Hướng dẫn khôi phục các file đã xoá trên Linux với Foremost

Hướng dẫn Phục hồi những tệp tin tiếp tục xoá bên trên Linux với Foremost | Chào chúng ta, cho tới với nội dung bài viết này tất cả chúng ta tiếp tục nằm trong thăm dò hiểu đem cơ hội này nhằm khôi phục (restore) những tệp tin tiếp tục lỡ tay bị xoá rơi rụng bên trên Linux ko nhé ?! May mắn thay cho công tác khí cụ Foremost tiếp tục xuất hiện nay và mang đến thời cơ chắc chắn nhằm cứu vớt vớt tài liệu của khách hàng.

khôi phục tệp tin bị xoá bên trên linux

Bạn đang xem: foremost la gi

Thao tác Phục hồi những tệp tin tiếp tục xoá bên trên Linux với Foremost

1. Tình huống fake định

Một ngày xấu xa trời, chúng ta – một nhân viên cấp dưới cai quản trị hệ thống Linux cho 1 tập đoàn thiệt rộng lớn, vô tình xóa rơi rụng một tệp tin cực kỳ rất cần thiết bên trên hệ quản lý và điều hành Linux của tớ. Quý Khách hoang mang và sợ hãi về thiệt sợ hãi này giống như không đem backup tệp tin vừa vặn xoá.

Cuongquach.com tiếp tục chỉ dẫn chúng ta Phục hồi tệp tin tiếp tục xóa nhập nội dung bài viết này với tỉ lệ thành phần thành công xuất sắc cao (rủi ro ko thành công xuất sắc vẫn đang còn nhé). Với ĐK ổ đĩa của khách hàng khồng hề bị format và ghi đè kể từ khi xoá rơi rụng công tác.

2. Foremost là gì?

Foremost là một trong công tác forensic (hỗ trợ khảo sát số) dùng để làm Phục hồi những tệp tin đã trở nên xoá rơi rụng bên trên Linux dựa vào header, footer hoặc cấu tạo tài liệu phía bên trong của tệp tin. Foremost rất có thể Phục hồi những tệp tin hình hình ảnh, những tệp tin được tạo ra bởi vì mệnh lệnh dd, Safeback, Encase … hoặc thẳng bên trên ổ đĩa.

Hiện bên trên những loại tệp tin sau foremost rất có thể Phục hồi được: jpg gif png bmp avi exe mpg riff wmv mov pdf ole doc zip rar htm cpp

Lưu ý:
– Foremost hoặc bất kể công tác Phục hồi tài liệu nào thì cũng ko thể đáp ứng 100% kĩ năng thành công xuất sắc.

3. Cài đặt điều Foremost

+ Trên Mint/Debian/Ubuntu

# apt-get install foremost

+ Trên CentOS/RHEL 7

# yum install https://forensics.cert.org/centos/cert/7/x86_64//foremost-1.5.7-13.1.el7.x86_64.rpm -y

+ Trên CentOS/RHEL 6
– Quý Khách cần compile kể từ source nếu còn muốn thiết đặt mang lại CentOS 6. Các chúng ta chuyên chở source về theo dõi links github sau: https://github.com/korczis/foremost

# wget https://github.com/korczis/foremost/archive/v1.5.7.tar.gz
# tar zxvf v1.5.7.tar.gz
# cd foremost-1.5.7
# make
# make install

4. Hướng dẫn dùng Foremost

Cú pháp:

foremost [-v|-V|-h|-T|-Q|-q|-a|-w-d] [-t <type>] [-s <blocks>] [-k <size>] 
[-b <size>] [-c <file>] [-o <dir>] [-i <file]

Để thấu hiểu những option của foremost, chúng ta dùng mệnh lệnh sau -h (help):

[root@localhost ~]# foremost -h
foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus.
$ foremost [-v|-V|-h|-T|-Q|-q|-a|-w-d] [-t <type>] [-s <blocks>] [-k <size>] 
[-b <size>] [-c <file>] [-o <dir>] [-i <file]

-V - display copyright information and exit
-t - specify tệp tin type. (-t jpeg,pdf ...) 
-d - turn on indirect block detection (for UNIX file-systems) 
-i - specify input tệp tin (default is stdin) 
-a - Write all headers, perform no error detection (corrupted files) 
-w - Only write the audit tệp tin, tự not write any detected files vĩ đại the disk 
-o - phối output directory (defaults vĩ đại output)
-c - phối configuration tệp tin vĩ đại use (defaults vĩ đại foremost.conf)
-q - enables quick mode. Search are performed on 512 byte boundaries.
-Q - enables quiet mode. Suppress output messages. 
-v - verbose mode. Logs all messages vĩ đại screen

Trong cơ chúng ta cần thiết quan hoài nhiều hơn thế cho tới những option sau:

Xem thêm: giáo thảo vừa quyến rũ vừa ngọt ngào

-t: hướng dẫn và chỉ định loại tệp tin, ví dụ tệp tin hình là jpg, png. File pdf là pdf …
-i: hướng dẫn và chỉ định partition chứa chấp tệp tin bị xóa, ví dụ /dev/sda1, /dev/sda2. Quý Khách dùng mệnh lệnh ‘df’ .
-h hoặc mệnh lệnh `mount` nhằm xác lập.
-o: hướng dẫn và chỉ định sản phẩm trả rời khỏi.

