récupérer des données supprimées

Linuxx · Le 02/03/2015, à 17:56

bonjour, en croyant supprimer un dossier, j'ai tapé "maj" (la touche sous "entrée") et "suppr", et m'apercevant que ça supprimait un autre dossier que je voulais garder j'ai cliqué sur annulé. une fois entré dans le dossier un des dossiers interne était supprimé. Comment faire pour retrouver ce dossier ?

merci

Bougron · Le 02/03/2015, à 18:06

Bonjour
Il me semble qu'en commande de base, c'est perdu. Il te reste à le restorer à partir de tes sauvegardes. Si tu ne peux pas, le logiciel tesdisk te le retrouvera certainement .
Document modifié suite à impossibilité de récupérer les répertoires supprimés

Dernière modification par Bougron (Le 04/03/2015, à 19:16)

Linuxx · Le 02/03/2015, à 19:17

J'ai essayer de lancer test disk mais je ne vois pas comment je pourrais retrouver un dossier parmis toutes ces données. Comment faire pour " le restorer" ?

Bougron · Le 02/03/2015, à 19:34

Tu connais son nom ou au moins le nom du dossier qui le contient.
Il faut que tu explores, Lorsque tu l'as trouvé, il faut le copier ailleurs.
Un début d'exemple

4) sudo testdisk
version 6.14 de juillet 2013.
Pour une documentation de référence consulter http://www.cgsecurity.org/wiki/TestDisk_FR
Pour lancer cette recherche, je liste simplement les commandes proposées qu’il faut valider:
5) create
6) proceed pour la première ligne qui m’est présentée soit ‘disk /dev/sda’
remarque: La seconde ligne permet de choisir la clé USB.
7) intel
8) Analyse
9) quick search (pour lancer la recherche rapide qui ne donne pas grand choses d'intéressant).
10) Linux
11) Deeper search (pour lancer la recherche détaillée).
Cette recherche dure environ 4 heures pour un disque de 1 To.
Deux lignes d’en-tête apparaissent:
‘ The Following partitions can’t be recovered '
‘ Partition Start End Size in sectors '
L’écran se remplit tranquillement (menu déroulant) des partitions trouvées du style:
‘ Linux 60332 176 5 181165 83 38 1941176326'
Dans mon cas, il y en a 17.
12) Continue afin de faire apparaître les lignes intéressantes (9 dans mon cas).
Linux 0 32 33 120832 195 3 1941176320
HPFS-NTFS 180 33 46 98041 196 111572147200 [Nom du disque windows 8]
HPFS NFTS 180 33 46 120120 165 45 1926844416 [Nom du disque windows 8]
FAT12 66356 23 36 66356 88 36 4096 [EFISECTOR]
FAT12 66356 69 18 66356 114 62 2880 [EFISECTOR]
HPFS-NTFS 98041 196 12 98086 98 60 716800
Linux 98086 98 61 120120 100 44 353976320
FAT32 LBA 113593 111 55 113625 181 27 534528 [NO NAME]
HPFS - NTFS 113626 181 28 126126 165 45 104325120 [TEST]
HPFS – NTFS 120833 165 46 121601 57 56 23785472 '[Recovery]'
Linux Swap 120833 37 37 121601 57 56 12339200
Le plus dur et de selectionner la bonne partition, Son nom peut aiguiller
A l’aide de la flèche ‘descendre’, se positionner sur la partition contenant potentiement le répertoire
La grille nous propose plusieurs actions,.Il faut frapper le caractère 'P’ ((List files).
Nous avons la liste des N directory.. Se positionner sur la directory qui convient' .
De nouveau on peut refaire list files pour itérer jusqu'à trouver le répertoire qui convient.
Nous allons réaliser l’action de copier ce répertoire et ses sous-répertoires. La commande à frapper est 'C'.
La directory unix ‘/home /nom de l’utilisateur’ s’ouvre automatiquement.
Nous sommes positionnés sur l’entrée de cette directory. Il n’y a pas lieu d’en changer. La commande à frapper est 'C'. La copie se déroule. On peut la suivre en direct:
Copying, please wait 129 OK, 0 Failed
En final, nous avons récupéré (du moins je le pense) la totalité des fichiers .
La commande à frapper est 'Q' pour remonter d’un cran.
Nous terminons cette procédure par 3 ou 4 ‘Quit’.
Quelques précisions:
- Pour la première utilisation, il est nettement préférable de brancher une clé USB de très petite taille afin de jouer tous les scénarios possibles pour apprendre à jongler dans les menus. Il suffit de choisir la clé comme support d'entrée au lieu du disque dur. C'est sécurisant pour un prise de contact avec le logiciel afin d’éviter une sortie de menu intempestive qui fait perdre 5 heures en traitant un disque de 1 To,
- La recherche va trouver plein de partitions. Elle va cumuler toutes les tailles de partitions et s'apercevoir que la taille est supérieure à la capacité du disque. Le message est 'The harddish (1000 GB / 931 GiB) seems too small (< 1490 GB / 1387 Gib) // check the hardisk size: HD jumperssettings,BIOS detection' . En présence de ce message il ne faut pas lancer la correction automatique de MBR. Si on le fait malgré tout, le prochain boot va planter avec le message '1234F:' Il faudra alors reconstruire le MBR (en relançant l'installation de ubuntu ou autre technique).
- Il est totalement possible d’explorer les autres partitions trouvées. Lorsque l’outil ne trouve rien, la seule proposition qu’il fait est de terminer l’application. On repart alors pour 5 heures d’analyse.

