Question Comment récupérer des fichiers supprimés?


Existe-t-il des outils, des méthodes, des incantations pour récupérer des fichiers récemment supprimés sur Ubuntu?

Si cela fait une différence, je veux récupérer un Keepass 2.x fichier de base de données. Mais il serait préférable d'avoir une méthode / un outil qui fonctionne sur n'importe quel type de fichier.


115
2017-09-09 01:40


origine


Relatif, mais pas vraiment un duplicata: Les fichiers / répertoires supprimés du terminal peuvent-ils être restaurés? - Seth♦


Réponses:


TestDisk peut parfois récupérer des fichiers récemment supprimés.


60
2017-09-09 06:05



Peut être important pour quelqu'un de savoir que spécifique pour les cartes de caméra, sur TestDisk existe PhotoRec - Luis Siquot
Pour le moment, TestDisk n’a pas d’interface graphique et les pages d’aide (man) ne sont pas assez informatives pour moi. - silviubogan
PhotoRec (cgsecurity.org/wiki/PhotoRec) a bien fonctionné pour récupérer des fichiers supprimés accidentellement (sur Ubuntu 14.04 avec ext4). J'ai d'abord essayé avec TestDisk mais il n'a pas pu les récupérer. Quoi qu'il en soit, j'ai trouvé les deux outils conçus dans le même dossier. - Andrea
@silviubogan réellement TestDisk a une très bonne interface utilisateur textuelle avec des menus et des explications en cours de route. Toutes les actions ont une clé associée pour les exécuter et elles sont clairement écrites sur chaque écran pour un accès plus facile. - Andrea Lazzarotto


j'ai utilisé avant toute chose pour récupérer le disque dur endommagé à la fois sous NTFS (Windows), FAT32 (carte Flash depuis un téléphone Nokia) et ext3 avec d'excellents résultats. Ligne de commande uniquement, mais c'est facile, quelque chose comme ceci:

sudo foremost -i /dev/sda -o <dir where recovered files will be stored>

Il ordonnera les fichiers récupérés sur des dossiers par type de fichier. Les documents Openoffice sont récupérés en tant que fichiers zip. Comme vous devez l'exécuter en tant que root (pour accéder directement au matériel), les fichiers de sortie appartiennent également à root, vous devrez donc probablement changer de propriétaire par la suite.


25
2017-09-09 07:15



C'est probablement une question trop ancienne, mais à quoi ressemblent les fichiers GIMP après la récupération? - wakeup
Je ne sais pas, je n'ai jamais essayé de les récupérer. - Javier Rivera
@JavierRivera - Je ne crois pas que foremost peut récupérer .xcf des dossiers. Voir la page de manuel, il ne peut traiter que ces types de fichiers: (jpg, gif, png, bmp, avi, exe, mpg, mp4, wav, riff, wmv, mov, pdf, et cpp). - slm
déjà en cours d'exécution ... laissez-moi attendre les résultats. Va partager. - Patrick Mutwiri
combien de temps faut-il pour finir ?? pour une mémoire USB de 32 Go - Mina Michael


extundelete est vraiment génial si votre système de fichiers est ext3 ou ext4.

Remarque: extundelete vous oblige à démonter votre lecteur pour qu'il fonctionne correctement (il est conseillé de faire ASAP de toute façon, pour éviter de remplacer les octets récupérables dans les fichiers supprimés).

Démonter le lecteur sur un système live peut être difficile… vous obtiendrez souvent ledevice is busy' message. Pour effacer cela correctement, vous devez arrêter tous les processus accédant au système de fichiers. Mais ... vous travailliez probablement dans votre répertoire personnel, et un zillion de processus est connecté à votre répertoire personnel, alors bonne chance avec ça.

