TestDisk

TestDisk
開発元 Christophe Grenier
最新版
7.2 / 2024年2月22日 (2024-02-22)
リポジトリ
ウィキデータを編集
プログラミング
言語		 C
種別 Data recovery
ライセンス GPL
公式サイト www.cgsecurity.org/wiki/TestDisk
テンプレートを表示

TestDiskは、自由でオープンソースのデータ復元プログラムであり、失われたパーティションの復元や壊れたファイルシステムの復元をすることができる[1]。TestDiskは壊れたドライブの詳細な情報を集めることができ、そのデータを専門家に渡してより細かい分析を依頼することもできる。TestDiskは、DOSMicrosoft Windows (NT 4.02000XPServer 2003Server 2008VistaWindows 7Windows 8.1Windows 10)、LinuxFreeBSDNetBSDOpenBSDSunOSMacOSをサポートしている。パーティションされていないメディアとパーティションされているメディアのどちらも操作できる[2]GUID Partition Table (GPT)、 Apple partition map、PC/Intel BIOS partition tables、Sun Solaris slice、Xbox fixed partitioning schemeを認識できる。TestDiskの操作にはキャラクタユーザインタフェース(CLI)を用いる。TestDiskによって、削除されたファイルを97%の精度で復元することができる[3]

特徴

[編集]

TestDiskは削除したパーティションの復元、パーティションテーブルの再構成やマスターブートレコード (MBR)の書き直しをすることができる[4][3]

パーティションの復元

[編集]

TestDiskはデータを保存したデバイス (たとえばハードディスクドライブメモリーカードUSBフラッシュドライブ、もしくは仮想ディスクのイメージ) のLBACHSの配置を、BIOSオペレーティングシステムから取り出す。この配置の情報は復元を成功させるために必要である。TestDiskはデバイスのセクターを読み取り、パーティションテーブルやファイルシステムに修復が必要かどうかを判断する(次項を参照)。

TestDiskが認識できるパーティションテーブルのフォーマットは以下の通り[2]:

  • Apple partition map
  • GUID Partition Table
  • Humax
  • PC/Intel Partition Table (master boot record)
  • Sun Solaris slice
  • Xbox fixed partitioning scheme
  • Non-partitioned media

TestDiskはさらに細かいチェックで、パーティションテーブルから削除されたパーティションを配置することができる[2]。ただし、TestDiskの見つけた復元可能な可能性のあるパーティションのリストから、実際に復元するパーティションを選択するのはユーザー自身の判断となる。

パーティションの配置後、TestDiskはパーティションテーブルの再構築とMBRの書き直しを行える[2]

ファイルシステムの修復

[編集]

TestDiskはいくつかの論理ファイルシステムに関しては修復することができる[5]

ファイル復元

[編集]

ファイルか削除されたとき、そのファイルの占めていたディスク内のクラスタの情報が消去され、その後に別のファイルの作成や修正をする際に利用可能なように印がつけられる。特に、もしそのファイルがフラグメンテーションされておらず、そのクラスタが再利用されていない場合は、TestDiskは削除されたファイルを復元することができる。

TesDiskのパッケージには2つのファイル復元の方法がある[2]:

  • TestDiskは、ファイルシステムの情報を適切に用いて復元を行う。
  • PhotoRecは「file carver」である。ファイルシステムの情報を使うのではなく、パーティションやディスクの中でファイルフォーマットのパターンを探す。フラグメンテーション化していないファイルに対しては有効である。ファイル名を復元することはできない。

デジタル・フォレンジック

[編集]

TestDiskはデジタル・フォレンジックの分野で、ずっと昔に削除されたパーティションを回復するために使用できる[3]EnCase(英語版)で使われているExpert Witness File Formatなど、様々な種類のディスクイメージをマウントすることができる[2]ddrescueで作られたバイナリのディスクイメージなども、デバイスと同様にマウントすることが可能である[6]

バージョン7以前のTestDiskでは、細工されたディスクやイメージを用いて、Cygwin上のTestDiskに悪意のあるコードを挿入することが可能であった[6]

ファイルシステムのサポート

[編集]