Ví dụ cụ thể:

Mình có một tệp tin nghe đâu nhập hình, tệp tin dạng jpg và bản thân kiểm tra được md5 checksum là bb75024b785783acdd9cdf08a5e329f8 .

foremost - 1

# md5sum canh-dep-thien-nhien-tai-italia.jpg
bb75024b785783acdd9cdf08a5e329f8  canh-dep-thien-nhien-tai-italia.jpg

Bây giờ bản thân tiếp tục người sử dụng mệnh lệnh ‘rm‘ (Hướng dẫn xoá tệp tin hoặc folder bên trên Linux) nhằm xóa tệp tin chuồn.

foremost - 2

# rm -f canh-dep-thien-nhien-tai-italia.jpg

Để Phục hồi được, bản thân cần thiết xác lập partiton chứa chấp tệp tin đã trở nên xoá. Như nhập hình của tớ là /dev/sda3 .

foremost 3

# pwd
/home/restore-file

# df -h
Filesystem      Size  Used Avail Use% Mounted on
/dev/sda3        18G   14G  3.6G  79% /
tmpfs           497M  112K  497M   1% /dev/shm
/dev/sda1       190M  121M   60M  67% /boot

Tiếp theo dõi bản thân tiếp tục chạy mệnh lệnh sau nhằm tổ chức restore lại, tất yếu trước cơ tôi đã tạo ra folder restore nhằm độ quý hiếm Output được lưu nhập tệp tin này.

# foremost -i /dev/sda3 -t jpg -o /home/restore-file/
Processing: /dev/sda3
|***************************************************************************************************************************************************************************************|

Sau Khi mệnh lệnh chạy xong xuôi, chúng ta nhập đường đi /home/restore-file/ nhằm đánh giá coi đem gì nhập phía trên.

# cd /home/restore-file/jpg/
# ll
...
4.0K -rw-r--r-- 1 root root 1.5K Mar  6 07:29 34854728.jpg
4.0K -rw-r--r-- 1 root root 2.1K Mar  6 07:29 34854944.jpg
4.0K -rw-r--r-- 1 root root 1.8K Mar  6 07:29 34854960.jpg
 20K -rw-r--r-- 1 root root  17K Mar  6 07:29 34856768.jpg
 24K -rw-r--r-- 1 root root  22K Mar  6 07:29 34856808.jpg
 44K -rw-r--r-- 1 root root  42K Mar  6 07:29 34856992.jpg
 92K -rw-r--r-- 1 root root  89K Mar  6 07:29 34926587.jpg

Bạn tiếp tục thấy cực kì nhiều file .jpg không giống nhau và được khắc tên theo dõi số tịnh tiến thủ, ko thể này đã đạt được vấn đề thương hiệu đúng mực như cũ. Lúc này chúng ta chỉ rất có thể tải về toàn cỗ folder chứa chấp hình hình ảnh đã và đang được foremost Phục hồi lại và đánh giá. Còn nhập bài bác lab này bản thân kiểm tra md5 demo toàn cỗ những tệp tin hình tiếp tục restore và so sánh với md5 checksum ban sơ.

Xem thêm: sắc màu quân nhân

# du -smd5sum * |  grep -i "0ee66a26d6d5206095b97162e26ae12f"
0ee66a26d6d5206095b97162e26ae12f  09476784.jpg

Đây rồi, đem tệp tin bản thân cần thiết rồi nè. Như vậy là restore thành công xuất sắc rồi cơ.

5. Tổng kết

Như vậy qua quýt bài bác chỉ dẫn này tôi đã chỉ dẫn chúng ta xong xuôi việc Phục hồi (restore) tệp tin tiếp tục xóa bên trên Linux bằng phương pháp dùng foremost. Hy vọng sẽ hỗ trợ ích mang lại chúng ta, quánh biết chúng ta đang được vận hành những khối hệ thống cần thiết của tổ chức triển khai công ty, đạt thêm phương án Phục hồi ngoài các việc cần đáp ứng backup thông thường xuyên. Thắc vướng gì chúng ta commnet lại nhé, những ơn chúng ta tiếp tục theo dõi dõi.

Nguồn: https://yamada.edu.vn/