Récupération de fichiers effacés sur un système de fichiers ext2/ext3/ext4
Rédigé par Nicolas Sulek
Aucun commentaire
Classé dans : Logiciel
Compilation de extundelete
Pour pouvoir l'utiliser, il faut le compiler et les paquets suivants sont nécessaires pour mener à bien cette opération :
- compilateur de code C++ : gcc-c++ sous CentOS, g++ sous Debian
- make
- outils de manipulation de systèmes de fichiers ext2, ext3 et ext4 : e2fsprogs sous CentOS et Debian
- les bibliothèques statiques et les entêtes spécifiques pour ex2/ext3/ext4 : e2fsprogs-devel pour CentOS, e2fslibs-dev sous Debian
Il ne reste plus qu'à lancer la compilation :
tar xfj extundelete-0.2.0.tar.bz2
cd extundelete-0.2.0
./configure
make
Le binaire résultant est localisé dans extundelete-0.2.0/src.
Utilisation de extundelete
extundelete est relativement simple d'utilisation.
Avant de l'utiliser sur la partition à inspecter, il faut la démonter et prévoir une partition qui recevra les fichiers restaurés dans un répertoire RECOVERED_FILES.
extundelete --helpaffiche l'usage et l'ensemble des options que l'on peut passer à extundelete.
Usage: extundelete [options] [--] device-file
Options:
--version, -[vV] Print version and exit successfully.
--help, Print this help and exit successfully.
--superblock Print contents of superblock in addition to the rest.
If no action is specified then this option is implied.
--journal Show content of journal.
--after dtime Only process entries deleted on or after 'dtime'.
--before dtime Only process entries deleted before 'dtime'.
Actions:
--inode ino Show info on inode 'ino'.
--block blk Show info on block 'blk'.
--restore-inode ino[,ino,...]
Restore the file(s) with known inode number 'ino'.
The restored files are created in ./RESTORED_FILES
with their inode number as extension (ie, file.12345).
--restore-file 'path' Will restore file 'path'. 'path' is relative to root
of the partition and does not start with a '/' (it
must be one of the paths returned by --dump-names).
The restored file is created in the current
directory as 'RECOVERED_FILES/path'.
--restore-files 'path' Will restore files which are listed in the file 'path'.
Each filename should be in the same format as an option
to --restore-file, and there should be one per line.
--restore-all Attempts to restore everything.
-j journal Reads an external journal from the named file.
-b blocknumber Uses the backup superblock at blocknumber when opening
the file system.
-B blocksize Uses blocksize as the block size when opening the file
system. The number should be the number of bytes.
Restauration de tous les fichiers d'une partition
extundelete /dev/sda4 --restore-all
Tous les fichiers effacés de /dev/sda4 seront écrits dans un répertoire RECOVERED_FILES dans le répertoire en cours.
Restauration d'un seul fichier d'une partition
extundelete /dev/sda4 --restore-file nicolas/fichier_efface
--restore-file prend en paramètre le chemin vers le fichier effacé relatif à la partition