Comment récupérer des fichiers supprimés?

121

Existe-t-il des outils, méthodes, incantations pour récupérer des fichiers supprimés récemment sur Ubuntu?

Si cela fait une différence, je souhaite récupérer un fichier de base de données Keepass 2.x. Mais il serait préférable d’avoir une méthode / un outil qui fonctionne sur n’importe quel type de fichier.

data-recovery 
Decio Lira
source
Seth

Réponses:

66

TestDisk peut parfois récupérer des fichiers récemment supprimés.

vh1
source
4
Peut être important pour quelqu'un de savoir que des cartes spécifiques aux caméras sont disponibles sur TestDisk. PhotoRec
Luis Siquot
1
À l'heure actuelle, TestDisk ne dispose pas d'interface utilisateur graphique et les pages d'aide (man) ne me suffisent pas d'information.
silviubogan
4
PhotoRec ( cgsecurity.org/wiki/PhotoRec ) a fonctionné à merveille pour récupérer des fichiers supprimés par inadvertance (sur Ubuntu 14.04 avec ext4). J'ai d'abord essayé avec TestDisk mais il n'a pas été possible de les récupérer. Quoi qu'il en soit, j'ai trouvé les deux outils conçus dans le même dossier.
Andrea
1
@silviubogan en fait, TestDisk a une très bonne interface utilisateur textuelle avec des menus et des explications en cours de route. Toutes les actions ont une touche associée pour les exécuter et elles sont clairement écrites sur chaque écran pour un accès plus facile.
Andrea Lazzarotto
25

J'ai utilisé avant tout pour récupérer le disque dur endommagé sous NTFS (Windows), FAT32 (carte Flash d'un téléphone Nokia) et ext3 avec d'excellents résultats. En ligne de commande seulement, mais c'est très facile, quelque chose comme ceci:

sudo foremost -i /dev/sda -o <dir where recovered files will be stored>

Il ordonnera les fichiers récupérés sur des dossiers par type de fichier. Les documents Openoffice sont récupérés sous forme de fichiers zip. Comme vous devez l'exécuter en tant que root (pour pouvoir accéder directement au matériel), les fichiers de sortie appartiennent également à root. Il vous faudra donc probablement changer de propriétaire par la suite.

Javier Rivera
source
C'est probablement une question trop ancienne, mais à quoi ressemblent les fichiers GIMP après la récupération?
Réveil
Je ne sais pas, je n'ai jamais essayé de les récupérer.
Javier Rivera
@ JavierRivera - Je ne crois pas que l' foremoston puisse récupérer des .xcffichiers. Voir la page de manuel, il ne peut traiter que les types de fichiers suivants: et cpp).
Slm
déjà en cours ... laissez-moi attendre les résultats. Va partager.
Patrick Mutwiri
combien de temps faut-il pour finir ?? pour une mémoire USB de 32 Go
Mina Michael
25

extundelete est vraiment génial si votre système de fichiers est ext3 ou ext4.

Remarque : Extundelete nécessite que vous démontiez votre lecteur pour que celui-ci fonctionne correctement (c’est une bonne idée de le faire dès que possible, pour éviter d’écraser éventuellement les octets récupérables dans les fichiers supprimés).

Le démontage du lecteur sur un système en direct peut être délicat ... vous obtiendrez souvent le device is busymessage ' '. Pour effacer ce problème, vous devez arrêter tous les processus accédant au système de fichiers. Mais ... vous travailliez probablement dans votre répertoire personnel, et des zillions de processus sont connectés à votre répertoire personnel. Bonne chance dans ce domaine.

Le truc pour contourner cela est de faire un démontage «paresseux»:

$ mount
/dev/sda7 on /home type ext4 (rw)
$ sudo umount -l /home

où:

  • /homeCet exemple est pour moi en train de préparer ma monture pour une utilisation avec extundelete. Vous devez évidemment remplacer /homepar votre monture d'intérêt
  • J'ai d'abord fait la mountcommande pour déterminer quel périphérique ( /dev/sda7) je dois passer à extundelete (la sortie est tronquée pour des raisons de brièveté)
  • c'est un L minuscule dans l' -loption
Russ
source
4
Un démontage paresseux n'aide pas vraiment car le fs reste monté jusqu'à ce que tous les fichiers qu'il contient soient fermés. Il vous suffit d’arrêter le système dès que vous supprimez les fichiers et d’exécuter extundelete à partir d’un livecd.
Psusi
@ psusi - Il est absolument faux de dire que cela n'aide pas !! umount -lempêche tout nouveau fichier d'être ouvert / créé et écrit (caches Web et autres). Cependant, cela n'empêche pas les fichiers ouverts existants d'être encore écrits (c.-à-d. Qu'il ne ferme pas les fichiers existants). Vous suggérez de fermer, mais je pense qu'un démontage paresseux donnera (la plupart du temps) moins de fichiers écrits, en fonction de la partition en question. Sur cette note, le mieux est d’installer déjà extundelete, sinon, assurez-vous de l’installer sur une partition autre que celle que vous essayez de récupérer!
Russ le
Tant que le fs est toujours monté, toute tentative d'accès entraînera une corruption. C’est la raison pour laquelle Extundelete exige que vous démontiez les fs en premier lieu. Le démontage paresseux le trompe simplement en lui faisant croire qu'il n'est pas monté et qu'il est donc prudent de continuer à manipuler le disque lorsque ce n'est pas vrai. Procéder avec extundelete avant que le fs ne soit réellement démonté peut endommager tout le disque.
Psusi
1
@ psusi - "peut arroser tout le disque" ??! Avec une opération en lecture seule? Je ne comprends pas votre argument, ou ce qui vous a tellement paranoïaque. extundelete ne "manipule pas le disque". La pire chose que je puisse imaginer est qu'extundelete attend une partition non montée / statique et si, en lisant les informations du journal, le disque mal monté paresseusement change en raison de processus avec des fichiers ouverts, extundelete peut être confus et la récupération peut échouer. "éventuellement échec de la récupération"! = "disque dur". Si cela échoue, arrêtez, priez pour que shutdown ne jette pas vos données perdues, et utilise un livecd comme vous le suggérez.
Russ
1
Que Dieu bénisse ce programme! Et vous @Russ. Récupéré tous mes fichiers!
Vladimir Kovalchuk
14

Si vous avez supprimé un fichier par accident, mais que vous connaissez toujours certaines chaînes écrites dans ce fichier, vous pouvez utiliser:

grep -a -B 25 -A 100 'containing string' /dev/sda1 > result.txt
1
Et si le fichier est binaire et pas du texte?
Decio Lira
En supposant que ce soit du texte, comment peut-il récupérer le fichier avec result.txt? Je ne
comprends
J'ai essayé plusieurs autres réponses préalables. Aucun d'entre eux a travaillé. Cette astuce simple a fait! Merci!
JamesThomasMoon1979
C'est vraiment travaillé, génial. Merci beaucoup.
Snehal Parmar
2
Il convient de noter que 25et ne 100sont que quelques chiffres magiques qui doivent probablement être modifiés pour le cas spécifique.
Andrea Lazzarotto
12

Pour récupérer le répertoire, vous pouvez utiliser extundelete

  1. Installer extundelete

    sudo apt-get install extundelete

  2. Commande à récupérer

    sudo extundelete --restore-directory /home/Documents/ /dev/sda1

Remarque : au lieu de dev/sda1mettre votre nom de partition de disque dur.

/home/Documents/ est votre chemin vers le répertoire supprimé.

Aatish Sai
source
1
J'avais l'habitude autopsyde trouver les inodes dont j'avais besoin, puis extundeletede les restaurer. A bien fonctionné!
Raphael
Mes résultats ressemble.....~/Books$ sudo extundelete --restore-directory /home/newubuntu/Books/LaTeX /dev/sda2 WARNING: Extended attributes are not restored. Loading filesystem metadata ... 522 groups loaded. Loading journal descriptors ... 32242 descriptors loaded. Writing output to directory RECOVERED_FILES/ Failed to restore file /home/newubuntu/Books/LaTeX Could not find correct inode number past inode 2621441.
alhelal
Je veux envoyer une confirmation dans la commande. Comment?
Alhelal
sudo extundelete -y --restore-directory /home/Documents/ /dev/sda1 comme ça.
Alhelal
10

R-Linux (Recovery Studio) est l’un des meilleurs. J'ai utilisé cet outil plusieurs fois auparavant. J'ai travaillé dans une entreprise où ils utilisaient la version commerciale, 9/10 fois qu'elle récupère tout ce que vous voulez. Application vraiment superbe. A sauvé le mien et mes amis derrière plusieurs fois auparavant.