TestDiskのファイルシステムのサポート状況を次の表に示す。

名称[2] パーティションの回復 ファイルシステムの回復 ファイルの回復
ファイルシステムの検知 ブートセクタ/
スーパーブロックの修復 		ファイルテーブルの修正 復元[2]
FAT12/16/32 Yes Yes[注釈 1][注釈 2] Yes[注釈 3] Yes
exFAT Yes Yes[注釈 2] Use fsck Yes
NTFS Yes Yes[注釈 1][注釈 2] Yes[注釈 4] Yes
ext2, ext3, and ext4 Yes Yes[注釈 5] Use fsck Yes
HFS, HFS+, HFSX Yes Yes[注釈 2] Use fsck No
BeOS Yes No No
BSD disklabel (FreeBSD/OpenBSD/NetBSD) Yes No
Cramfs Yes No
IBM JFS2 Yes No
Linux RAID (mdadm)[注釈 6] Yes No
Linux Swap 1 and 2 Yes No
LVM and LVM2 Yes No
Novell Storage Services (NSS) Yes No
ReiserFS 3.5, 3.6 and 4 Yes No
Sun Solaris i386 disklabel Yes No
UFS and UFS2 (Sun/BSD/…) Yes No
XFS from SGI Yes No

パーティションテーブルの編集やPhotoRecの「carving」などの機能は、どのファイルシステムでも使用できる。

  1. ^ a b Find filesystem parameters to rewrite a valid BIOS parameter block (analogous to "superblocks" in Unix file systems)
  2. ^ a b c d Restore the BPB using its backup (NTFS, FAT32, exFAT)
  3. ^ Use the two copies of the FAT to rewrite a coherent version
  4. ^ Restore the Master File Table (MFT) from its backup
  5. ^ Find backup superblock location to assist fsck
  6. ^ RAID 1: mirroring, RAID 4: striped array with parity device, RAID 5: striped array with distributed parity information and RAID 6: striped array with distributed dual redundancy information

関連項目

[編集]
ポータル Free and open-source software
ポータル Free and open-source software

脚注

[編集]
  1. ^ Moggridge, J. (2017). “Security of patient data when decommissioning ultrasound systems”. Ultrasound (Leeds, England) 25 (1): 16–24. doi:10.1177/1742271X16688043. PMC 5308389. PMID 28228821. https://www.ncbi.nlm.nih.gov/pmc/articles/PMC5308389/. 
  2. ^ a b c d e f g h Grenier, Christophe (2021-05-31), TestDisk Documentation, CG Security, https://www.cgsecurity.org/testdisk_doc/  (PDF)
  3. ^ a b c kumar, Hany; Saharan, Ravi; Panda, Saroj Kumar (March 2020). “Identification of Potential Forensic Artifacts in Cloud Storage Application”. 2020 International Conference on Computer Science, Engineering and Applications (ICCSEA). pp. 1–5. doi:10.1109/ICCSEA49143.2020.9132869. ISBN 978-1-7281-5830-3. https://ieeexplore.ieee.org/document/9132869 
  4. ^ Debra Littlejohn Shinder, Michael Cross (2002). Scene of the cybercrime, page 328. Syngress. ISBN 978-1-931836-65-4.
  5. ^ Jack Wiles, Kevin Cardwell, Anthony Reyes (2007). The best damn cybercrime and digital forensics book period, page 373. Syngress. ISBN 978-1-59749-228-7.
  6. ^ a b Németh, Z. L. (2015). “Modern binary attacks and defences in the windows environment — Fighting against microsoft EMET in seven rounds”. 2015 IEEE 13th International Symposium on Intelligent Systems and Informatics (SISY). pp. 275–280. doi:10.1109/SISY.2015.7325394. ISBN 978-1-4673-9388-1. https://ieeexplore.ieee.org/document/7325394 

外部リンク

[編集]

Test Disk Team: Main Contributor: Christophe Grenier. Location: Paris, France. URL: cgsecurity.org. He started the project in 1998 and is still the main developer. He is also responsible for the packaging of TestDisk & PhotoRec for DOS, Windows, Linux (generic version), MacOS X, and Fedora distribution.