Récupération de données Linux à partir du disque. Récupération de fichiers supprimés. Correction des systèmes de fichiers

Les problèmes arrivent plus souvent que nous le souhaiterions. L'un d'eux consiste à supprimer un fichier contenant des données importantes. De plus, sous Unix, on pense qu'il tombe dans l'oubli. Malheureusement, en fait, la récupération de fichiers supprimés sous Unix n'est pas aussi simple que sous Windows avec sa corbeille habituelle pour les fichiers supprimés et de nombreux utilitaires de fournisseurs tiers (par exemple, Norton Utilities). Cela est dû aux particularités de l'architecture systèmes de fichiers
Unix. Le système d'exploitation Linux définit le concept de fichier de manière plus large. Un fichier est un objet qui a un nom dans le système de fichiers. L'un de ces objets est le catalogue. Le répertoire stocke à la fois le nom du fichier et Information additionnelle sur un fichier - sa taille, les informations sur le propriétaire du fichier, l'emplacement sur le disque, la date de création, la date de dernière modification, les droits d'accès et bien plus encore. De plus, pour plus d'efficacité, des informations supplémentaires sont placées dans une structure spéciale, et seul un lien vers cette structure est laissé dans le catalogue. Lorsqu'un fichier est supprimé, ces informations supplémentaires ne sont pas physiquement supprimées du disque, mais uniquement marquées comme des blocs correspondants libres. Par conséquent, il existe une possibilité potentielle de récupérer un fichier supprimé alors que rien n'a été écrit à son emplacement. Je vais essayer de suggérer un algorithme d'actions lorsqu'un tel problème se produit.

Fin des travaux ultérieurs.

Immédiatement après avoir réalisé que quelque chose de terrible s'est produit, arrêtez de poursuivre les travaux sur la partition du disque avec le fichier supprimé. Naturellement, non seulement vous devez arrêter de travailler, mais également tous les autres utilisateurs connectés au système. Assurez-vous que personne d'autre ne peut se connecter au système pendant que vous restaurez le fichier (par exemple, en utilisant / etc / nologin). L'essentiel est d'empêcher d'autres processus d'écraser les blocs de disque précédemment utilisés par le fichier supprimé. La probabilité que cela augmente considérablement si la section est presque pleine.

Lui-même nécrophile.

Considérons deux options de récupération. L'un est assez universel, applicable, très probablement, dans n'importe quel système Unix. Le second est conçu pour fonctionner avec le système de fichiers Ext2
Linux.

Récupérer des fichiers avec un contenu connu

* créer une copie de la section racine et la placer dans un fichier de la section / export. Cette section doit avoir suffisamment d'espace libre pour contenir toute la section sur laquelle le fichier a été supprimé.

# df -k // exporter
Système de fichiers Ko utilisés Capacité disponible Monté sur
/ dev / dsk / c0t3d0s0 122070 19512 102558 16% /
/ dev / dsk / c1t0d0s0 17592638 14425963 3166675 82% / export
# dd if =/dev/dsk/c0t3d0s0 of =/export/recover.dsk
263077 + 0 enregistrements dans
263077 + 0 enregistrement sorti
# ls -l
-rw-r-r-- 1 racine autre 134701056 1er juillet 16:54 recover.dsk

* exécuter la commande cat avec le commutateur -n (sortie des numéros de ligne), dont la sortie est redirigée vers l'utilitaire fgrep, qui, après avoir recherché un motif donné, coupera tout ce qui est inutile

# cat -n recover.dsk | fgrep "racine : x : 0 : 1"
200601 root : x : 0 : 1 : super-utilisateur :/ :/sbin/sh
202108 root : x : 0 : 1 : super-utilisateur :/ :/sbin/sh

les chaînes peuvent être introuvables soit en cas d'erreur dans la spécification du modèle, soit en cas de perte du contenu du fichier supprimé, qui aurait pu être écrasé. Dans notre cas, comme on peut le voir, deux versions du fichier ont été conservées.

* afficher un certain nombre de lignes après celle trouvée
# fgrep -A10 "root: x: 0:1" recover.dsk> passwd
# mot de passe chat
root : x : 0 : 1 : super-utilisateur :/ :/sbin/sh
démon : x : 1 : 1 : / :
bin : x : 2 : 2 :: /usr/bin :
...

clés -A<число строк>et B<число строк>Les utilitaires fgrep vous permettent d'afficher plusieurs lignes après (après) et avant (avant) une ligne correspondante. Si vous pouvez obtenir l'intégralité de votre fichier en une seule étape, vous avez de la chance. Malheureusement, les fichiers sont généralement fragmentés, et plus la taille du fichier est grande, plus les risques de fragmentation sont élevés et plus les fragments eux-mêmes sont volumineux. Par conséquent, vous devrez très probablement répéter la procédure décrite, en utilisant différents modèles et en combinant les parties résultantes. Il est difficile de comprendre laquelle des versions du fichier enregistré sur le disque est la dernière. Ceci est déterminé uniquement en examinant le contenu du fichier récupéré. Cela signifie que vous devez restaurer toutes les versions du fichier. Assez fastidieux, mais efficace.

