How-To:使用 Foremost 進行資料救援
Last Update - 07 / 21 / 2009 By DarkRanger .
環境:
Fedora 10
Kernel = 2.6.27.5-117.fc10
Foremost v1.5.3
有些時候,我們會遇到一些要命的狀況,例如:誤刪檔案、不小心把硬碟分割區(partition)砍了、或者不小心把硬碟格式化了、甚至硬碟損毀,再也掛載不起來。碰到以上這些狀況,我們往往會設法利用一些軟體工具將資料拯救出來,而本文所談的 Foremost 就是一款相當優秀(並且免費)的資料救援工具。在談 Foremost 如何使用之前,本文會先說明:(1)Foremost 的軟體特性(2)各種資料損毀狀況以及適合的處理方式,因為 Foremost 並不完全適用於所有的資料損壞狀況(詳見以下說明)。
1. Foremost 的軟體特性
Foremost 最初是由美國空軍特別調查處(Air Force Office of Special Investigations)和資訊安全研究中心(CISR)共同研發的軟體(沒錯,來自軍方的產物!),現已成為開放原始碼的自由軟體。Foremost 是
針對所支援的檔案結構去進行資料搜尋與救援,而它目前支援了絕大部分已知的文件檔、多媒體、執行檔格式等,所以可用性非常的高。它的運作原理是無關檔案系
統的,意指它在任何檔案系統上都可使用,至於相對應的缺點是 Foremost
無法復原目錄結構與檔案名稱,所救出來的資料就是一個個按排序命名的檔案。
2. 各種資料損毀狀況以及適合的處理方式
(1)誤刪檔案或目錄:尋找各類檔案系統可用的反刪除(undelete)工具進行復原,這類工具很多,免費的也不少。
(2)誤刪分割區,導致無法掛載:可以用 TestDisk 之類的工具去偵測原先的分割區並復原。
(3)誤將分割區格式化,資料消失:使用 Foremost 進行資料救援。
(4)硬碟損毀至無法掛載,但電腦與作業系統仍偵測得到硬碟的存在:使用 Foremost 進行資料救援。
(5)硬碟損毀且電腦偵測不到:請尋求專業的資料救援公司。
這邊 DR 解釋一下,Foremost
確實可以用來救出已刪除的資料,但它救資料是不分刪除和未刪除的,並且原有目錄結構和檔名不會保存,因此若用它進行反刪除的話,後續工作會很累人,所以還
是優先用專門的反刪除工具比較好。另外若硬碟已經損毀到連電腦都完全偵測不到時,軟體方法就不用考慮了,直接送修吧!
3. 安裝 Foremost
請使用 yum 安裝即可:
# yum install foremost
4. 使用 Foremost
首先,Foremost 必須使用 root 權限執行才可以正常作用,假設要救援的硬碟是 sdb,救援出來的檔案所放置的目錄是 /media/recovery,而要救援所有已知的檔案類型,請執行以下指令:
# foremost -t all -i /dev/sdb -o /media/recovery
另外假設要救援 sdb1 分割區裡所有的 jpg 檔,可改用以下指令:
# foremost -t jpg -i /dev/sdb1 -o /media/recovery
提醒:救出來的檔案,Foremost 所冠上的副檔名可能沒有辦法反應確實的檔案類型,例如像 *.doc 或 *.ppt 檔可能會被命名為 *.ole,因此必須要找相關的應用軟體直接開看看才能得知確實的檔案類型。
參考網站:
http://foremost.sourceforge.net/
https://help.ubuntu.com/community/DataRecovery
→Back to DarkRanger.no-ip.org