Cách sử dụng Foremost để khôi phục file đã xóa trong Linux

Lệnh rm là một trong những lệnh nguy hiểm nhất đối với người dùng Linux. Nếu xóa file hoặc thư mục sai, bạn có thể khiến toàn bộ hệ điều hành của mình không thể hoạt động được nữa. Việc khôi phục các file bị mất không phải là chuyện dễ dàng, nhưng cũng không phải là không thể thực hiện được. Foremost được thiết kế để chẩn đoán ổ cứng nhằm phục hồi bất kỳ file nào bạn đã xóa. Bài viết này cung cấp một hướng dẫn về cách sử dụng công cụ Foremost.

Foremost là gì?

Được phát triển bởi các cơ quan liên bang Hoa Kỳ, Foremost (link tham khảo: http://foremost.sourceforge.net/) là phần mềm có mã nguồn mở. Thay vì cố gắng truy xuất file từ trong hệ thống file của ổ cứng, Foremost cố gắng trực tiếp tạo lại các file đó.

Foremost là gì?

Hầu hết mọi hệ điều hành đều không xóa các file hoàn toàn khỏi hệ thống file. Chúng chỉ xóa siêu dữ liệu (metadata) và để lại dữ liệu được ghi bên dưới. Sau đó, Foremost sẽ sao chép và phân tích ổ đĩa để biết thông tin này.

Foremost sẽ lưu trữ thông tin tạm thời bằng bộ nhớ trong PC. Từ đó, nó sẽ tìm kiếm các segment (phân đoạn) file nhất định cho đến khi khớp với những segment khác, ghép chúng lại với nhau (giống như trò chơi ghép hình).

Foremost hỗ trợ một số kiểu file nhất định. Các file hình ảnh như JPG và GIF, những file nhị phân Windows như EXE, file tài liệu như DOC và PDF, cũng như các định dạng file nén như ZIP hoặc RAR đều được hỗ trợ.

Cài đặt Foremost trong Linux

Foremost có sẵn dưới dạng gói để cài đặt trong hầu hết các kho Linux mặc định. Bạn có thể cài đặt nó từ terminal bằng trình quản lý gói mà bản phân phối Linux sử dụng.

Cài đặt Foremost trong Linux

Các bản phân phối dựa trên Debian và Ubuntu có thể cài đặt Foremost bằng cách mở terminal và gõ như sau:

sudo apt install foremost

Nếu đang chạy Arch Linux, bạn có thể cài đặt Foremost bằng cách nhập:

pacman -S foremost

Người dùng Fedora có thể cài đặt Foremost từ terminal bằng cách nhập:

dnf install foremost

Cách sử dụng Foremost

Nếu bạn đã xóa một file và muốn truy xuất file đó, bạn có thể sử dụng Foremost để tìm kiếm tất cả các file có cùng loại đã bị xóa trước đó.

Trước tiên, bạn sẽ cần biết tên phân vùng ổ của mình trong Linux, ví dụ “/dev/sda1”. Nếu bạn không biết phân vùng của mình, hãy nhập thông tin sau vào terminal:

df -h

Bạn sẽ thấy một danh sách các phân vùng ổ cứng được liệt kê. Xác định vị trí ổ bạn muốn Foremost tìm kiếm, được liệt kê trong “Filesystem”.

Xác định vị trí ổ bạn muốn Foremost tìm kiếm, được liệt kê trong “Filesystem”

Khi đã biết phân vùng ổ cứng của mình, bạn có thể sử dụng Foremost để tìm kiếm ổ. Ví dụ, nếu bạn đang tìm kiếm một file PNG đã bị xóa, hãy mở một cửa sổ terminal và gõ như sau:

foremost -v -t png -i /dev/sda1 -o ~/recovery/

Thay thế “/dev/sda1” bằng phân vùng ổ cứng của bạn. Flag -t cho phép bạn chọn loại file muốn tìm để khôi phục. Flag -i chọn ổ bạn muốn tìm kiếm, trong khi flag -o liệt kê thư mục lưu bất kỳ file nào được khôi phục.

Thay thế “/dev/sda1” bằng phân vùng ổ cứng của bạn

Bạn có thể sử dụng một quy trình tương tự cho bất kỳ loại file nào muốn sử dụng. Thay thế png bằng loại file của bạn. Bạn có thể tìm kiếm toàn bộ ổ hoặc thông qua các thư mục cụ thể.

Khi Forecast hoàn thành tìm kiếm, mọi file mà nó định vị sẽ được lưu trong thư mục đầu ra bạn đã liệt kê dưới flag -o. Nếu gặp khó khăn, bạn có thể tìm kiếm thông qua hướng dẫn sử dụng của Forecast bằng cách nhập vào terminal:

man foremost

Truy xuất dữ liệu đã xóa trong Linux

Không có gì đảm bảo rằng Foremost có thể khôi phục bất kỳ dữ liệu nào bạn đã làm mất hoặc xóa bỏ. Tuy nhiên, đây vẫn là một trong những công cụ miễn phí tốt nhất để truy xuất dữ liệu.

Trừ khi bạn sẵn sàng chi tiền cho một công cụ khác tốt hơn, còn không Foremost là một trong những tùy chọn tốt nhất có sẵn để truy xuất dữ liệu trong Linux. Nếu Foremost không có tác dụng trong trường hợp của bạn, có những công cụ khôi phục Linux khác có sẵn mà bạn có thể thử thay thế.

Chúc bạn thực hiện thành công!

Thứ Tư, 09/10/2019 15:06
52 👨 92