Récupération de fichiers sous Linux Ext2

Cette méthode est utilisée en cas de suppression avec la commande rm ou la fonction unlink et ne nécessite pas de connaître le contenu du fichier supprimé lors de la restauration. Pour fonctionner, nous avons besoin du débogueur de système de fichiers debugfs, un utilitaire assez puissant qui est généralement utilisé pour vérifier et modifier le système de fichiers et fournit un accès direct au système de fichiers. Nous avons besoin de ses trois commandes :

• lsdel - Liste tous les inodes distants sur le système de fichiers donné
• cat - afficher le contenu correspondant au descripteur
• dump - récupération de fichiers

Exécutez debugfs dans la section requise :

À l'invite, entrez la commande lsdel (une tasse de café ne fera pas de mal, car le système mettra du temps à afficher toute la section):

debugfs : lsdel
Inode Owner Mode Size Blocks Time supprimé
723300 1000 100664 27018 2/7 lun. 20 mai 19:08:17 2002
723301 1000 100444 1671 1/7 mar. 20 mai 19:08:17 2002
. . . . . . . . . . . . . . . . . . . . . . . . . . . .
944887 1037 100600 597 1/1 Dim 26 janv. 20:05:00 2003
717281 1000 100400 1 1/1 Dim. 26 janv. 20:05:13 2003
327101 1000 100644 15 1/1 Dim. 26 janv. 20:07:06 2003

Mieux vaut rediriger immédiatement la sortie vers un fichier en entrant la commande :

#écho lsdel | debugfs / dev / hda6> / tmp / lsdel-output

S'il n'y a eu aucune opération avec la section depuis la suppression, alors les données d'intérêt seront à la fin de la liste. Voyons le contenu correspondant au dernier descripteur en tapant la commande :

debugfs : chat<327101>
my_very_important_data

Le fichier supprimé a été trouvé et contenait une seule ligne. La commande dump répare le fichier en l'écrivant sur le disque comme
mon_fichier_récupéré :

debugfs : dump -p<327101>/ tmp / mon_fichier_récupéré

le commutateur -p indique que le fichier doit rester le même propriétaire, groupe et autorisations.

Récupération d'un groupe de fichiers sous Linux Ext2

Pour restaurer un groupe de fichiers, il est conseillé d'utiliser l'utilitaire Tom Pike
... L'installation est standard :

# tar zxf recover-1.3.tar.gz
# cd récupérer-1.3
# Fabriquer
# faire l'installation

Par défaut, l'utilitaire est installé sous le système de répertoire /usr. Si vous devez l'installer à un autre emplacement, lisez ReadMe. Pendant que la récupération est en cours d'exécution, posez quelques questions simples telles que : à qui appartiennent les fichiers, quand ces fichiers ont-ils été supprimés, quelle est la taille approximative de ces fichiers, exécute debugfs et reconstruit le fichier approprié critère donné inodes en les plaçant dans un répertoire spécifié par l'utilisateur. Malheureusement, les noms de fichiers ne sont pas récupérables. Les fichiers récupérés sont nommés avec le préfixe de vidage suivi d'un numéro d'inode.

Et qu'avons-nous restauré ?

Pour identifier les fichiers récupérés, nous utilisons deux utilitaires chaînes et fichier. Le premier affiche une séquence de caractères ASCII en l'extrayant de le fichier spécifié, le second - trouve le type de fichier (par exemple, s'il s'agit d'une archive ou, disons, d'un fichier
PostScript).

Exécutez l'utilitaire de fichier :

# déposer *
dump39788 : répertoire
dump98008 : message texte blindé PGP signé
dump80154 : données compressées gzip, dégonflées, dernière modification : 28 janvier 03:31:21 2001, système d'exploitation : Unix
dump73290 : texte ASCII
dump67095 : ? diff ? texte de sortie
dump72945 : fichier JPEG
dump9773 : données de flux audio MPEG 1.0 couche 3, 128 kBit/s
dump8176 : texte du programme ASCII C
dump58764 : exécutable du texte du script shell Bourne
dump3223 : texte d'entrée troff ou préprocesseur

Vous pouvez automatiser quelque peu le processus en utilisant des scripts simples comme celui-ci, en ajoutant une extension à fichiers texte Programmes C :

# pour i dans le fichier? * | grep ? Texte du programme ASCII C ? | \ awk -F:? (imprimer $ 1) ??;
faire mv $ i $ i.c; Fini

