取證工具－Foremost

要在 CentOS/RHEL 7　中安裝　Foremost，需要首先啟用 Repoforge：

rpm -Uvh http://pkgs.repoforge.org/rpmforge-release/rpmforge-release-0.5.3-1.el7.rf.x86_64.rpm
yum install foremost

然而在 Debian 及其衍生系統(tǒng)中，需這樣做：

aptitude install foremost
安裝完成后，我們做一個簡單的測試吧。首先刪除 /boot/images 目錄下一個名為 nosdos.jpg 的圖像文件：

# cd images
# rm nosdos.jpg

要恢復這個文件，如下所示使用 foremost（要先確認所在分區(qū) - 本例中， /boot 位于 /dev/sda1 分區(qū)中）。

# foremost -t jpg -i /dev/sda1 -o /home/gacanepa/rescued

其中，/home/gacanepa/rescued 是另外一個磁盤中的目錄 － 請記住，把文件恢復到被刪除文件所在的磁盤中不是一個明智的做法。

如果在恢復過程中，占用了被刪除文件之前所在的磁盤分區(qū)，就可能無法恢復文件。另外，進行文件恢復操作前不要做任何其他操作。

當 foremost 執(zhí)行完成以后，恢復的文件（如果可以恢復）將能夠在目錄 ·/home/gacanepa/rescue/jpg` 中找到。