Dernière modification par Bougron (Le 02/03/2015, à 19:35)

Linuxx · Le 03/03/2015, à 21:54

Bonjour
j'ai testé pas mal de possibilités dans les listes proposées mais à chaque fois je suis renvoyé à cette page copié ci-dessous.
Je ne peux rien faire à part quitter et refaire une analyses de plusieurs heures
que faire?

TestDisk 6.14, Data Recovery Utility, July 2013
Christophe GRENIER <grenier@cgsecurity.org>
http://www.cgsecurity.org

Disk /dev/sda - 200 GB / 186 GiB - CHS 24321 255 63

Partition Start End Size in sectors

No partition found or selected for recovery

>[ Quit ]
Return to main menu

Bougron · Le 04/03/2015, à 00:14

Bonsoir.
Cela ne peut être qu'une mauvaise utilisation des menus de ta part.
Quelques précisions:
- Pour la première utilisation, il est nettement préférable de brancher une clé USB de très petite taille afin de jouer tous les scénarios possibles pour apprendre à jongler dans les menus.

Ajout. Testdisk ne sert pas qu'à restaurer les partitions, Il dispose de l'option deeper search et sauf avoir le disque entièrement à zéro on trouve la liste des partitions anciennes et actuelles.

Dernière modification par Bougron (Le 04/03/2015, à 11:23)

Rufus T. Firefly · Le 04/03/2015, à 03:06

Il me semble que testdisk sert à restaurer des partitions, pas des fichiers ni des dossiers... Et comme il n'y a pas de partition supprimée, c'est normal qu'il réponde :

No partition found or selected for recovery

Il vaut mieux tenter extundelete par exemple :

sudo apt-get install extundelete

Quand c'est installé :

man extundelete

pour savoir comment ça fonctionne (je ne l'ai jamais utilisé)

Dernière modification par Rufus T. Firefly (Le 04/03/2015, à 03:15)

Bougron · Le 04/03/2015, à 11:27

Bonjour
Je ne connaissais pas cet utilitaire....https://doc.ubuntu-fr.org/extundelete
Pas sur que cela soit plus pratique => la partition doit être démontée. Cependant cela sera nettement plus rapide car il utilise le journal.

Pour testdisk. Il est effectivement possible que si aucune partition n'ait jamais été supprimée, il ne parte pas dans la recherche des répertoires et des fichiers.
Je vais regarder si je dispose d'une clé USB que je pourrais remettre entièrement à zéro.

Dernière modification par Bougron (Le 04/03/2015, à 12:04)

Rufus T. Firefly · Le 04/03/2015, à 12:20

Ce n'est pas plus pratique, mais c'est fait pour récupérer des fichiers effacés ! Autant que faire se peut : parce que si des inodes ont été réutilisés pour de nouveaux fichiers enregistrés depuis l'effacement, les fichiers effacés en question ne seront pas récupérables. En tout cas pas en entier... Extundelete va alors créer un fichier avec ce qui est récupérable. L'ensemble de l'opération dure quelque secondes...

Alors que testdisk est fait pour récupérer des partitions. Pas des fichiers effacés !
Evidemment, si tu as supprimé une partition et qu'il n'est pas possible de la restaurer parce qu'une autre a été crée qui occupe tout ou partie de l'espace, testdisk te propose au moins de récupérer les fichiers qui sont récupérables sur la partition d'origine. Mais testdisk ne fait rien du tout, s'il n'y a pas de partition effacée... Il s'arrête avec le message indiqué par Linuxx.

A la rigueur photorec permettrait de récupérer des fichiers. Mais là encore, c'est fait pour récupérer des fichiers sur des partitions altérées, non inventoriées dans la table de partitions, etc. Typiquement un disque dur sur le point de rendre l'âme... Il lit directement sur le disque et chaque fois que l’algorithme trouve quelque chose qui pourrait être un fichier, complet ou pas, il le stocke dans le répertoire de récupération. Si bien qu'à la fin tu as des dizaines de milliers de fichiers simplement numérotés, dont certains correspondent effectivement à des fichiers réels qui se trouvaient bien sur le disque, la majorité des autres n'étant que des bouts de trucs inexploitables... En outre, un scan avec photorec peut durer plusieurs dizaines d'heures. Donc ce n'est pas non plus fait pour récupérer des fichiers effacés...

Edit : extundelete est dans les dépôts debian. Il devrait aussi s'y trouver chez ubuntu. La doc est périmée, je pense...

Dernière modification par Rufus T. Firefly (Le 04/03/2015, à 12:25)

Bougron · Le 04/03/2015, à 19:09

Bonjour
Je ne connaissais pas cet utilitaire....https://doc.ubuntu-fr.org/extundelete
Pas sur que cela soit plus pratique => la partition doit être démontée. Cependant cela sera nettement plus rapide car il utilise le journal.

Pour testdisk. Il est effectivement possible que si aucune partition n'ait jamais été supprimée, il ne parte pas dans la recherche des répertoires et des fichiers.
Je vais regarder si je dispose d'une clé USB que je pourrais remettre entièrement à zéro.

J'ai fais l'essai.
1) Remise à zéro de la clé USB.

bougron@S70t-A:~$ date
mercredi 4 mars 2015, 14:07:40 (UTC+0100)
bougron@S70t-A:~$ sudo dcfldd if=/dev/zero of=/dev/sdb conv=notrunc,noerror status=on
1974016 blocks (61688Mb) written.
1974245+0 records in
1974244+0 records out
bougron@S70t-A:~$ date
mercredi 4 mars 2015, 16:07:23 (UTC+0100)

1bis)
- Lancement de testdisk qui ne trouve pas grand chose, ... Je l'ai interrompu pour gagner un peu de temps!
Il m'a quand même signalé l'anomalie suivante.

            TestDisk 6.14, Data Recovery Utility, July 2013
Christophe GRENIER <grenier@cgsecurity.org>
http://www.cgsecurity.org

Disk /dev/sdb - 64 GB / 60 GiB - CHS 61695 64 32
Current partition structure:
     Partition                  Start        End    Size in sectors
Partition sector doesn't have the endmark 0xAA55

≡> Je vais donc créer
- Création d'une table de partition modèle MDSOS
- Création d'une partition FAT32 pour d'autres raison
- Création d'une partition EXT4

2) Création manuelle de quelques répertoires et fichiers puis suppression d'un sous-répertoire.

