Contenu | Rechercher | Menus

Foremost

Aussitôt que vous constatez la perte de fichiers, arrêtez d'utiliser, autant que faire se peut, le disque dur (ou autre périphérique de stockage) sur lequel a eu lieu la perte. Autrement, vous risquez de ré-écrire par dessus vos fichiers perdus.

Foremost est une application en lignes de commande qui donne la possibilité de récupérer simplement des fichiers qui ont été effacés où encore des fichiers "disparus" suite à un "formatage rapide" (reconstruction de l'index de la partition). Il a été développé à l'origine pour le service d'enquêtes spéciales de l'US Air Force.
La récupération d'un fichier effacé part d'un concept simple… quand vous supprimez un fichier, c'est uniquement le pointeur vers celui-ci qui est brisé mais il n'est pas immédiatement écrasé par d'autres données. Le fichier est donc toujours physiquement présent sur le disque dur. Évidement, plus vous attendez avant de récupérer un fichier, plus celui-ci a de chance de disparaître à jamais…

À noter que Foremost ne reconstruit pas l'index de la partition.

Pré-requis

  • Disposer d'une connexion à Internet configurée et activée;
  • Connaître la partition des fichiers corrompus;
  • Une place suffisante sur la partition devant recevoir les fichiers récupérés.

Installation

Utilisation

(L'utilisation se fait en lignes de commande depuis un terminal avec les droits d'administration et ce, même pour lire les fichiers d'information et manipuler les fichiers récupérés).

Avant de commencer, vous devez connaître la partition sur laquelle vous voulez récupérer des fichiers (exemple: /dev/hda1,…). Pour cela, vous pouvez utiliser l'utilitaire de disque installé par défaut dans Ubuntu.

Nous allons prendre comme exemple la récupération de photos depuis une carte SD malencontreusement "formaté rapidement". Une fois inséré dans le lecteur de cartes de l'ordinateur, l'utilitaire de disque nous donnera /dev/sdc comme partition. À vous d’adapter en conséquence.

À savoir: Par défaut, Foremost créera à chaque utilisation un dossier nommé "output" dans votre dossier personnel où seront déposés le fichier d'information "audit.txt" et les fichiers récupérés. Si vous utilisez Foremost plusieurs fois, il vous faudra, toujours avec les droits d'administration, soit renommer ou déplacer ou supprimer ce dossier.
Pour éviter ces manipulations, il suffit d'ajouter l'argument -T dans les lignes de commande. Cet argument en ajoutant l'heuristique au nom du dossier, permet d'avoir un dossier différent à chaque fois.
Vous pouvez aussi créer un autre emplacement en ajoutant l'argument -o suivi du nom et du chemin et du fichier.

Lister les fichiers

Si vous souhaitez connaître la liste des fichiers qu'il est possible de récupérer sur votre partition sans les extraire (argument -w), entrez la ligne de commande:

sudo foremost -w /dev/sdc

(La liste nommée "audit.txt" sera déposé dans le dossier "output" de votre dossier personnel).

Récupérer les fichiers

  • Pour récupérer les fichiers images au format .jpg de la carte:
    sudo foremost jpg /dev/sdc

    Évidement, si les images ont commencé à être écrasées, vous récupérerez des demi images mais c'est déjà ça…

  • Pour tout récupérer:
    sudo foremost all /dev/sdc

Afin de récupérer d'autres fichiers, plusieurs autres options sont disponibles :

  • jpg : images jpeg
  • gif : images animées gif
  • png : images PNG
  • bmp : images bimap
  • avi : vidéos avi
  • exe : exécutables Windows
  • mpg : images mpeg
  • wav : fichiers son wav
  • riff : vidéos riff
  • wmv : fichiers vidéo wmv et formas similaires
  • mov : Videos
  • pdf : documents pdf
  • ole : inconnu
  • doc : Documents
  • zip : archives zip
  • rar : archives rar
  • htm : fichiers de codage html
  • cpp : fichiers de codage C
  • all : tous les types de fichiers

Pour plus de détails et options:

man foremost

Accéder aux fichiers

Le dossier de récupération créé par Foremost est accessible uniquement avec les droits d'administration. Vous ne pourrez donc pas accéder aux fichiers récupérés ni les manipuler depuis votre gestionnaire de fichiers habituel. Pour cela, nous devrons avant tout, modifier les droits d'accès de ce dossier.

sudo chown -R <utilisateur> output

(Remplacer "<utilisateur>" par votre nom d'utilisateur)
Vous pouvez maintenant utiliser votre gestionnaire de fichiers normalement.

Désinstallation

Pour supprimer cette application, il suffit de supprimer son paquet. Selon la méthode choisie, la configuration globale de l'application est conservée ou supprimée. Les journaux du système, et les fichiers de préférence des utilisateurs dans leurs dossiers personnels sont toujours conservés.

Voir aussi


Contributeurs : cafecho



Le contenu de ce wiki est sous licence : CC BY-SA v3.0