Outils pour utilisateurs

Outils du site


tutoriels:ext3grep

EXT3GREP : Récupération de fichiers

ext3grep est un utilitaire permettant de récupérer des fichiers effacés sur des systèmes ext3.

Recovery


FIXME ext3grep ne travaille pas sur le système de fichiers monté, mais sur une image du fs. Les fichiers récupérés sont placés dans un sous-répertoire du répertoire courant.

Installation du package ext3grep sur UBUNTU 10.10 LTS

  • Récupérer la dernière version :

wget http://ext3grep.googlecode.com/files/ext3grep-0.10.2.tar.gz

  • Extraction du package :

tar xvzf ext3grep-0.10.2.tar.gz

  • Installation :

cd ext3grep-0.10.2/
ll
Vous devriez avoir ceci :

ext3grep

  • Lister les dépendances du paquet :

apt-get build-dep ext3grep

aptitude install g++-4.4 ext2fs-dev pkg-config build-essential cvs debhelper dpkg-dev fakeroot g++ gettext html2text intltool-debian libcroco3 libfile-copy-recursive-perl liblzma1 libmail-sendmail-perl libsys-hostname-long-perl po-debconf update-inetd xz-utils

  • Compilation et install (dans /data sur ma conf):

./configure --prefix=/data/ext3grep
make && make install
Vérification de l'install par la présence de du binaire exécutable :

Install ext3grep

  • Exporter le PATH le temps de l'opération :

export PATH=/data/ext3grep/bin/:$PATH

Utilisation de ext3grep

Je réalise mes tests sur une disque virtuel ajouté pour l'occasion.
/dev/sdc1 en EXT3 monté sur /test

J'ai copié le Directory /var/log dans cette partition pour la simulation… et je l'ai volontairement supprimé !

  • Démonter la partition :

umount /test

  • Préparer un environnement pour la restauration avec suffisamment d'espace disque:

mkdir /data/restore
cd /data/restore
df -h /data/restore
Filesystem            Size  Used Avail Use% Mounted on
/dev/sdb2             9,2G  152M  8,6G   2% /data

Visualiser la liste des fichiers trouvés:

 
ext3grep /dev/sdc1 --dump-names 
La recherche s'amorce et affiche le résultat avec le chemin des fichiers :

Ext3grep display

Restauration des fichiers retrouvés:

ext3grep /dev/sdc1 --restore-all
Le restore ressemble à ceci :

ext3grep restore

  • Le restore créé un directory RESTORED_FILES :

ll /data/restore/
260097 drwxr-xr-x 3 root root 4096 2011-04-13 23:23 ./
     2 drwxr-xr-x 5 root root 4096 2011-04-13 23:07 ../
260100 drwxr-xr-x 4 root root 4096 2011-04-13 23:23 RESTORED_FILES/
260098 -rw-r--r-- 1 root root  448 2011-04-13 23:23 sdc1.ext3grep.stage1
260099 -rw-r--r-- 1 root root  432 2011-04-13 23:23 sdc1.ext3grep.stage2

La restauration nous a permis de retrouver l'intégralité des fichiers pour cet exemple.

Ce ne sera pas forcement une réussite à 100% mais si le FileSystem n'a pas été modifié depuis la suppression, il y a des chances de retrouver ce qu'on cherche !!

tutoriels/ext3grep.txt · Dernière modification: 15/04/2016 à 21:15 (modification externe)

Outils de la page