Bloc-notes

Récupération de fichiers effacés sur un système de fichiers ext2/ext3/ext4

Rédigé par Nicolas Sulek Aucun commentaire
Classé dans : Logiciel Mots clés : CentOS, Debian, effacement, ext3, ext4
En cas d'effacement involontaire de fichiers sur une partition formatée en ext2, ext3 ou ext4, il est possible de les récupérer grâce au logiciel extundelete.

Compilation de extundelete



Pour pouvoir l'utiliser, il faut le compiler et les paquets suivants sont nécessaires pour mener à bien cette opération :
- compilateur de code C++ : gcc-c++ sous CentOS, g++ sous Debian
- make
- outils de manipulation de systèmes de fichiers ext2, ext3 et ext4 : e2fsprogs sous CentOS et Debian
- les bibliothèques statiques et les entêtes spécifiques pour ex2/ext3/ext4 : e2fsprogs-devel pour CentOS, e2fslibs-dev sous Debian

Il ne reste plus qu'à lancer la compilation :
tar xfj extundelete-0.2.0.tar.bz2

 cd extundelete-0.2.0

 ./configure

 make


Le binaire résultant est localisé dans extundelete-0.2.0/src.

Utilisation de extundelete



extundelete est relativement simple d'utilisation.

Avant de l'utiliser sur la partition à inspecter, il faut la démonter et prévoir une partition qui recevra les fichiers restaurés dans un répertoire RECOVERED_FILES.

extundelete --help
affiche l'usage et l'ensemble des options que l'on peut passer à extundelete.

Usage: extundelete [options] [--] device-file

Options:

  --version, -[vV]       Print version and exit successfully.

  --help,                Print this help and exit successfully.

  --superblock           Print contents of superblock in addition to the rest.

                         If no action is specified then this option is implied.

  --journal              Show content of journal.

  --after dtime          Only process entries deleted on or after 'dtime'.

  --before dtime         Only process entries deleted before 'dtime'.

Actions:

  --inode ino            Show info on inode 'ino'.

  --block blk            Show info on block 'blk'.

  --restore-inode ino[,ino,...]

                         Restore the file(s) with known inode number 'ino'.

                         The restored files are created in ./RESTORED_FILES

                         with their inode number as extension (ie, file.12345).

  --restore-file 'path'  Will restore file 'path'. 'path' is relative to root

                         of the partition and does not start with a '/' (it

                         must be one of the paths returned by --dump-names).

                         The restored file is created in the current

                         directory as 'RECOVERED_FILES/path'.

  --restore-files 'path' Will restore files which are listed in the file 'path'.

                         Each filename should be in the same format as an option

                         to --restore-file, and there should be one per line.

  --restore-all          Attempts to restore everything.

  -j journal             Reads an external journal from the named file.

  -b blocknumber         Uses the backup superblock at blocknumber when opening

                         the file system.

  -B blocksize           Uses blocksize as the block size when opening the file

                         system.  The number should be the number of bytes.


Restauration de tous les fichiers d'une partition


extundelete /dev/sda4 --restore-all

Tous les fichiers effacés de /dev/sda4 seront écrits dans un répertoire RECOVERED_FILES dans le répertoire en cours.

Restauration d'un seul fichier d'une partition


extundelete /dev/sda4 --restore-file nicolas/fichier_efface

--restore-file prend en paramètre le chemin vers le fichier effacé relatif à la partition

Les commentaires sont fermés.