Wednesday, December 30, 2009

recovery files

sudo apt-get install foremost

sudo foremost -v -t doc -i /dev/sdb -o /home/akedemo/output

-v คือ เปิด verbose mode

-t คือ กำหนดชนิดของไฟล์ที่ต้องการจะกู้ Foremost รองรับไฟล์หลายชนิด
ถ้าเราไม่กำหนด Foremost จะค้นและกู้ทุกไฟล์

-i คือ กำหนด input ที่ต้องการกู้ ให้ใส่ mount point ของ device นั้นๆ
หรือถ้าจะกู้จากอิมเมจไฟล์ก็ใส่ path ของอิมเมจไฟล์ลงไป

-o คือ กำหนด output ของไฟล์ที่กู้เสร็จแล้ว
รวมทั้ง log ที่ Foremost สร้างขึ้นด้วย
ถ้าไม่กำหนด ค่าปริยายจะเป็น Working directory ขณะนั้น

sudo chmod a+rwx /home/akedemo/output -R

ในโฟลเดอร์ output
audit.txt คือ log ที่ Foremost สร้างขึ้น
ส่วนไฟล์ที่กู้ได้จะอยู่ในโฟลเดอร์ข้างๆกัน

คัดลอกจาก: http://akedemo.wordpress.com/2009/10/06/recover-files-with-foremost/