恢复已删除的文件

接下来，我们将创建一个目录来恢复我们的文件。
为此，首先需要一个空目录，因此我们将创建 /root/restored/。

[jack@onitroad ~]# mkdir /root/restored

现在我们已准备好运行 Foremost 命令并恢复我们的镜像文件。
-i 开关用于指定我们要搜索的磁盘或者镜像文件，而 -t 用于恢复指定类型的文件。
Foremost 支持许多不同的文件，请查看最前面的手册页以获取完整列表。
这是必需的，因为首先根据该类型文件使用的标题搜索磁盘。

[jack@onitroad ~]# foremost -i /dev/sda3 -t jpg -o /root/restored/
Processing: /dev/sda3
|**|

这需要大约 2 分钟才能在 18GB 磁盘上完成。
这将在 /dev/sda3 中找到任何 .jpg 文件并将它们恢复到 /root/restored/ 目录中，只要它们在磁盘上使用的空间还没有被其他任何东西覆盖。

如果我们查看 /root/restored 目录，我们可以看到我们的镜像文件已成功恢复。
文件的 md5 哈希值与我们删除之前的文件完全相同。

[jack@onitroad ~]# md5sum /root/restored/jpg/18608472.jpg
f2b6f5c9f3795363cddfd6aae6d1ba0d  /root/restored/jpg/18608472.jpg

由于文件名未存储在文件本身中，因此无法使用原始文件名恢复文件，但数据全部在那里。

如果我们在 Linux 中不小心删除了一个文件，请不要担心，只要该磁盘区域尚未被覆盖，我们仍然可以恢复它。
这篇文章将展示如何在 Linux 中轻松恢复已删除的文件。

Foremost 能够根据文件头、脚和内部数据结构搜索磁盘或者原始图像文件以恢复文件。

删除文件

现在安装了 Foremost，让我们删除一个文件进行测试。

在本例中，我们将删除如下所示的 image.jpg 文件。

[jack@onitroad ~]# file image.jpg
image.jpg: JPEG image data, JFIF standard 1.01
[jack@onitroad ~]# md5sum image.jpg
f2b6f5c9f3795363cddfd6aae6d1ba0d  image.jpg

我们稍后将使用此信息来验证文件是否已成功恢复。
现在我们将使用 rm 命令删除文件。

[jack@onitroad ~]# rm -f image.jpg

安装Foremost

Foremost 可在许多不同的 Linux 发行版中使用。

Mint/Debian/Ubuntu

我们可以通过简单地运行以下命令在 Linux Mint、Debian 或者 Ubuntu 中安装 Foremost。

apt-get install foremost

CentOS/RHEL

默认情况下，Foremost 在任何标准 CentOS/RHEL 存储库中都不可用，因此我们将直接从 RPM 安装它。

yum install https://forensics.cert.org/centos/cert/7/x86_64//foremost-1.5.7-13.1.el7.x86_64.rpm -y

这个 RPM 是针对 el7 的，el6 可以在这里找到。

在本例中，我们使用 CentOS 7，但是一旦我们安装了 Foremost，其余步骤在任何 Linux 发行版中都应该相同。