Après avoir déterminé le type de fichier, nous essaierons d'identifier chaque fichier. Pour ceux qui contiennent du texte, du code C, du son ou une image, vous pouvez ouvrir les programmes appropriés et essayer de deviner le nom d'origine. Fichiers binaires tels que les exécutables, les bibliothèques ou les fichiers de base de données sont beaucoup plus difficiles à identifier. Et s'il est plus facile de ne pas identifier les fichiers exécutables ou les bibliothèques, mais simplement de réinstaller ceux qui manquent, alors vous devrez bricoler les bases de données. Dans ce cas, vous devrez utiliser l'utilitaire de chaînes, affichant toutes les chaînes de texte ASCII dans le fichier.

# dump de chaînes44768

De la conclusion, on peut deviner que ce fichier est une base de données et ouvrez-la avec le programme approprié.

Conclusion

N'oubliez pas que rien ne remplace les sauvegardes régulières. Et l'application des méthodes discutées dans l'article devrait être l'exception plutôt que la règle. Croyez-moi, c'est un peu un plaisir de descendre dans l'abîme du néant.

Ext2 / 3 / 4FS (créé sous Linux ou autre OS), FAT12, FAT16, FAT32, NTFS, NTFS5 (créé ou modifié sous Windows 2000 / XP / 2003 / Vista / 7/8), exFAT, ReFS, APFS, HFS + , HFSX, HFS et UFS1, UFS2, UFS BigEndian (utilisé sur FreeBSD, OpenBSD et NetBSD).

Prise en charge des niveaux RAID standard : un ensemble de volumes, 0, 1, 4, 5, 6. Prise en charge des niveaux RAID imbriqués et non standard : 10 (1 + 0), 1E, 5E, 5EE, 6E. Prise en charge de la latence de parité pour tous les niveaux RAID pertinents. Prise en charge des configurations RAID personnalisées.

Reconnaissance automatique des paramètres RAID. R-Studio est capable de reconnaître tous les paramètres pour RAID 5 et 6. Cela permet à l'utilisateur de résoudre l'un des problèmes les plus difficiles de la récupération RAID - déterminer ses paramètres.

Nouvel algorithme amélioré pour récupérer les fichiers par leurs signatures : cette fonction vous permet de reconnaître les caractéristiques typiques des structures des types de fichiers courants et de récupérer les données des périphériques sur lesquels le système de fichiers est endommagé ou inconnu (disque dur, CD, DVD, disquettes, disques USB, disques ZIP, périphériques de mémoire flash (Compact Flash Cards , clés USB) et autres supports amovibles).

Types de fichiers connus personnalisés. L'utilisateur peut créer et ajouter de nouveaux types de fichiers de toute complexité à R-Studio pour leur identification précise.

Systèmes d'exploitation pris en charge : les fichiers peuvent être restaurés sur lesquels Win2000, XP, Vista, Win7, Win8, Mac OS X ou Linux OS et certains systèmes d'exploitation de la plate-forme UNIX sont installés.

Presque toutes Fichiers R-Studio(images, informations de numérisation, journaux, etc.) peuvent être enregistrés et téléchargés sur le réseau.

Optimisation du processus de récupération des données : pour augmenter la vitesse de récupération et réduire la quantité de données transférées sur le réseau, le processus d'analyse et de récupération des fichiers est effectué sur un ordinateur réparé avec des disques endommagés/supprimés. En outre, les fichiers récupérés peuvent être enregistrés sur le disque du même ordinateur.

Création d'un fichier image : à l'aide de R-Studio, vous pouvez créer un fichier image d'un disque physique entier, lecteur logique ou rubrique. Ces images sont des copies exactes d'objets et sont compatibles avec tous Versions précédentes R-Studio.

Caractéristiques supplémentaires lors de la création d'un fichier image (un autre format de fichier image) : les images peuvent être divisées en plusieurs parties, compressées et protégées par un mot de passe. Ils ne sont compatibles qu'avec les versions actuelles de R-Studio et avec Programme R-Drive Image.

Vous pouvez créer une image et numériser les données copiées en même temps.

Module de copie de disque : vous pouvez copier n'importe quel objet du panneau Lecteurs octet par octet, ainsi que copier des partitions et disques durs en modifiant leurs paramètres.

Éditeur de disque et de fichier hexadécimal : prend en charge le stockage d'attributs de fichier NTFS non-résident. Vous permet d'analyser les données et de les présenter conformément à divers modèles de données (y compris des modèles personnalisés). Les fichiers situés dans des secteurs spécifiques sont également affichés.

Périphérique de démarrage d'urgence R-Studio. Lancement de R-Studio Emergency avec USB externe disque, CD/DVD ou un jeu de disquettes. Ceci est très utile lorsque vous devez récupérer des données à partir d'un ordinateur qui ne démarre pas en raison d'un endommagement du système de fichiers.

