Recherche de site Web

ext3grep - Récupérer les fichiers supprimés sur Debian et Ubuntu


ext3grep est un programme simple pour récupérer des fichiers sur un système de fichiers EXT3. Il s'agit d'un outil d'enquête et de récupération utile dans les enquêtes médico-légales. Il permet d'afficher des informations sur les fichiers qui existaient sur une partition et également de récupérer les fichiers supprimés accidentellement.

Dans cet article, nous présenterons une astuce utile qui vous aidera à récupérer des fichiers supprimés accidentellement sur les systèmes de fichiers ext3 à l'aide de ext3grep dans Debian et Ubuntu.

Scénario de test

  • Nom de l'appareil : /dev/sdb1
  • Point de montage : /mnt/TEST_DRIVE
  • Type de système de fichiers : EXT3

Comment récupérer des fichiers supprimés à l'aide de l'outil ext3grep

Pour récupérer les fichiers supprimés, vous devez d'abord installer le programme ext3grep sur votre système Ubuntu ou Debian à l'aide du gestionnaire de packages APT, comme indiqué.

sudo apt install ext3grep

Une fois installé, nous allons maintenant montrer comment récupérer des fichiers supprimés sur un système de fichiers ext3.

Tout d'abord, nous allons créer des fichiers à des fins de test dans le point de montage /mnt/TEST_DRIVE de la partition/du périphérique ext3, c'est-à-dire /dev/sdb1 dans ce cas.

cd /mnt/TEST_DRIVE
sudo touch files[1-5]
ls -l

Nous allons maintenant supprimer un fichier appelé file5 du point de montage /mnt/TEST_DRIVE de la partition ext3.

sudo rm file5

Nous allons maintenant voir comment récupérer un fichier supprimé à l'aide du programme ext3grep sur la partition ciblée. Tout d’abord, nous devons le démonter à partir du point de montage ci-dessus (notez que vous devez utiliser la commande cd pour basculer vers un autre répertoire pour que l’opération de démontage fonctionne, sinon la commande umount affichera l’erreur « cette cible est occupée“).

cd
$sudo umount /mnt/TEST_DRIVE

Maintenant que nous avons supprimé l'un des fichiers (ce que nous supposerons a été fait accidentellement), pour afficher tous les fichiers qui existaient dans l'appareil, exécutez l'option --dump-name (remplacez /dev/sdb1 avec le nom réel du périphérique).

ext3grep --dump-name /dev/sdb1

Pour récupérer le fichier supprimé ci-dessus, c'est-à-dire file5, nous utilisons l'option --restore-all comme indiqué.

ext3grep --restore-all /dev/sdb1

Une fois le processus de récupération terminé, tous les fichiers récupérés seront écrits dans le répertoire RESTORED_FILES, vous pouvez vérifier si le fichier supprimé est récupéré ou non.

cd RESTORED_FILES
ls 

Nous pouvons spécifier un fichier particulier à récupérer, par exemple le fichier appelé file5 (ou spécifier le chemin complet du fichier dans le périphérique ext3).


ext3grep --restore-file file5 /dev/sdb1 
OR
ext3grep --restore-file /path/to/some/file /dev/sdb1 

De plus, nous pouvons également restaurer des fichiers dans un délai donné. Par exemple, spécifiez simplement la date et l'heure correctes, comme indiqué.

ext3grep --restore-all --after `date -d 'Jan 1 2019 9:00am' '+%s'` --before `date -d 'Jan 5 2019 00:00am' '+%s'` /dev/sdb1 

Pour plus d'informations, consultez la page de manuel ext3grep.

man ext3grep

C'est ça! ext3grep est un outil simple et utile pour rechercher et récupérer des fichiers supprimés sur un système de fichiers ext3. C'est l'un des meilleurs programmes pour récupérer des fichiers sous Linux. Si vous avez des questions ou des idées à partager, contactez-nous via le formulaire de commentaires ci-dessous.