R-Linux est un utilitaire gratuit de récupération de fichier pour le système de fichiers Ext2 / Ext3 / Ext4 FS utilisé dans le système d'exploitation Linux et plusieurs Unix. R-Linux utilise la même technologie InteligentScan que R-Studio, ainsi que des paramètres souples pour la récupération de fichiers la plus rapide et la plus fiable pour la plate-forme Linux. Toutefois, contrairement à R-Studio, R-Linux ne peut pas récupérer les données sur le réseau, reconstruire des RAID ou fournir une copie d’objet.

Caractéristiques (de leur site Web):

R-Linux récupérer des fichiers :

  • Supprimé par une attaque de virus, une panne de courant ou un crash du système;
  • Après la partition avec les fichiers a été reformatée, endommagée ou supprimée;
  • Lorsque la structure de la partition sur un disque a été modifiée ou endommagée. Dans ce cas, R-Linux peut analyser le disque en essayant de trouver des partitions existantes et de restaurer des fichiers à partir des partitions trouvées.
  • À partir de disques avec des secteurs défectueux. Dans ce cas, R-Linux peut d'abord copier le disque entier ou sa partie dans un fichier image, puis traiter le fichier image. Ceci est particulièrement utile lorsque de nouveaux secteurs défectueux apparaissent constamment sur le disque et que les informations restantes doivent être immédiatement enregistrées.

Fonctions avancées de R-Linux :

  • Interface de style "Explorateur Windows" standard.
  • OS hôte:
    • Variante Linux: Linux, noyau 2.6 et supérieur
    • Variante Windows: Win2000, XP, 2003, Vista, Windows 7, Windows 8
  • Systèmes de fichiers pris en charge: Ext2 / Ext3 / Ext4 FS (Linux) uniquement.

  • Reconnaissance et analyse du schéma de disposition des partitions Dynamique (Windows 2000 / XP / Vista / Win7), Basique, GPT et BSD (UNIX) et du mappage de partitions Apple . Les partitions dynamiques sur GPT sont prises en charge, ainsi que les partitions dynamiques sur MBR.

  • Crée des fichiers image pour un disque dur entier, un disque logique ou sa partie. De tels fichiers image peuvent être traités comme des disques normaux. Les images peuvent être soit de simples copies d'objets exactes (images ordinaires) compatibles avec les anciennes versions de R-Linux, soit des images compressées pouvant être compressées, divisées en plusieurs parties et protégées par un mot de passe. De telles images sont entièrement compatibles avec les images créées par R-Drive Image, mais incompatibles avec les anciennes versions de R-Linux.

  • Reconnaît les noms localisés.

  • Les fichiers récupérés peuvent être sauvegardés sur n’importe quel disque (y compris le réseau) accessible par le système d’exploitation hôte.
lame19899
source
Je ne m'attendais pas à ce que cela soit gratuit pour Linux. Je connais déjà R-Studio et c'est un logiciel fabuleux. Génial que ce soit gratuit pour les systèmes de fichiers Linux.
0x01
1
Cet outil est gratuit uniquement pour la récupération de fichiers de moins de 256 Ko
Tik0
6

Si vous utilisez un disque dur interne secondaire (il en va de même pour le disque dur externe) pour l'importation de fichiers récupérés (à partir du disque dur principal, où se trouvaient les fichiers à l'origine), il est nécessaire de créer un répertoire dans lequel les fichiers seront placés sur le disque secondaire. Pour ce faire, vous devez d’abord avoir les paramètres du BIOS pour pouvoir démarrer à partir du CD! 1. Lancez le CD Live Ubuntu Rescue-Remix, donnez la commande à démarrer, puis quand il démarre dans le terminal, vérifiez vos disques durs avec la commande - Code:sudo fdisk -l

Réalisez ce que HD est principal, et ce qui est secondaire, et quelle partition pour vérifier les fichiers et dans laquelle les récupérer - Linux ext3 ou Windows NTFS! Le mien était Linux. Ayez assez de place dessus! (Ensuite, vous pouvez essayer d’exécuter Photorec («sudo photorec») et, espérons-le, de pouvoir voir tous vos disques durs. Je n’ai pas eu cette chance, j’ai donc dû créer un répertoire et monter une seconde HD.)

