coherent version
- ^ Restore the Master File Table (MFT) from its backup
- ^ Find backup superblock location to assist fsck
- ^ RAID 1: mirroring, RAID 4: striped array with parity device, RAID 5: striped array with distributed parity information and RAID 6: striped array with distributed dual redundancy information
関連項目
[編集]- PhotoRec(英語版)
- List of data recovery software(英語版)
- List of free and open-source software packages(英語版)
脚注
[編集]- ^ Moggridge, J. (2017). “Security of patient data when decommissioning ultrasound systems”. Ultrasound (Leeds, England) 25 (1): 16–24. doi:10.1177/1742271X16688043. PMC 5308389. PMID 28228821 .
- ^ a b c d e f g h Grenier, Christophe (2021-05-31), TestDisk Documentation, CG Security (PDF)
- ^ a b c kumar, Hany; Saharan, Ravi; Panda, Saroj Kumar (March 2020). “Identification of Potential Forensic Artifacts in Cloud Storage Application”. 2020 International Conference on Computer Science, Engineering and Applications (ICCSEA). pp. 1–5. doi:10.1109/ICCSEA49143.2020.9132869. ISBN 978-1-7281-5830-3
- ^ Debra Littlejohn Shinder, Michael Cross (2002). Scene of the cybercrime, page 328. Syngress. ISBN 978-1-931836-65-4.
- ^ Jack Wiles, Kevin Cardwell, Anthony Reyes (2007). The best damn cybercrime and digital forensics book period, page 373. Syngress. ISBN 978-1-59749-228-7.
- ^ a b Németh, Z. L. (2015). “Modern binary attacks and defences in the windows environment — Fighting against microsoft EMET in seven rounds”. 2015 IEEE 13th International Symposium on Intelligent Systems and Informatics (SISY). pp. 275–280. doi:10.1109/SISY.2015.7325394. ISBN 978-1-4673-9388-1
外部リンク
[編集]- TestDisk Wiki
- List of news articles about TestDisk and PhotoRec
- Data Recovery With TestDisk, Falko Timme, HowtoForge
- Digital Forensics using Linux and Open Source Tools
Test Disk Team: Main Contributor: Christophe Grenier. Location: Paris, France. URL: cgsecurity.org. He started the project in 1998 and is still the main developer. He is also responsible for the packaging of TestDisk & PhotoRec for DOS, Windows, Linux (generic version), MacOS X, and Fedora distribution.