Afficher le contenu des fichiers : Pour afficher le contenu du fichier récupéré, double-cliquez simplement dessus. Très utile pour évaluer les chances de guérison. Visionneuse de fichiers intégrée efficace qui affiche les images sous forme de tuiles et les premières images de fichiers vidéo sous forme d'icônes et de supports un grand nombre de... Maintenant, ces fichiers peuvent être lus sans les programmes correspondants installés.

Surveillance S.M.A.R.T. R-Studio peut afficher les paramètres S.M.A.R.T. (Self-Monitoring, Analysis and Reporting Technology) pour les disques durs qui montrent l'état de leur matériel et prédisent leurs éventuelles pannes. Toute charge supplémentaire sur ces disques doit être évitée si des avertissements du système S.M.A.R.T. apparaissent. Les icônes de disque dur dans Drive View (panneau Disques) sont utilisées pour afficher l'état général du S.M.A.R.T. pour les disques.

Je vais partager une petite trouvaille, un petit programme pour récupérer des fichiers supprimés. Il y a quelque temps, c'était très nécessaire, mais je n'ai malheureusement pas trouvé le programme Scalpel. À mon avis, de toutes les méthodes que je connais, c'est l'une des plus simples. Scalpel a émergé du projet.

Et donc dédié aux amoureux de rm-rf :

Tout d'abord, personne ne peut garantir que Scalpel sera en mesure de récupérer vos fichiers, mais il y a de fortes chances que ce soit le cas.

Installation (puisque Ubuntu est installé sur la machine testée, je vais en parler) :

sudo apt-get install scalpel

Avant d'utiliser Scalpel, modifions le fichier de paramètres :

sudo nano /etc/scalpel/scalpel.conf

Dans celui-ci, vous devez spécifier les fichiers de quel type nous allons restaurer (par défaut, plusieurs types ne sont pas sélectionnés). J'ai sélectionné des fichiers doc et pdf pour la récupération :

…
doc y 10000000\xd0\xcf\x11\xe0\xa1\xb1\x1a\xe1\x00\x00\xd0\xcf\x11\xe0\xa1\xb1\x1a\xe1\x00\x00 SUIVANT
doc y 10000000 \ xd0 \ xcf \ x11 \ xe0 \ xa1 \ xb1
…
pdf y 5000000% PDF% EOF \ x0d INVERSE
pdf y 5000000% PDF% EOF \ x0a INVERSE
…

Vous pouvez maintenant commencer la récupération :

scalpel / dev / sda1 -o sortie

-o affiche le répertoire où seront stockés les fichiers récupérés, si le répertoire du même nom existe déjà (et n'est pas vide) Scalpel ne démarrera pas.
/ dev / sda1 - le volume réel que nous allons récupérer pour les fichiers perdus.
La liste peut être consultée à l'aide de la commande mount :

[email protégé]: ~ $ monter
/dev/sda1 on/type ext3 (rw, relatime, error = remount-ro)
proc on / proc type proc (rw, noexec, nosuid, nodev)
/ sys on / sys type sysfs (rw, noexec, nosuid, nodev)
varrun on / var / run type tmpfs (rw, noexec, nosuid, nodev, mode = 0755)
udev on / dev type tmpfs (rw, mode = 0755)
devshm sur / dev / shm type tmpfs (rw)
devpts on / dev / pts type devpts (rw, gid = 5, mode = 620)
lrm sur /lib/modules/2.6.24-21-generic/volatile type tmpfs (rw)
/ dev / sda2 on / home type ext3 (rw, relatime)

Après avoir travaillé, allez dans le répertoire de sortie et voyez ce qu'il y a :

[email protégé]: ~ / sortie $ ls -l
-rw-r - r-- 1 racine racine 28189 2009-03-24 14:42 audit.txt
drwxr-xr-x 2 racine racine 4096 2009-03-24 14:42 doc-3-0
drwxr-xr-x 2 racine racine 4096 2009-03-24 14:42 doc-3-1
drwxr-xr-x 2 racine racine 4096 2009-03-24 14:42 doc-3-2
drwxr-xr-x 2 racine racine 4096 2009-03-24 14:42 doc-4-0
…
drwxr-xr-x 2 racine racine 4096 2009-03-24 14:42 pdf-5-0
drwxr-xr-x 2 racine racine 4096 2009-03-24 14:42 pdf-6-0
…

Le fichier audit.txt contient des informations sur la récupération effectuée :

[email protégé]: ~ / sortie $ cat audit.txt

Fichier d'audit Scalpel version 1.60
Commencé à mar. 24 14:16:04 2009
Ligne de commande:
scalpel / dev / sda1 -o sortie

Répertoire de sortie : / home / nom d'utilisateur / sortie
Fichier de configuration : /etc/scalpel/scalpel.conf

Cible d'ouverture "/dev/sda1"

Les fichiers suivants ont été gravés :
Longueur de coupe de début de fichier extraite de
00053045.doc 183664640 OUI 10000000 sda1
00053046.doc 183971840 OUI 10000000 sda1
…
00050372.doc 203272192 NON 208896 sda1
00050373.doc 203481088 NON 229376 sda1
…
Terminé le mar. 24 14:42:41 2009

Nous regardons dans les sous-répertoires et voyons (si nous avons de la chance) nos fichiers :

[email protégé]: ~ / sortie / doc-3–0 $ ls -l
total 25564
-rw-r - r-- 1 racine racine 307200 2009-03-24 14:42 00050348.doc
-rw-r - r-- 1 racine racine 40960 2009-03-24 14:42 00050349.doc
-rw-r - r-- 1 racine racine 4354 2009-03-24 14:42 00050350.doc
-rw-r - r-- 1 racine racine 466686 2009-03-24 14:42 00050351.doc
-rw-r - r-- 1 racine racine 176128 2009-03-24 14:42 00050352.doc
…

Source - HowtoForge (traduction gratuite).

J'ajouterai de ma part que Scalpel n'a pas tout restauré, bien sûr. Mais beaucoup, j'ai même déjà oublié certains fichiers. Il fonctionne très lentement, il consomme presque tout le processeur pendant le fonctionnement.

Scalpel peut fonctionner avec les systèmes de fichiers FAT, NTFS, ext 2/3, c'est-à-dire que vous pouvez récupérer des données à partir de partitions win.

Et enfin, la meilleure façon pour récupérer des fichiers très importants est :
1. Faites des sauvegardes.
2. Il est très bon de réfléchir avant de supprimer.

Bonne récupération de données !

V. Kostromin (édité par Vanderboot)

L'autre jour, lors d'une petite révision du contenu de mon site, je suis tombé sur une traduction de l'article "10 façons de récupérer des fichiers supprimés sous linux", dont la version originale est datée du 21 juin 2007. Après avoir relu l'article et essayé de suivre les liens fournis, j'ai constaté que certains liens ne fonctionnaient pas du tout (les sites de développeurs sur le réseau ont disparu) et que certains des utilitaires mentionnés dans l'article n'ont pas été mis à jour et pris en charge pour un long moment.

Il y avait une idée pour voir quel genre de outils pour récupérer des fichiers supprimés accidentellement existent en ce moment. Je crois que l'intérêt pour les fonds de ce genre n'a pas disparu au cours des dernières années. Après tout, les utilisateurs novices de Linux (ainsi que d'autres systèmes d'exploitation) se retrouvent souvent dans une situation où, par erreur, par inexpérience, ils suppriment certains fichiers et se rendent immédiatement compte qu'ils n'ont pas supprimé ce qu'ils voulaient. Ou peut-être qu'ils ne voulaient pas du tout supprimer quelque chose.

En plus des cas de suppression erronée de données, des situations sont possibles lorsque le support est endommagé, des secteurs défectueux apparaissent sur le disque, etc. Dans de telles situations, des outils de récupération de données sont également nécessaires.

Je tiens à vous avertir tout de suite que tout ce qui est indiqué ci-dessous n'a pas été personnellement vérifié par moi et est basé uniquement sur des informations publiées sur les sites des développeurs ou dans des articles avec des descriptions de produits pertinents. Et, bien sûr, seuls les produits gratuits sont pris en compte dans l'article. Si vous êtes intéressé par des produits payants (propriétaires), vous pouvez facilement les trouver vous-même.

Alors ici liste des utilitaires pour récupérer les données perdues, que j'ai réussi à trouver (les données sont à jour au 10 novembre 2010).