  1. Créez d’abord le répertoire des fichiers récupérés, par exemple - média / disque. Donner la commande - Code:sudo mkdir /media/disk

Si tout va bien, l'invite du terminal revient tout simplement.

  1. Doit monter la HD secondaire, ou elle sera invisible, même si «sudo fdisk -l» le montre. Donnez la commande pour votre disque dur secondaire - Code:sudo mount -t ext3 /dev/sdb2 /media/disk

Si tout va bien, l'invite du terminal revient tout simplement.

  1. Exécuter Photorec par commande - Code:

    sudo photorec

Allez dans les paramètres, et choisissez seulement les types de fichiers que vous voulez, sinon vous aurez des milliers de fichiers à parcourir!

Pour plus de détails, visitez le site http://www..ubuntumanual.org/posts/357/recover-your-deleted-files-in-ubuntu.

Abhilash
source
5

Essayez Scalpel

sudo apt-get install scalpel

pour plus d'informations

homme bistouri

Rojan
source
l'essayer maintenant. Je ne comprends pas très bien comment ajouter de nouveaux fichiers au fichier de configuration. Avez-vous des sources avec des détails?
Decio Lira
2
J'ai trouvé howtoforge.com/recover-deleted-files-with-scalpel qui est meilleur que rien. Bonne chance, ce n'est pas pas MS-DOS.
msw
voir aussi ubuntu.stackexchange.com/questions/2596/…. J'utilise une sauvegarde système assez lourde, mais j'ai "Back in Time" configuré pour doubler les répertoires sélectionnés dans / home / msw (y compris .config qui capture également .config/keepassx/*(vos emplacements peuvent varie)) sur une partition de secours tous les soirs. J'utilise aussi Unix depuis toujours et vous faites généralement the-really-critical.file
preuve de beaucoup de
Scalpel semble faire la même chose que tout à fait, mais si scalpel n’est plus développé depuis 10 ans, il a surtout eu de nombreuses mises à jour ces dernières années.
sebix
3

Les outils Autopsy et Sleuthkit sont parfaits pour la récupération de fichiers supprimés, avec une interface utilisateur conviviale, et sont également disponibles dans les dépôts :

sudo apt install autopsy
nathwill
source
bon à savoir. va les regarder. ;)
Livre Decio
1
Je voterais si vous auriez ajouté des liens.
MadMike
J'avais l'habitude autopsyde trouver les inodes dont j'avais besoin, puis extundeletede les restaurer. A bien fonctionné!
Raphael
2

Installer le scalpel

sudo apt-get install scalpel

Editez le fichier scalpel.conf et décommentez les types de fichiers que vous souhaitez récupérer. Créez un dossier vide (par exemple: Recover_data) Trouvez la partition que vos données étaient. Vous pouvez utiliser lsblk pour obtenir la carte de partition.

sudo lsblk

Exécuter le scalpel (supposons que les données étaient dans sda1)

sudo scalpel -o recovered_data/ /dev/sda1
Kasun
source
1

Récemment, j'ai utilisé ext3grep pour récupérer un fichier SQLite 3 volumineux qui avait été supprimé d'un système de fichiers ext3.

J'avais essayé de nombreux autres outils non récupérés, tous qui ne pouvaient pas récupérer le fichier (à partir d'une image DD du disque).

Afin d'utiliser ext3grep, j'avais besoin de télécharger et de compiler le code source. Lisez attentivement http://www.xs4all.nl/~carlo17/howto/undelete_ext3.html de haut en bas afin de comprendre le fonctionnement du système de fichiers ext3 et de savoir comment utiliser le journal pour localiser les fichiers supprimés. le disque était également nécessaire.

Ce n'est pas une solution simple, mais très très puissante. Si vous êtes prêt à investir quelques heures pour étudier le document et compiler le programme, cela en vaut la peine.

Stacey Richards
source
Merci, j'essaye peut-être ça. cela ne fonctionnera-t-il qu'avec les systèmes de fichiers ext3? Qu'en est-il de Ext4?
Decio Lira
Je ne suis pas sûr de ext4 mais je pense que ext4 est rétro-compatible avec ext3. Je suppose que cela fonctionnerait, mais je n'ai jamais essayé.
Stacey Richards
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.