3) Lancement de testdisk pour récupérer le répertoire supprimé.
Cela se passe sans aucune difficulté. Le deepsearch visualise très bien les partitions.
Je peux très bien naviguer dans les sous-répertoires.
et me positionner pour récupérer le répertoire supprimé: http://hpics.li/a3b688e
Mais je ne peux le copier: http://hpics.li/b563dd1
La raison est certainement qu'il a été supprimé. Il ne souhaite probablement récupérer que des données "logiquement" saines.
A noter qu'il n'y a pas de problème pour récupérer SDIR2A
De toute façon la durée d'exécution est rédhibitoire!
Conclusion. J'ai dis une ânerie, Je vais modifier en conséquence.

PS extundelete est dans la logithèque

Dernière modification par Bougron (Le 04/03/2015, à 20:40)

Rufus T. Firefly · Le 04/03/2015, à 20:16

Bougron a écrit :

1) bougron@S70t-A:~$ sudo dcfldd if=/dev/zero of=/dev/sdb conv=notrunc,noerror status=on
2) Création manuelle de quelques répertoires et fichiers puis suppression d'un sous-répertoire.

Entre les deux tu as oublié la création d'une nouvelle table de partition et d'une ou plusieurs partitions.

Bougron · Le 04/03/2015, à 20:26

Bonsoir.
Récupération d'un répertoire supprimé par accident avec ext4undelete
1) Installation du logiciel depuis la logithèque
Attention, il existe une version 64 bits et une version 32 bits
2) Vérification du N° de version récupéré
extundelete --v
Soit la version 0.2.0 alors que le site officiel indique 0.2.4
3) Création du répertoire destiné à recevoir les répertoires récupérés
/home/UNDELETE
4) Démontage de la partition à traiter
Si elle contient / et/ou /home, il faut traiter à partir d'une live USB ou d'une autre installation ubuntu.
Dans mon contexte
sudo umount /dev/sdd2
5) Lancement de la récupération de ce qui a été supprimé.
extundelete /dev/sdd2 --restore-all
6) Cela peut ne pas fonctionner comme prévu.
extundelete: failed to read-only open device "/dev/sdd2": Error code 13
7) Ce problème était connu donc
8) Comme toujours

  bougron@S70t-A:/home/UNDELETE$[b] [color=#4719ff]sudo[/color] extundelete /dev/sdd2 --restore-all[/b]
WARNING: Extended attributes are not restored.
Loading filesystem metadata ... 229 groups loaded.
Loading journal descriptors ... 363 descriptors loaded.
Writing output to directory RECOVERED_FILES/
Searching for recoverable inodes in directory / ... 
4 recoverable inodes found.
Looking through the directory structure for deleted files ... 
Failed to restore inode 131075 to file RECOVERED_FILES/DIR2/SDIR2B:Inode does not correspond to a regular file.
Restored inode 131077 to file RECOVERED_FILES/DIR2/SDIR2B/SDIR2Bfic1
Restored inode 131079 to file RECOVERED_FILES/DIR2/SDIR2B/SDIR2Bfic2
Restored inode 131078 to file RECOVERED_FILES/DIR2/SDIR2B/SDIR2Bfic2~
0 recoverable inodes still lost.
bougron@S70t-A:/home/UNDELETE$

9) contrôle du bon résultat

bougron@S70t-A:/home/UNDELETE$ ls
RECOVERED_FILES
bougron@S70t-A:/home/UNDELETE$ cd *
bougron@S70t-A:/home/UNDELETE/RECOVERED_FILES$ ls
DIR2
bougron@S70t-A:/home/UNDELETE/RECOVERED_FILES$ cd *
bougron@S70t-A:/home/UNDELETE/RECOVERED_FILES/DIR2$ ls
SDIR2B
bougron@S70t-A:/home/UNDELETE/RECOVERED_FILES/DIR2$ cd *
bougron@S70t-A:/home/UNDELETE/RECOVERED_FILES/DIR2/SDIR2B$ ls
SDIR2Bfic1  SDIR2Bfic2  SDIR2Bfic2~
bougron@S70t-A:/home/UNDELETE/RECOVERED_FILES/DIR2/SDIR2B$ pg *
ecriture SDIR2Bfic1
écriture SDUIR2Bfic2                                                                                                                                                     
écriture SDUIR2Bfic2                                                                                                                                                     
(EOF):

