กู้ไฟล์ด้วย Foremost


นี่เป็นตอนต่อเนื่องจากโพสต์เมื่อวาน ที่น้องสาวผมประสบกับปัญหา Flash drive เสีย ต้องฟอร์แมตใหม่ งานหายเกลี้ยง

เมื่อวานผมก็ลืมนึกไปว่าถึงแม้ว่าจะฟอร์แมต ข้อมูลมันก็ไม่หายไปไหนนี่หน่า น่าจะมีสิทธิ์กู้กลับมาได้ (เวลาเราลบไฟล์อะไรก็ตามหรือฟอร์แมต ข้อมูลยังอยู่ที่เดิมเหมือนเดิมนะครับ จนกว่าจะมีการเขียนทับ sector ตรงนั้น — หลักการนี้เป็นหลักการของพวกโปรแกรม file recovery ทั้งหลาย พวกคลิปหลุดส่วนใหญ่ก็มาจากเหตุผลที่ผู้ใช้ไม่ค่อยรู้เรื่องนี้นั่นเอง)

เมื่อมีความหวัง ย่อมมีแรงต่อสู้ ผมจึงลองใช้ Google search หาวิธีกู้ (recover) ไฟล์บน Ubuntu ดู  ก็พบลิงค์ไปยังหน้า https://help.ubuntu.com/community/DataRecovery ซึ่งแนะนำโปรแกรม Foremost (เป็นชื่อโปรแกรมนะครับ ผมไม่ได้โฆษณาสินค้าให้ใครทั้งนั้น)

วิธีลงก็แสนง่ายเช่นเดียวการลงโปรแกรมทั่วไปบน Ubuntu ตามปกตินั่นคือ

sudo apt-get install foremost

จากนั้นก็รัน Foremost ได้เลยจาก Terminal (เท่าที่ผมค้นมา ยังไม่เจอ File recovery ฟรีๆ บน Linux แบบที่เป็น GUI เลย)

ตัวอย่างคำสั่งที่ผมใช้กู้ไฟล์งานวันนี้ เป็นดังนี้

sudo foremost -v -t doc -i /dev/sdb -o /home/akedemo/output

ขออธิบายคำสั่งตามนี้

-v คือ เปิด verbose mode ให้ Foremost รายงานความคืบหน้าและข้อผิดพลาดระหว่างทำงานด้วย

-t คือ กำหนดชนิดของไฟล์ที่ต้องการจะกู้ Foremost รองรับไฟล์หลายชนิด แต่ถ้าเราไม่กำหนด Foremost จะค้นและกู้ทุกไฟล์

-i คือ กำหนด input ที่ต้องการกู้ ให้ใส่ mount point ของ device นั้นๆ หรือถ้าจะกู้จากอิมเมจไฟล์ก็ใส่ path ของอิมเมจไฟล์ลงไป

-o คือ กำหนด output ของไฟล์ที่กู้เสร็จแล้วรวมทั้ง log ที่ Foremost สร้างขึ้นด้วย ถ้าไม่กำหนด ค่าปริยายจะเป็น Working directory ขณะนั้น

โปรแกรมก็จะทำงานสักพัก รอจนมันทำงานเสร็จ ให้ไปดูที่โฟล์เดอร์ output ปลายทางของเรา ก็จะเห็นโฟลเดอร์ output (หรือชื่ออื่นๆตามที่ตั้งไว้) ขอให้สังเกตว่า เรารัน Foremost ในสิทธิ์ของ root ดังนั้นเราจะยังเข้าไปอ่านโฟลเดอร์นี้ทันทีไม่ได้ ให้เปลี่ยน permission ก่อน ด้วยคำสั่ง

sudo chmod a+rwx /home/akedemo/output -R

เมื่อลองเข้าไปในโฟลเดอร์ output ก็จะเห็นไฟล์ audit.txt กับโฟลเดอร์อีกอัน audit.txt คือ log ที่ Foremost สร้างขึ้น ส่วนไฟล์ที่กู้ได้จะอยู่ในโฟลเดอร์ข้างๆกันนั่นแหละ

ป.ล. เมื่อผมกู้ข้อมูลเสร็จ ก็โทรไปบอกน้อง มันบอกว่าพิมพ์ใหม่ไปแล้ว เซ็งเป็ดเซ็งไก่จริงๆ

4 Responses to กู้ไฟล์ด้วย Foremost

  1. bbx says:

    ขอบคุณสำหรับวิธีการแก้ปัญหา น่าจะมีโอกาศได้ใช้บ้าง

  2. thanyakij says:

    เห็นหัวเรื่อง นึกถึงนม… โฟรโมสต์

    • akedemo says:

      ยังดีนะครับที่ไม่นึกถึง…”โฟร์-มด”

  3. Pingback: กู้ไฟล์ด้วย Foremost | T-Shadowfax

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: