Linux 中恢復(fù)一個(gè)刪除了的文件

取證工具-Foremost

要在 CentOS/RHEL 7 中安裝 Foremost,需要首先啟用 Repoforge:

rpm -Uvh http://pkgs.repoforge.org/rpmforge-release/rpmforge-release-0.5.3-1.el7.rf.x86_64.rpm
yum install foremost

然而在 Debian 及其衍生系統(tǒng)中,需這樣做:

aptitude install foremost
安裝完成后,我們做一個(gè)簡單的測試吧。首先刪除 /boot/images 目錄下一個(gè)名為 nosdos.jpg 的圖像文件:

# cd images
# rm nosdos.jpg

要恢復(fù)這個(gè)文件,如下所示使用 foremost(要先確認(rèn)所在分區(qū) - 本例中, /boot 位于 /dev/sda1 分區(qū)中)。

# foremost -t jpg -i /dev/sda1 -o /home/gacanepa/rescued

其中,/home/gacanepa/rescued 是另外一個(gè)磁盤中的目錄 - 請記住,把文件恢復(fù)到被刪除文件所在的磁盤中不是一個(gè)明智的做法。

如果在恢復(fù)過程中,占用了被刪除文件之前所在的磁盤分區(qū),就可能無法恢復(fù)文件。另外,進(jìn)行文件恢復(fù)操作前不要做任何其他操作。

當(dāng) foremost 執(zhí)行完成以后,恢復(fù)的文件(如果可以恢復(fù))將能夠在目錄 ·/home/gacanepa/rescue/jpg` 中找到。

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡書系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

推薦閱讀更多精彩內(nèi)容