TestDisk

TestDisk
開発元	Christophe Grenier
最新版	7.2 / 2024年2月22日
リポジトリ	git.cgsecurity.org/cgit/testdisk/;
プログラミング; 言語	C
種別	Data recovery
ライセンス	GPL
公式サイト	www.cgsecurity.org/wiki/TestDisk
	テンプレートを表示

TestDiskは、自由でオープンソースのデータ復元プログラムであり、失われたパーティションの復元や壊れたファイルシステムの復元をすることができる^[1]。TestDiskは壊れたドライブの詳細な情報を集めることができ、そのデータを専門家に渡してより細かい分析を依頼することもできる。TestDiskは、DOS、Microsoft Windows (NT 4.0、2000、XP、Server 2003、Server 2008、Vista、Windows 7、Windows 8.1、Windows 10)、Linux、FreeBSD、NetBSD、OpenBSD、SunOS、MacOSをサポートしている。パーティションされていないメディアとパーティションされているメディアのどちらも操作できる^[2]。GUID Partition Table (GPT)、 Apple partition map、PC/Intel BIOS partition tables、Sun Solaris slice、Xbox fixed partitioning schemeを認識できる。TestDiskの操作にはキャラクタユーザインタフェース(CLI)を用いる。TestDiskによって、削除されたファイルを97%の精度で復元することができる^[3]。

特徴

TestDiskは削除したパーティションの復元、パーティションテーブルの再構成やマスターブートレコード (MBR)の書き直しをすることができる^[4]^[3]。

パーティションの復元

TestDiskはデータを保存したデバイス (たとえばハードディスクドライブ、メモリーカード、USBフラッシュドライブ、もしくは仮想ディスクのイメージ) のLBAやCHSの配置を、BIOSやオペレーティングシステムから取り出す。この配置の情報は復元を成功させるために必要である。TestDiskはデバイスのセクターを読み取り、パーティションテーブルやファイルシステムに修復が必要かどうかを判断する(次項を参照)。

TestDiskが認識できるパーティションテーブルのフォーマットは以下の通り^[2]:

Apple partition map
GUID Partition Table
Humax
PC/Intel Partition Table (master boot record)
Sun Solaris slice
Xbox fixed partitioning scheme
Non-partitioned media

TestDiskはさらに細かいチェックで、パーティションテーブルから削除されたパーティションを配置することができる^[2]。ただし、TestDiskの見つけた復元可能な可能性のあるパーティションのリストから、実際に復元するパーティションを選択するのはユーザー自身の判断となる。

パーティションの配置後、TestDiskはパーティションテーブルの再構築とMBRの書き直しを行える^[2]。

ファイルシステムの修復

TestDiskはいくつかの論理ファイルシステムに関しては修復することができる^[5]。

ファイル復元

ファイルか削除されたとき、そのファイルの占めていたディスク内のクラスタの情報が消去され、その後に別のファイルの作成や修正をする際に利用可能なように印がつけられる。特に、もしそのファイルがフラグメンテーションされておらず、そのクラスタが再利用されていない場合は、TestDiskは削除されたファイルを復元することができる。

TesDiskのパッケージには２つのファイル復元の方法がある^[2]:

TestDiskは、ファイルシステムの情報を適切に用いて復元を行う。
PhotoRecは「file carver」である。ファイルシステムの情報を使うのではなく、パーティションやディスクの中でファイルフォーマットのパターンを探す。フラグメンテーション化していないファイルに対しては有効である。ファイル名を復元することはできない。

デジタル・フォレンジック

TestDiskはデジタル・フォレンジックの分野で、ずっと昔に削除されたパーティションを回復するために使用できる^[3]。EnCase(英語版)で使われているExpert Witness File Formatなど、様々な種類のディスクイメージをマウントすることができる^[2]。ddrescueで作られたバイナリのディスクイメージなども、デバイスと同様にマウントすることが可能である^[6]。

バージョン7以前のTestDiskでは、細工されたディスクやイメージを用いて、Cygwin上のTestDiskに悪意のあるコードを挿入することが可能であった^[6]。