L'astuce pour contourner cela est de faire un démontage «paresseux»:

$ mount
/dev/sda7 on /home type ext4 (rw)
$ sudo umount -l /home

où:

  • cet exemple est pour moi préparer mon /home montage à utiliser avec extundelete. Vous devez évidemment remplacer /home avec votre monture d'intérêt
  • J'ai fait le mount commande d'abord pour comprendre quel appareil (/dev/sda7) Je dois passer à extundelete (la sortie est tronquée pour des raisons de brièveté)
  • c'est un minuscule L dans le -l option

25
2017-07-06 22:18



Un démontage paresseux n'aide pas vraiment puisque le fs reste monté jusqu'à ce que tous les fichiers soient fermés. Il vous suffit d'arrêter le système dès que vous supprimez les fichiers et de l'exécuter à partir d'un fichier livecd. - psusi
@psusi - Il est absolument faux de dire que ça n'aide pas !! umount -l Empêche l'ouverture, la création et l'écriture de nouveaux fichiers (caches Web, etc.). Cependant, il fait ne pas empêcher que les fichiers ouverts existants soient encore en cours d'écriture (c'est-à-dire qu'il ne ferme pas les fichiers existants). Vous proposez de fermer, mais je pense qu'un démontage différé entraînera (la plupart du temps) moins de fichiers écrits, en fonction de la partition en question. Sur cette note, il est préférable d'avoir déjà installé extundelete, et si ce n'est pas le cas, assurez-vous de l'installer sur une partition autre que celle que vous essayez de récupérer! - Russ
Tant que le fs est toujours monté, toute tentative d'accès entraînera la corruption. C'est la raison pour laquelle extundelete vous oblige à démonter les fs en premier lieu. Le lazy unmount le trompe simplement en lui faisant croire qu’il n’est pas monté et qu’il est donc prudent de continuer à manipuler le disque, lorsque ce n’est pas le cas. Procéder à l'extundelete avant que la fs ne soit réellement démontée peut arroser tout le disque. - psusi
@psusi - "peut arroser tout le disque" ??! Avec une opération en lecture seule? Je ne comprends pas votre argument, ou ce que vous avez de si paranoïaque. extundelete ne "manipule pas le disque". La pire chose que je puisse imaginer, c'est que attend une partition non montée / statique et si, lors de la lecture des informations de la revue, le disque paresseusement démonté change en raison de processus dont les fichiers sont ouverts, la mémoire peut devenir confuse et la récupération peut échouer. "récupération éventuellement échouée"! = "disque arraché". S'il échoue, arrêtez, priez que shutdown n'endommage pas vos données perdues et utilisez un livecd comme vous le suggérez. - Russ
Que Dieu bénisse ce programme! Et vous @Russ. Récupéré tous mes fichiers! - Vladimir Kovalchuk


Si vous supprimez un fichier par accident mais que vous connaissez encore certaines chaînes écrites dans ce fichier, vous pouvez utiliser:

grep -a -B 25 -A 100 'containing string' /dev/sda1 > result.txt

12
2017-09-09 11:39



Et si le fichier est binaire et non textuel? - Decio Lira
En supposant que c'était du texte, comment peut-il récupérer le fichier avec result.txt? Je ne comprends pas .. - sergio91pt
J'ai essayé plusieurs autres réponses antérieures. Aucun d'entre eux n'a travaillé. Ce truc simple a fait! Merci! - JamesThomasMoon1979
C'est vraiment génial. Merci beaucoup. - Snehal Parmar
Il convient de noter que 25 et 100 sont juste quelques chiffres magiques qui ont probablement besoin d’être modifiés pour le cas spécifique. - Andrea Lazzarotto


Pour récupérer le répertoire que vous pouvez utiliser extundelete 

  1. Installer extundelete

    sudo apt-get install extundelete
    
  2. Commande pour récupérer

    sudo extundelete --restore-directory /home/Documents/ /dev/sda1
    

Remarque: Au lieu de dev/sda1 mettez votre nom de partition de disque dur.

/home/Documents/ est votre chemin vers le répertoire supprimé.


11
2018-02-23 15:01



j'ai utilisé autopsy pour trouver les inodes dont j'avais besoin puis extundelete pour les restaurer Bien travaillé! - Raphael
Mes résultats ont l'air .....~/Books$ sudo extundelete --restore-directory /home/newubuntu/Books/LaTeX /dev/sda2 WARNING: Extended attributes are not restored. Loading filesystem metadata ... 522 groups loaded. Loading journal descriptors ... 32242 descriptors loaded. Writing output to directory RECOVERED_FILES/ Failed to restore file /home/newubuntu/Books/LaTeX Could not find correct inode number past inode 2621441. - alhelal
Je veux envoyer une confirmation dans la commande. Comment? - alhelal
sudo extundelete -y --restore-directory /home/Documents/ /dev/sda1  comme ça. - alhelal


R-Linux(Studio de récupération) est l'un des meilleurs. J'ai utilisé cet outil plusieurs fois auparavant. J'ai travaillé dans une entreprise où ils utilisaient la version commerciale, 9/10 fois, elle récupère tout ce que vous voulez. Application vraiment superbe. J'ai sauvé le mien et mes amis derrière plusieurs fois auparavant.

R-Linux est un utilitaire gratuit de récupération de fichiers pour le FS Ext2 / Ext3 / Ext4   système de fichiers utilisé dans le système d'exploitation Linux et plusieurs Unix. R-Linux utilise le   la même technologie InteligentScan que R-Studio et un paramètre flexible   paramètres pour fournir la récupération de fichier le plus rapide et le plus fiable pour   la plate-forme Linux. Cependant, contrairement à R-Studio, R-Linux ne peut pas récupérer   données sur le réseau ou reconstruire des RAID, ou fournir une copie d'objet.

Caractéristiques (de leur site web):

R-Linux récupérer des fichiers:

  • Supprimé par une attaque de virus, une panne de courant ou une panne du système;
  • Après que la partition avec les fichiers a été reformatée, endommagée ou supprimée;
  • Lorsque la structure de partition sur un disque a été modifiée ou endommagée. Dans ce cas, R-Linux peut analyser le disque en essayant de trouver des partitions existantes et de restaurer des fichiers à partir de partitions trouvées.
  • Des disques avec des secteurs défectueux. Dans ce cas, R-Linux peut d'abord copier le disque entier ou sa partie dans un fichier image, puis traiter le fichier image. Ceci est particulièrement utile lorsque de nouveaux secteurs défectueux apparaissent constamment sur le disque et que les informations restantes doivent être immédiatement enregistrées.

R-Linux Fonctionnalités avancées:

  • Interface standard de type "Windows Explorer".
  • OS hôte:
    • Variante Linux: Linux, noyau 2.6 et supérieur
    • Variante Windows: Win2000, XP, 2003, Vista, Windows 7, Windows 8
  • Systèmes de fichiers pris en charge: Ext2 / Ext3 / Ext4 FS (Linux) uniquement.
  • Reconnaissance et analyse Dynamique (Windows 2000 / XP / Vista / Win7), Basic, GPT et BSD (UNIX) schéma de disposition des partitions et Carte de partition Apple. Les partitions dynamiques sur GPT sont supportées ainsi que les partitions dynamiques sur MBR.

  • Crée des fichiers image pour un disque dur entier, un disque logique ou sa partie. De tels fichiers image peuvent être traités comme des disques ordinaires. Les images peuvent être soit de simples copies d'objet exactes (images simples) compatibles avec les anciennes versions de R-Linux, soit des images compressées pouvant être compressées, divisées en plusieurs parties et protégées par mot de passe. Ces images sont entièrement compatibles avec les images créées par R-Drive Image, mais incompatibles avec les anciennes versions de R-Linux.

  • Reconnaît les noms localisés.

  • Les fichiers récupérés peuvent être enregistrés sur tous les disques (y compris le réseau) accessibles par le système d'exploitation hôte.

9
2017-10-09 08:10



Je ne m'attendais pas à ce que ce soit gratuit pour Linux. Je connais déjà R-Studio et c'est un logiciel fabuleux. Excellent, c'est gratuit pour les systèmes de fichiers Linux. - 0x01
Cet outil est gratuit uniquement pour récupérer des fichiers de moins de 256 Ko - Tik0


Si vous utilisez une HD interne secondaire (suspecte la même chose pour une HD externe) pour importer des fichiers récupérés (depuis la HD principale, à l’origine des fichiers), il est nécessaire de créer un répertoire dans lequel les fichiers seront placés sur le HD secondaire. Pour ce faire, vous devez d'abord configurer le BIOS pour démarrer à partir du CD! 1. Démarrez le CD Live Ubuntu Rescue-Remix, donnez l’ordre de démarrer, puis quand il démarre dans le terminal, vérifiez vos HDs par commande - Code: sudo fdisk -l

Réalisez ce que le HD est le principal, et ce qui est secondaire, et quelle partition pour vérifier les fichiers et dans lequel les récupérer - linux ext3 ou Windows NTFS! Le mien était Linux. Avoir assez de place dessus! (Ensuite, vous pouvez essayer de lancer Photorec («sudo photorec») et, espérons-le, vous pourrez voir tous vos disques durs. Je n’ai pas eu cette chance, alors j'ai dû créer un répertoire et monter une version HD.)

  1. Créez d'abord le répertoire des fichiers récupérés, par ex. - média / disque. Donner la commande - Code: sudo mkdir /media/disk

Si tout va bien, l'invite du terminal revient simplement.

  1. Doit monter un disque dur secondaire, ou il sera invisible, même si «sudo fdisk -l» le montre. Donnez le commandement de votre disque dur secondaire - Code: sudo mount -t ext3 /dev/sdb2 /media/disk

Si tout va bien, l'invite du terminal revient simplement.

  1. Exécutez Photorec par commande - Code:

    sudo photorec

Passez par les paramètres et choisissez uniquement les types de fichiers que vous souhaitez, sinon vous aurez des milliers de fichiers à filtrer!

Pour plus de détails, veuillez visiter: http: /www..ubuntumanual.org/posts/357/recover-your-deleted-files-in-ubuntu


6
2017-07-02 11:23





Essayez le scalpel

sudo apt-get install scalpel

pour plus d'informations

homme scalpel


5
2017-09-09 02:13



l'essayer maintenant. Je ne comprends pas très bien comment ajouter de nouveaux fichiers au fichier conf. Avez-vous des sources non détaillées avec des détails? - Decio Lira
j'ai trouvé howtoforge.com/recover-deleted-files-with-scalpel ce qui vaut mieux que rien. Bonne chance, ce n'est pas MS-DOS. - msw
voir également ubuntu.stackexchange.com/questions/2596/… J'utilise une sauvegarde système relativement lourde, mais j'ai "Back in Time" configuré pour doubler les répertoires sélectionnés de / home / msw (y compris .config qui intercepte également .config/keepassx/*(vos emplacements peuvent varier)) à une partition de rechange tous les soirs. J'ai également utilisé Unix depuis toujours et vous devenez généralement très prudent après la deuxième fois que vous soufflez the-really-critical.file ;) - msw
Le scalpel semble faire la même chose que le scalpel, mais si le scalpel n'est plus développé depuis 10 ans, il a surtout bénéficié de nombreuses mises à jour ces dernières années. - sebix


Autopsie et les outils Sleuthkit sont parfaits pour récupérer des fichiers supprimés, avec une interface utilisateur conviviale et être disponibles dans les repos.


3
2017-10-12 03:24



bon à savoir. les regarderont. ;) - Decio Lira
Je le ferais si vous aviez ajouté des liens. - MadMike
j'ai utilisé autopsy pour trouver les inodes dont j'avais besoin puis extundelete pour les restaurer Bien travaillé! - Raphael


Récemment, j'ai utilisé ext3grep pour récupérer un fichier SQLite 3 volumineux qui avait été supprimé d'un système de fichiers ext3.

J'avais essayé beaucoup d'autres outils de suppression, tous ne pouvant pas récupérer le fichier (à partir d'une image dd du disque).

Pour utiliser ext3grep, je devais télécharger et compiler la source. Lire attentivement http://www.xs4all.nl/~carlo17/howto/undelete_ext3.html de haut en bas afin de comprendre comment fonctionne le système de fichiers ext3 et comment utiliser le journal pour trouver où les fichiers supprimés sont sur le disque était également requis.

Ce n'est pas une solution simple, mais très, très puissante. Si vous êtes prêt à investir quelques heures pour étudier le document et compiler le programme, cela en vaut la peine.


1
2017-09-23 08:00



Merci, je vais peut-être essayer ça. cela fonctionnera-t-il uniquement avec les systèmes de fichiers ext3? Qu'en est-il d'ext4? - Decio Lira
Je ne suis pas sûr pour ext4 mais je pense que ext4 est rétrocompatible avec ext3. Je suppose que cela fonctionnerait mais que je n'ai jamais essayé. - Stacey Richards


Installer le scalpel

sudo apt-get install scalpel

Editez le fichier scalpel.conf et décommentez les types de fichiers à récupérer. Créez un dossier vide (par exemple: recover_data) Trouvez la partition de vos données. Vous pouvez utiliser lsblk pour obtenir la carte de partition.

sudo lsblk

Exécutez le scalpel (supposez que les données étaient dans sda1)

sudo scalpel -o recovered_data/ /dev/sda1

0
2018-04-10 09:21