1. unrm- petit utilitaire de console qui, dans certaines conditions, peut récupérer près de 99% des données supprimées (similaire à l'utilitaire de restauration DOS). Avant de l'utiliser, lisez attentivement le fichier FAQ et de préférence le Linux Ext2fs Undeletion Mini-HOWTO. Application:
   unrm [-b (pas de remplissage de bloc)] [- e (chaque bloc)] [- f fstype] [- vW] périphérique
2. (GET iT i SAY) - outil de récupération de fichiers pour les systèmes de fichiers Ext2 / Ext3. Après l'installation, les fichiers actuels et les fichiers nouvellement créés dans /root et /home peuvent être restaurés. L'utilitaire permet aux utilisateurs de restaurer tous fichiers supprimés, restaurez les fichiers appartenant à l'utilisateur spécifié, videz les données de l'emplacement des fichiers et restaurez les fichiers d'un certain type, par exemple, des fichiers texte ou MP3. Il y a aussi un analyseur pour aider les utilisateurs pendant la récupération.
3. ddrescue(Cet utilitaire est appelé gddrescue dans Ubuntu) Cet utilitaire copie les données d'un fichier ou d'un périphérique matériel contenant les données vers un autre emplacement, tout en essayant de corriger les erreurs de lecture présentes. Ddrescue effectue des opérations de base dans mode automatique remplir le fichier protocole en parallèle. S'il y a deux exemplaires ou plus fichiers endommagés, ddrescue est capable de récupérer complètement un fichier en corrigeant toutes les erreurs.
   ddrescue définit la taille du tampon d'E / S sur la taille du secteur afin qu'il puisse être utilisé pour récupérer les données des périphériques secteur par secteur.
4. Disque de test est un puissant logiciel gratuit de récupération de données ! Il a été développé principalement comme un outil pour récupérer des partitions perdues et/ou restaurer la capacité de démarrage des disques si ce problème est causé par un logiciel, des virus ou des erreurs humaines (telles que la suppression accidentelle de la table de partition). Il est très facile de restaurer des tables de partition avec TestDisk. Mais TestDisk peut également récupérer les fichiers supprimés sur le fichier Systèmes FAT, NTFS et ext2 ; copier des fichiers à partir de partitions FAT, NTFS et ext2 / ext3 / ext4 distantes. (Voir l'article de V. Simon, "Testdisk - Recovering Disk Partition Table").
5. - programme de console, qui vous permet de rechercher des fichiers sur des disques ou leurs images par données hexadécimales, en-têtes et fins caractéristiques. Le programme analyse les fichiers pour une correspondance de codes hexadécimaux prédéfinis (signatures) correspondant aux formats de fichiers les plus courants. Ensuite, il les extrait du disque / de l'image et les place dans un répertoire, avec un rapport détaillé sur quoi, combien et où il a été récupéré. Types de fichiers que l'on peut récupérer immédiatement : jpg, gif, png, bmp, avi, exe, mpg, wav, riff, wmv, mov, pdf, ole, doc, zip, rar, htm, cpp. Il est possible d'ajouter vos propres formats (en fichier de configuration/etc/foremost.conf) que le programme ne connaît pas.
   Articles : "Récupération de fichiers supprimés en utilisant avant tout", "Récupération de fichiers supprimés sous Linux".
6. R-Linux est un programme gratuit pour récupérer les systèmes de fichiers Ext2 / Ext3 / Ext4 FS utilisés sous Linux et certains systèmes Unix. La technologie de numérisation utilisée dans R-Linux et l'interface conviviale du programme pour définir les paramètres donnent à l'utilisateur un contrôle absolu sur le processus de récupération des données. R-Linux vous permet de copier des informations et de créer une image d'un disque entier ou d'une partie de celui-ci, et ensuite seulement de travailler avec le fichier image enregistré sur un autre support, comme avec le disque d'origine. R-Linux recherche des fichiers de types connus en utilisant les caractéristiques typiques de leurs structures, ce qui permet à l'utilisateur de rechercher et de récupérer des fichiers à partir de périphériques dont le système de fichiers est inconnu - HD, CD, DVD, disquettes, disques USB, disques ZIP et flash dispositifs de mémoire (Carte Compact Flash, Memory Sticks). Cependant, le programme n'a pas la capacité de récupérer des données sur le réseau, ainsi que des fonctionnalités pour la reconstruction des baies de disques et la récupération des données à partir de celles-ci.
7. DMDE- DM Disk Editor et logiciel de récupération de données. Un programme pour l'édition de disques et la récupération de données. V version gratuite toutes les fonctions de l'éditeur de disque, de la gestion des partitions et de la récupération de fichiers sont disponibles, à l'exception de la possibilité récupération de groupe fichiers et répertoires ; version complète permet de restaurer des groupes de fichiers et de répertoires tout en préservant la structure des répertoires.
8. PhotoRec est un utilitaire inclus dans le package TestDisk. Conçu pour récupérer des fichiers endommagés à partir de cartes mémoire d'appareils photo numériques (CompactFlash, Secure Digital, SmartMedia, Memory Stick, Microdrive, MMC), clés USB, disques durs et CD/DVD. Récupère les fichiers des formats graphiques les plus courants, y compris JPEG, les fichiers audio, y compris MP3, les fichiers de documents aux formats Microsoft Office, PDF et HTML, ainsi que des archives, y compris ZIP. Peut fonctionner avec les systèmes de fichiers ext2, ext3, FAT, NTFS et HFS +, et est capable de récupérer fichiers graphiques même lorsque le système de fichiers est endommagé ou formaté.
   Fonctionne avec les systèmes d'exploitation Linux, DOS, Windows, FreeBSD, NetBSD, OpenBSD, Mac OS X et SunOS
9. Mondo sauvetage... L'objectif principal de ce programme est de créer des sauvegardes de données. elle peut créer sauvegardes sur des bandes magnétiques, des CD, sur des supports distants via NFS ou sous forme d'images ISO sur lecteurs locaux... Mais en cas d'endommagement des données, le programme vous permet de les restaurer en tout ou en partie, même si votre Disque dur inaccessibles par les moyens conventionnels.
   Mondo fonctionne sur toutes les principales distributions Linux et prend en charge LVM, RAID, ext2, ext3, JFS, XFS, ReiserFS, VFAT et d'autres systèmes de fichiers. Il peut restaurer la géométrie du disque, assurer la migration des données vers les matrices RAID et vérifier l'intégrité du système de fichiers de l'ordinateur. De plus, il vous permet de restructurer le disque, de réduire/agrandir des partitions, de réaffecter des périphériques, d'ajouter des disques durs.
10. est un outil de récupération de données qui essaie d'extraire des données à partir de supports disponibles mais problématiques (avec secteurs endommagés). La source de données peut être périphériques externes(tels que CD, DVD et Blu-ray) et des partitions de disque dur. Le programme a l'avantage de continuer à s'exécuter même lorsque d'autres outils se terminent en raison d'erreurs d'E/S. Les outils de copie conventionnels tels que cat, cp ou dd ne vous permettent pas de créer une image d'un disque ou d'un support amovible si un secteur ne parvient pas à lire.
11. Le kit de détective(TSK) - un ensemble de programmes (fls, icat, ffind, ifind, mmls, fsstat, etc.) pour effectuer une analyse médico-légale des systèmes de fichiers. TSK - Constellation UNIX outils ligne de commande qui peut analyser le fichier Systèmes NTFS, FAT, FFS, EXT2FS et EXT3FS. TSK lit et traite les structures du système de fichiers par lui-même, de sorte que le système d'exploitation n'a pas besoin de prendre en charge le système de fichiers.
    Articles : Récupération de données cachées ou perdues.
12. Scalpel est un remède prompt rétablissement des dossiers. L'unicité de ce logiciel réside dans le fait qu'il ne dépend pas du système de fichiers. Le programme recherche dans la base de données le début et la fin des fichiers de formats connus et essaie de les trouver sur le disque. Par conséquent, la récupération est possible à la fois à partir de FATx, NTFS, ext2 / 3 et à partir de partitions brutes.
    Articles : Récupérer des fichiers supprimés avec Scalpel

