Récupérer des fichiers effacés sur une partition fat
De Wiki de la communauté Mandriva.
D'après l'article original de Patrick :
http://abul.org/Recuperer-des-fichiers-supprimes.htmlDes fichiers videos ont été effacés, alors qu’ils étaient encore en cours de transfert, de la carte flash vers le disque dur. Les fichiers n’apparaissent plus nulle part, mais sont encore sur la carte flash, puisque seul l’index est supprimé.
La récupération des données est possible, et s’effectuera à partir de la ligne de commande. Il est possible de le faire sans être root, si l’utilisateur a les droit sur le fichier périphérique de la carte flash (/dev/peripherique).
Premier réflexe :
- ne surtout rien modifier sur la carte flash, cela pourrait détruire les données résiduelles
- faire une image de la partition avec dd
dd if=/dev/sdb of=/var/tmp/CF.img
Dans notre cas, la carte flash est reconnue comme /dev/sdb, et /var/tmp nous convient et possède suffisamment de place. A ce moment, les données sont archivées sur le disque dur.
On va travailler sur une copie de l’image pour ne pas prendre le risque de l’altérer :
cp /var/tmp/CF.img /var/tmp/CF.orig.img
Si vous n’avez pas assez de place pour copier 2 images, l’archive peut être compressée :
- soit
gzip -c /var/tmp/CF.img > /var/tmp/CF.orig.img.gz
et nous obtenons 2 fichiers dont le nouveau est une image compressée
- soit directement
dd if=/dev/sdb | gzip -c > /var/tmp/CF.orig.img.gz gunzip -c /var/tmp/CF.orig.img.gzet nous obtenons 2 fichiers dont le nouveau est une image non compressée
Le logiciel fsck.vfat, ou dosfsck, a une option pour récupérer les fichiers effacés.
fsck.vfat -vlu <nom du répertoire sur la carte flash><nom du fichier> CF.img
Cette méthode peut donner des résultats.
Il en existe une bien plus efficace qui a sauvé nos videos dans notre cas, le logiciel testdisk. Il s’installe simplement, selon votre distribution, avec :
- aptitude install testdisk (debian)
- urpmi testdisk (mandriva)
- etc...
On lance le programme : cd /var/tmp
testdisk CF.img
Notre fichier image est sélectionné. Appuyer sur "Entrée" pour "Procéder".
Choisir "none" puisque nous travaillons directement sur une partition, puis "Entrée".
"Analyse" puis "Entrée".
"Quick search" encore "Entrée".
"structure : ok." ... appuyer sur "p" pour lister les fichiers.
Maintenant nous naviguons dans l’arborescence de fichiers de la carte flash. Se déplacer dans les répertoires avec les touches haut bas, et la touche "flèche droite" ou "Entrée". Pour remonter dans le dossier parent, sélectionner "..".
Les fichiers en rouge sont des fichiers effacés. Il suffit de les sélectionner et d'appuyer sur la touche « c » pour les copier.
Les fichiers en rouge sont des fichiers effacés. Il suffit de les sélectionner et d’appuyer sur la touche "c" pour les copier. L’interface propose de la copier dans le répertoire courant par défaut, mais vous pouvez en sélectionner un autre, en parcourant l’arborescence des répertoires comme indiqué plus haut. Par défaut, nous appuyons sur la touche "y" pour copier les fichiers dans le répertoire courant, celui dans lequel nous avons lancé la commande "testdisk", c’est à dire /var/tmp dans notre cas.
« Copy done ! » en vert indique que le fichier est copié dans le répertoire courant. Recommencer pour chaque fichier à récupérer. Alors compliqué la console ? :-)
"Copy done !" en vert indique que le fichier est copié dans le répertoire courant. Recommencer pour chaque fichier à récupérer.
Alors compliqué la console ? :-)
Testdisk est un logiciel très puissant dont cet exemple n’est qu’une de ses fonctionnalités. Il est accompagné d’une documentation fournie, généralement placée dans file:///usr/share/doc/testdisk/test....
Pour aller plus loin, visitez le site officiel (en français) de testdisk : http://www.cgsecurity.org/wiki/TestDisk ...