ファイルシステムのサポート

TestDiskのファイルシステムのサポート状況を次の表に示す。

名称^[2]	パーティションの回復	ファイルシステムの回復		ファイルの回復
名称^[2]	ファイルシステムの検知	ブートセクタ/ スーパーブロックの修復	ファイルテーブルの修正	復元^[2]
FAT12/16/32	Yes	Yes^{[注釈 1]}^{[注釈 2]}	Yes^{[注釈 3]}	Yes
exFAT	Yes	Yes^{[注釈 2]}	Use fsck	Yes
NTFS	Yes	Yes^{[注釈 1]}^{[注釈 2]}	Yes^{[注釈 4]}	Yes
ext2, ext3, and ext4	Yes	Yes^{[注釈 5]}	Use fsck	Yes
HFS, HFS+, HFSX	Yes	Yes^{[注釈 2]}	Use fsck	No
BeOS	Yes	No		No
BSD disklabel (FreeBSD/OpenBSD/NetBSD)	Yes			No
Cramfs	Yes			No
IBM JFS2	Yes			No
Linux RAID (mdadm)^{[注釈 6]}	Yes			No
Linux Swap 1 and 2	Yes			No
LVM and LVM2	Yes			No
Novell Storage Services (NSS)	Yes			No
ReiserFS 3.5, 3.6 and 4	Yes			No
Sun Solaris i386 disklabel	Yes			No
UFS and UFS2 (Sun/BSD/…)	Yes			No
XFS from SGI	Yes			No

パーティションテーブルの編集やPhotoRecの「carving」などの機能は、どのファイルシステムでも使用できる。

^ ^a ^b Find filesystem parameters to rewrite a valid BIOS parameter block (analogous to "superblocks" in Unix file systems)
^ ^a ^b ^c ^d Restore the BPB using its backup (NTFS, FAT32, exFAT)
^ Use the two copies of the FAT to rewrite a coherent version
^ Restore the Master File Table (MFT) from its backup
^ Find backup superblock location to assist fsck
^ RAID 1: mirroring, RAID 4: striped array with parity device, RAID 5: striped array with distributed parity information and RAID 6: striped array with distributed dual redundancy information

脚注

^ Moggridge, J. (2017). “Security of patient data when decommissioning ultrasound systems”. Ultrasound (Leeds, England) 25 (1): 16–24. doi:10.1177/1742271X16688043. PMC 5308389. PMID 28228821.
^ ^a ^b ^c ^d ^e ^f ^g ^h Grenier, Christophe (2021-05-31), TestDisk Documentation, CG Security (PDF)
^ ^a ^b ^c kumar, Hany; Saharan, Ravi; Panda, Saroj Kumar (March 2020). “Identification of Potential Forensic Artifacts in Cloud Storage Application”. 2020 International Conference on Computer Science, Engineering and Applications (ICCSEA). pp. 1–5. doi:10.1109/ICCSEA49143.2020.9132869. ISBN 978-1-7281-5830-3
^ Debra Littlejohn Shinder, Michael Cross (2002). Scene of the cybercrime, page 328. Syngress. ISBN 978-1-931836-65-4.
^ Jack Wiles, Kevin Cardwell, Anthony Reyes (2007). The best damn cybercrime and digital forensics book period, page 373. Syngress. ISBN 978-1-59749-228-7.
^ ^a ^b Németh, Z. L. (2015). “Modern binary attacks and defences in the windows environment — Fighting against microsoft EMET in seven rounds”. 2015 IEEE 13th International Symposium on Intelligent Systems and Informatics (SISY). pp. 275–280. doi:10.1109/SISY.2015.7325394. ISBN 978-1-4673-9388-1

外部リンク

TestDisk Wiki
List of news articles about TestDisk and PhotoRec
Data Recovery With TestDisk, Falko Timme, HowtoForge
Digital Forensics using Linux and Open Source Tools

Test Disk Team: Main Contributor: Christophe Grenier. Location: Paris, France. URL: cgsecurity.org. He started the project in 1998 and is still the main developer. He is also responsible for the packaging of TestDisk & PhotoRec for DOS, Windows, Linux (generic version), MacOS X, and Fedora distribution.