En plus de ceux énumérés dans certains articles, les utilitaires sont également mentionnés Sauvetage magique et ntfsundelete du package ntfstools.

Cette liste peut vous être très utile si vous vous trouvez dans une situation où vous devez récupérer des données à partir d'un support endommagé. Et il est conseillé de maîtriser au moins certains de ces outils avant qu'il ne soit urgent de les utiliser. Pour ce faire, il est logique de les tester sur des exemples artificiels de suppression de fichiers, comme cela a été fait dans l'une des notes figurant dans la liste des sources.

En conclusion, quelques conseils, peut-être triviaux, mais certainement utiles, pour essayer d'éviter de se retrouver dans une situation désagréable lorsque l'utilisation des moyens ci-dessus est requise. Premièrement, vous pouvez rendre plus difficile la suppression accidentelle d'un fichier ou d'un répertoire. Pour ce faire, faites qu'au lieu de la commande rm la commande a été appelée rm -i... Cela peut être fait en utilisant la commande alias comme suit :

Alias ​​rm = "rm -i" Ensuite, avant d'effectuer la désinstallation, une question supplémentaire vous sera posée si vous le souhaitez vraiment.

Deuxième conseil : sauvegardez vos données le plus souvent possible, tous les jours voire toutes les heures. Si vous suivez ce conseil, alors dans le très mauvais cas vous ne perdrez que les résultats de votre travail que vous avez reçus au cours de la dernière heure. Et les procédures de récupération de données dans ce cas seront beaucoup plus faciles à effectuer. Vous pouvez automatiser l'exécution de ces procédures à l'aide de cron et de l'utilitaire rsync en organisant des copies périodiques fichiers importants et des répertoires sur un autre lecteur ou une autre partition. Vous pouvez également utiliser l'utilitaire Mondo Rescue mentionné ci-dessus. En passant, vous apprendrez à l'utiliser, ce qui peut être utile si vous devez récupérer des données en cas d'urgence.

