How to Restore a Deleted File in Linux

Nếu bạn lỡ xóa một file trong Linux, đừng lo lắng! Bạn vẫn có thể khôi phục file đó miễn là vùng đĩa lưu trữ chưa bị ghi đè. Bài viết này sẽ hướng dẫn bạn cách khôi phục file đã xóa một cách dễ dàng bằng công cụ Foremost.

Giới Thiệu Foremost

Foremost là một công cụ giúp quét ổ đĩa hoặc file ảnh thô (raw image file) để khôi phục các file dựa trên header, footer và cấu trúc dữ liệu nội bộ của chúng.

Cài Đặt Foremost

Foremost có sẵn trên nhiều bản phân phối Linux.

Mint/Debian/Ubuntu

apt-get install foremost

CentOS/RHEL

Foremost không có sẵn trong các repository chuẩn của CentOS/RHEL. Bạn có thể cài đặt nó từ RPM:

yum install https://forensics.cert.org/centos/cert/7/x86_64//foremost-1.5.7-13.1.el7.x86_64.rpm -y

Lưu ý: RPM cho phiên bản el6 có thể tải tại đây.

Nếu không cài đặt được bằng RPM, bạn cũng có thể tải mã nguồn tại đây.

Xóa File Để Thử Khôi Phục

Sau khi cài đặt Foremost, ta thử xóa một file. Foremost không cần phải được cài đặt trước khi file bị xóa, bạn có thể cài bất kỳ lúc nào.

Ví dụ: Ta có file image.jpg với thông tin sau:

[root@centos7 ~]# file image.jpg
image.jpg: JPEG image data, JFIF standard 1.01
[root@centos7 ~]# md5sum image.jpg
f2b6f5c9f3795363cddfd6aae6d1ba0d  image.jpg

Xóa file bằng lệnh:

[root@centos7 ~]# rm -f image.jpg

Khôi Phục File Đã Xóa

  1. Tạo một thư mục trống để chứa file khôi phục: 
    [root@centos7 ~]# mkdir /root/restored
  2. Chạy lệnh Foremost: 
    [root@centos7 ~]# foremost -i /dev/sda3 -t jpg -o /root/restored/
Processing: /dev/sda3
|**************************************************************************************************************************|

    Quá trình này mất khoảng 2 phút với ổ đĩa 18GB. Foremost sẽ tìm các file .jpg trong /dev/sda3 và lưu vào thư mục /root/restored/.

  3. Kiểm tra file khôi phục: 
    [root@centos7 ~]# md5sum /root/restored/jpg/18608472.jpg
f2b6f5c9f3795363cddfd6aae6d1ba0d  /root/restored/jpg/18608472.jpg

    Mặc dù tên file không được khôi phục, nội dung file vẫn chính xác như ban đầu.

Tóm Tắt

  • Chúng ta đã cài đặt Foremost trên CentOS 7 và sử dụng nó để khôi phục file đã xóa.
  • Dựa vào hash MD5, ta xác nhận file được khôi phục hoàn toàn chính xác.
  • Foremost là công cụ hữu ích để khôi phục dữ liệu, đặc biệt trong các thử thách Capture The Flag (CTF).

Nguồn: RootUsers

Nhận xét

Đăng nhận xét

Bài đăng phổ biến từ blog này

Cấu hình Reformat Code trong PhpStorm

Hình ảnh
Hôm qua gặp quả lỗi PhpStorm do cấu hình sai Reformat, sau 1 hồi tìm kiếm thì ra thông tin sau, nếu lỗi có thể thử fix Ấn phím tắt Option + Shift + Command + L, 1 popup sẽ hiện ra như sau PhpStorm Reformat File Dialog Cấu hình popup trên như sau Scope - Only changes uncommitted to VCS : Nếu được chọn, thì việc reformat code sẽ chỉ áp dụng cho mã đã được thay đổi cục bộ nhưng chưa được đưa vào kho lưu trữ. Tùy chọn này chỉ khả dụng cho các tệp được kiểm soát phiên bản. - Selected text : Nếu chọn scope này, PhpStorm sẽ chỉ format đoạn code được bôi đen - Whole file : Chọn options này để định dạng lại toàn bộ mã nguồn trong tệp hiện tại -> Nên chọn options này Options - Code cleanup : Chọn tùy chọn này để chạy kiểm tra dọn dẹp mã. PhpStorm tìm và tự động sửa các đoạn mã có khả năng gây ra sự cố -> nên bỏ để tránh tốn performance. Nên sử dụng các trình eslint và check để xử lý và kiểm soát tốt hơn - Do not keep line breaks : Định dạng lại ngắt dòng theo cài đặt kiể...
Đọc thêm

Tạo SSH key trên MAC OS X

Hình ảnh
SSH là gì? SSH (Secure Shell) là một phương thức mã hoá trên internet để tiện lợi cho việc đăng nhập từ xa và tăng tính bảo mật. Bản chất mã hoá của nó là sử dụng thuật toán RSA vì vậy mà nó sẽ 2 key: Private key và Public key. Puclic key sẽ được lưu trữ trên server còn Private key thì được lưu trữ tại client. Khi gửi một yêu cầu đăng nhập sẽ kèm theo Private key này và server có thể kiểm tra được xem có phải cùng bộ với Pulic key không, nếu đúng thì sẽ cho qua. Tạo SSH key Mở phần mềm Terminal gõ: ls -al ~/.ssh Lệnh trên sẽ kiểm tra có SSH tạo ra trước đó chưa? Nếu chưa tiếp tục gõ lệnh: ssh-keygen -t rsa Sau đó nó sẽ hỏi chỗ lưu. Mặc định là homeuser/.ssh Sau đó nó sẽ hỏi có muốn tạo keyphare không? (keyphare là mật khẩu để mở private key, khi đăng nhập vào server sẽ hỏi). Copy SSH key vào Clipboard: pbcopy < ~/.ssh/id_rsa.pub Sau đó vào Finder→Edit→Show Clipboard để copy hoặc lưu public key lại. OK, vậy là xong 😃
Đọc thêm

Journalctl: How to Read and Edit Systemd Logs

Hình ảnh
  Introduction Systemd logs all  Linux  messages from the  kernel  and system processes. The journalctl command enables viewing and editing the systemd logs, making it a powerful tool for service and process debugging. This guide shows how to read, control, and maintain systemd logs using journalctl through examples. Prerequisites Access to the command line/terminal window. A text editor (such as  nano ) to edit the config file. A user with sudo privileges (see how to  add a user to sudoers ). What Is Systemd? Systemd is a Linux service and system manager. While users do not invoke systemd directly, the manager contains many tools and daemons to run individually for various system processes. One of the most powerful systemd functionalities is the logging features. Systemd provides a centralized solution for logging all  kernel  and user processes through logs known as  journals . The...
Đọc thêm