Recherche de site Web

Installez Scalpel (un outil de récupération du système de fichiers) pour récupérer les fichiers/dossiers supprimés sous Linux

Il arrive souvent que nous appuyions accidentellement ou par erreur sur « shift + delete » sur des fichiers. Par nature humaine, vous avez l'habitude d'utiliser « shift + Suppr » au lieu d'utiliser uniquement l'option « Supprimer ». En fait, j'ai eu cet incident il y a quelques jours. Je travaillais sur un projet et j'ai enregistré mon fichier de travail dans un répertoire. Il y avait de nombreux fichiers indésirables dans ce répertoire et doivent être supprimés définitivement. J'ai donc commencé à les supprimer un par un. Lors de la suppression de ces fichiers, j'ai accidentellement appuyé sur « shift delete » sur l'un de mes fichiers importants. Le fichier a été définitivement supprimé de mon répertoire. Je me demandais comment récupérer des fichiers supprimés et je ne savais pas quoi faire. J'ai presque passé beaucoup de temps à restaurer le fichier mais sans succès.

Connaissant un peu de connaissances techniques, je connaissais le fonctionnement du système de fichiers et du HDD. Lorsque vous supprimez accidentellement un fichier, le contenu du fichier n'est pas supprimé de votre ordinateur. Il est simplement supprimé du dossier de la base de données et vous ne pouvez pas voir le fichier dans le répertoire, mais il reste toujours quelque part sur votre disque dur. Fondamentalement, le système dispose d'un pointeur de liste vers les blocs sur le périphérique de stockage qui contient toujours les données. Les données ne sont pas supprimées du périphérique de stockage en mode bloc, sauf si vous les écrasez par un nouveau fichier. À ce point de vue, j'ai indiqué que mon fichier supprimé pouvait encore rester quelque part dans une zone non indexée du Disque dur. Cependant, il est recommandé de démonter immédiatement un appareil dès que vous réalisez que vous avez supprimé un fichier important. Démonter vous aide à empêcher l'écrasement des fichiers bloqués par un nouveau fichier.

Dans ce scénario, je ne voulais pas écraser ces données, j'ai donc préféré rechercher sur le disque dur sans le monter.

Normalement, sous Windows, nous disposons de tonnes d'outils tiers pour récupérer les données perdues, mais sous Linux, seulement quelques-uns. Cependant, j'utilise Ubuntu comme système d'exploitation et il est très difficile de trouver un outil permettant de récupérer les fichiers perdus. Au cours de mes recherches, j'ai découvert « Scalpel », un outil qui parcourt tout le disque dur et récupère un fichier perdu. J'ai installé et récupéré avec succès mon fichier perdu à l'aide de l'outil Scalpel. C’est un outil vraiment incroyable, je dois dire.

Cela peut également arriver avec vous. J'ai donc pensé à partager mon expérience avec vous. Dans cet article, je vais vous montrer comment récupérer des fichiers supprimés à l'aide de l'outil scalpel. Alors c'est parti.

Qu'est-ce que l'outil scalpel ?

Scalpel est une récupération de système de fichiers open source pour les systèmes d'exploitation Linux et Mac. L'outil visite le stockage de la base de données de blocs, identifie les fichiers supprimés et les récupère instantanément. Outre la récupération de fichiers, il est également utile pour les enquêtes médico-légales numériques.

Comment installer Scalpel dans Debian/Ubuntu et Linux Mint

Pour installer Scalpel, ouvrez le terminal en faisant « CTrl+Alt+T » depuis le bureau et exécutez la commande suivante.

sudo apt-get install scalpel
Exemple de sortie
Reading package lists... Done
Building dependency tree       
Reading state information... Done
The following NEW packages will be installed:
  scalpel
0 upgraded, 1 newly installed, 0 to remove and 390 not upgraded.
Need to get 0 B/33.9 kB of archives.
After this operation, 118 kB of additional disk space will be used.
Selecting previously unselected package scalpel.
(Reading database ... 151082 files and directories currently installed.)
Unpacking scalpel (from .../scalpel_1.60-1build1_i386.deb) ...
Processing triggers for man-db ...
Setting up scalpel (1.60-1build1) ...
tecmint@tecmint-Latitude-D630:~$

Installation de Scalpel dans RHEL/CentOS et Fedora

Pour installer l'outil de récupération scalpel, vous devez d'abord activer le référentiel epel. Une fois activé, vous pouvez faire « miam » pour l'installer comme indiqué.

yum install scalpel
Exemple de sortie
Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
 * base: centos.01link.hk
 * epel: mirror.nus.edu.sg
 * epel-source: mirror.nus.edu.sg
Setting up Install Process
Resolving Dependencies
--> Running transaction check
---> Package scalpel.i686 0:2.0-1.el6 will be installed
--> Finished Dependency Resolution

Dependencies Resolved

==========================================================================================================================================================
 Package		Arch		Version			Repository		Size
==========================================================================================================================================================
Installing:
 scalpel                i686            2.0-1.el6               epel                    50 k

Transaction Summary
==========================================================================================================================================================
Install       1 Package(s)

Total download size: 50 k
Installed size: 108 k
Is this ok [y/N]: y
Downloading Packages:
scalpel-2.0-1.el6.i686.rpm                                                           |  50 kB     00:00     
Running rpm_check_debug
Running Transaction Test
Transaction Test Succeeded
Running Transaction
  Installing : scalpel-2.0-1.el6.i686							1/1 
  Verifying  : scalpel-2.0-1.el6.i686                                                   1/1 

Installed:
  scalpel.i686 0:2.0-1.el6                                                                                                                                

Complete!

Une fois le scalpel installé, vous devez effectuer l’édition de texte. Par défaut, l'utilitaire scalpel a son propre fichier de configuration dans le répertoire '/etc' et le chemin complet est « /etc/scalpel/scalpel.conf » ou « /etc /scalpel.conf“. Vous pouvez remarquer que tout est commenté (#). Ainsi, avant d'exécuter Scalpel, vous devez décommenter le format de fichier que vous devez récupérer. Cependant, décommenter l'intégralité du fichier prend du temps et générera d'énormes faux résultats.

Disons par exemple que je souhaite récupérer uniquement les fichiers « .jpg », alors décommentez simplement la section du fichier « .jpg » pour le fichier de configuration du scalpel.

GIF and JPG files (very common)
        gif     y       5000000         \x47\x49\x46\x38\x37\x61        \x00\x3b
        gif     y       5000000         \x47\x49\x46\x38\x39\x61        \x00\x3b
        jpg     y       200000000       \xff\xd8\xff\xe0\x00\x10        \xff\xd9

Accédez au terminal et tapez la syntaxe suivante. Le '/dev/sda1' est l'emplacement d'un appareil à partir duquel le fichier est déjà supprimé.

sudo scalpel /dev/sda1-o output

Le commutateur « -o » indique un répertoire de sortie dans lequel vous souhaitez restaurer vos fichiers supprimés. Assurez-vous que ce répertoire est vide avant d'exécuter une commande, sinon cela vous donnera une erreur. Le résultat de la commande ci-dessus est.

Scalpel version 1.60
Written by Golden G. Richard III, based on Foremost 0.69.

Opening target "/dev/sda1"

Image file pass 1/2.
/dev/sda1:   6.1% |***** 		|    6.6 GB    39:16 ETA

Comme vous le voyez, le scalpel exécute maintenant son processus et la récupération de votre fichier supprimé prendra du temps en fonction de l'espace disque que vous essayez d'analyser et de la vitesse de la machine.

Je vous recommanderais à tous d'avoir l'habitude d'utiliser uniquement supprimer au lieu de « Maj + Supprimer ». Parce que comme dit, mieux vaut prévenir que guérir.