Et troisièmement : avant d'essayer de récupérer des fichiers supprimés, faites une copie de la partition où se trouvaient ces fichiers et travaillez avec elle, pas avec la partition d'origine. Si vous vous trompez à nouveau pendant le processus de récupération, vous pouvez recommencer. Si vous travaillez avec la partition d'origine, vous pouvez endommager les données de manière irrévocable. Vous pouvez faire une copie d'une section en utilisant la commande jj(Vous pouvez lire sur l'utilisation de cette commande dans l'article d'A. Dmitriev "dd : Une commande qui n'est pas similaire aux autres").

Il convient également de rappeler qu'il existe des Distributions Linux qui s'exécutent à partir d'un CD ou d'un autre support amovible et contiennent des ensembles d'utilitaires d'administration, y compris des outils de récupération de données. SystemRescue CD et Trinity Rescue Kit sont des exemples de telles distributions.

Je pense que la liste ci-dessus deviendra obsolète après un certain temps, comme cela s'est produit avec la liste donnée dans l'article mentionné au début de cet article. Mais de nouveaux moyens apparaîtront, peut-être plus parfaits. Pour rester à jour, consultez parfois le site du catalogue de logiciels Linux, ou mieux encore, aidez à maintenir ce catalogue à jour. Ensuite, dans toute situation anormale ou régulière, vous ou un autre utilisateur Linux pouvez trouver fonds nécessaires et des outils pour résoudre leurs problèmes.

Si PhotoRec ne fonctionne pas, essayez d'autres outils.

Utiliser le scalpel

Scalpel est un logiciel open source code source pour récupérer des fichiers à l'aide d'une base de données d'en-têtes, de pieds de page. Il peut récupérer à partir d'images disque ou de périphériques avec des blocs bruts, les en-têtes et les pieds de page sont définis par l'utilisateur. Le programme est utilisé non seulement pour la récupération de fichiers, mais également pour la recherche médico-légale numérique.

Installation de Scalpel sur Ubuntu, Linux Mint et Debian

Ouvrez un terminal et copiez-y la commande :

Sudo apt-get install scalpel

Une fois l'installation du scalpel terminée, vous devez trouver le fichier scalpel.conf:

Localisez scalpel.conf

Il se trouve généralement dans /etc/scalpel/scalpel.conf ou /etc/scalpel.conf. Ouvrir ce fichier éditeur de texte, vous verrez que toutes les lignes sont commentées (en commençant par # ). Celles. avant d'exécuter scalpel, vous devez décommenter les formats de fichiers que vous souhaitez récupérer. Si vous décommentez l'intégralité du fichier, cela prendra beaucoup de temps et générera beaucoup de faux résultats.

Disons que je souhaite uniquement restaurer les fichiers .jpg, puis je décommente simplement la section jpg dans le fichier de configuration du scalpel.

# Fichiers GIF et JPG (très courants) gif y 5000000 \ x47 \ x49 \ x46 \ x38 \ x37 \ x61 \ x00 \ x3b gif y 5000000 \ x47 \ x49 \ x46 \ x38 \ x39 \ x61 \ x00 \ x3b jpg y 200000000 \ xff \ xd8 \ xff \ xe0 \ x00 \ x10 \ xff \ xd9

V ligne de commande vous devez spécifier l'emplacement des fichiers supprimés que vous essayez de récupérer (en cet exemple ce / dev / sda1 ):

Scalpel Sudo / dev / sortie sda1-o

Changer -o pointe vers le répertoire de sortie où vous souhaitez enregistrer vos fichiers récupérés. Assurez-vous que ce répertoire est vide avant de démarrer le programme, sinon vous obtiendrez une erreur. Sortie de la commande :

Scalpel version 1.60 Écrit par Golden G. Richard III, basé sur Foremost 0.69. Cible d'ouverture "/dev/sda1" Fichier image passe 1/2. / dev / sda1 : 6,1 % | ***** | 6,6 Go 39:16 ETA

Comme vous pouvez le voir, scalpel exécute maintenant ses actions, le processus de récupération des fichiers supprimés prend du temps, qui dépend de la taille du disque que vous analysez et de la vitesse de la machine.

Utiliser extundelete

Utiliser avant tout

Fichier supprimé ouvert dans le programme

Si vous pensez que le fichier supprimé est toujours ouvert dans un programme (par exemple, un film en cours de lecture par le lecteur multimédia) et que vous connaissez le nom du fichier, essayez d'abord cette procédure :

Lsof | grep "chemin / vers / fichier" nom de programme 5559 utilisateur 22r REG 8.5 1282410 1294349 / chemin / vers / fichier

Nous nous souvenons du nombre dans la deuxième colonne, c'est 5559, et le nombre dans la quatrième colonne est 22. Ensuite, la commande restore :

Cp / proc / 5559 / fd / 22 fichier.restauré

Si cette astuce ne fonctionne pas, démontez immédiatement le système de fichiers avec le fichier supprimé ou mettez-le en mode lecture seule.