เหตุการณ์เกิดจากยูสเซอร์เผลอไปลบไฟล์ออกจากโฟลเดอร์ของตัวเอง ซึ่งมันเป็นระบบ File Server Sharing (Samba) แล้วก็มาร้องกระจองอแงให้กู้ให้ ก็ไปเจอเครื่องมือตัวหนึ่งที่ชื่อว่า foremost ซึ่งทำงานบน Linux/FreeBSD
เจ้า foremost อ่านว่า ฟอร์โมส (ไม่ใช้โฟร์มด นะ) ถูกพัฒนาขึ้นโดย United States Air Force Office of Special Investigations และ The Center for Information Systems Security Studies and Research ซึ่งก็ทำให้มั่นใจได้ระดับหนึ่งว่ามันต้องเป็นเครื่องมือที่ใช้งานได้จริงๆ ไม่ใช่เครื่องมือบางตัวเมื่อรันทำงานไปเป็นวันๆ ผลที่ได้กลับมาช่างน้อยนิดซะเหลือเกิน 🙁
ในที่นี้ test บน Fedora 8 นะครับ แต่ก็สามารถเอาไปใช้กับระบบอื่นๆ ได้ทั่วไป
เริ่มจาก install โปรแกรม
yum install foremost
หรือบน freebsd ก็ไปที่ /usr/ports/sysutils/foremost และใช้คำสั่ง
make install clean และ rehash
สำหรับไฟล์ที่กู้ได้ก็มี jpg, gif, png,bmp,avi,exe,mpg,wav,riff,wmv,mov,pdf,ole,doc,zip,rar,htm,cpp,xls … etc
เช่นลบไฟล์ ใน /home/myname/test.pdf
เวลากู้กลับก็ใช้คำสั่ง
foremost -t pdf -i /dev/sda1 -T
-t pdf คือใส่นามสกุลไฟล์
-i /dev/sda1 คือ device ของ directory ที่เราไปลบไฟล์ โดยใช้คำสั่ง mount หรือ df ดูก็ได้ครับ
-T มันจะสร้าง directory ที่กู้ข้อมูลขึ้นมาและใส่ timestamp ให้ครับ
หลังจากนั้นมันจะรันไปเรื่อยๆ แบบด้านล่าง และก็ก็จะแจ้ง directory ที่ restore ข้อมูลก็ไป ls ดูครับ ว่าเจอไฟล์ที่เราลบไหม
##########################->xxxx
ปกติคำสั่งนี้จะใช้เวลานานหรือไม่ขึ้นอยู่กับขนาดของ hard disk ครับ
อยากรู้อะไรเพิ่มเติมก็ man foremost
ข้อมูลอ้างอิง
http://foremost.sourceforge.net/