10) Test des options supplémentaires. Il y en a tellement que je ne vais pas les faire
Dans l'ensemble, c'est ultra fréquent que le nom des répertoires est mal connu.
Dans l'ensemble on sait à peu près quand cela s'est passé (dans les 24 heures, dans la semaine, dans le mois, dans l'année comme dit google).
=> c'est ce qu'on appelle un système ouvert. http://extundelete.sourceforge.net/options.html

--before date
Only restore files deleted before the date specified, which should be in the form of the number of seconds since the UNIX epoch. Use a shell command like
$ date -d "Aug 1 9:02" +%s
to convert a human-readable date to the proper format. The conversion from the number of seconds to a readable format may be found by using either of the following:
$ date -d@1234567890
$ perl -le "print scalar localtime 1234567890"

Donc
bougron@S70t-A:/home/UNDELETE$ date +%s
1425496680
bougron@S70t-A:/home/UNDELETE$ date -d "mar 4 12:00" +%s
1425466800
Heureusement qu'une seule option est possible donc

bougron@S70t-A:/home/UNDELETE$ sudo umount /dev/sdd2
bougron@S70t-A:/home/UNDELETE$ sudo extundelete /dev/sdd2 --after 1425466800
No action specified; implying --superblock.
Only show and process deleted entries if they are deleted on or after 1425466800 and before 9223372036854775807.

WARNING: Extended attributes are not restored.
Inodes count: 1875968
Blocks count: 7503360
Reserved blocks count: 375168
Free blocks count: 7341598
Free inodes count: 1875947
First Data Block: 0
Block size: 4096
Fragment size: 4096
# Blocks per group: 32768
# Fragments per group: 32768
# Inodes per group: 8192
Mount time: 1425496303
Write time: 1425497242
Mount count: 4
Maximal mount count: -1
Magic signature: 61267
File system state: 1
Behaviour when detecting errors: 1
minor revision level: 0
time of last check: 1425483170
max. time between checks: 0
OS: 0
Revision level: 1
Default uid for reserved blocks: 0
Default gid for reserved blocks: 0
First non-reserved inode: 11
size of inode structure: 256
block group # of this superblock: 0
compatible feature set: 60
incompatible feature set: 578
readonly-compatible feature set: 123
128-bit uuid for volume: 831467322acb4acf958129bf43e270f5
For compression: 0
Nr to preallocate for dirs: 0
Per group table for online growth: 1022
uuid of journal superblock: 00000000000000000000000000000000
inode number of journal file: 8
device number of journal file: 0
start of list of inodes to delete: 0
HTREE hash seed: 7fb9553d0943208ae3b9d1b60c5673b5
Default hash version to use: 1
Default type of journal backup: 1
First metablock group: 0
When the filesystem was created: 1425483170
Compatible feature set: HAS_JOURNAL EXT_ATTR RESIZE_INODE DIR_INDEX
Incompatible feature set: FILETYPE
Read only compatible feature set: SPARSE_SUPER LARGE_FILE

Donc cela ne marche pas. Mais c'est quand même pas la version la plus récente qui est utilisée.

Dernière modification par Bougron (Le 04/03/2015, à 21:35)

Linuxx · Le 07/03/2015, à 03:04

bonjour,
j'ai essayer avec photorec et j'ai réussi à récupérer une partie des données et mais j'ai du chercher dans énormément de fichiers pour les reclasser ensuite. Par contre ce qui m'étonne c'est que ces fichiers retrouvés par photorec ne sont pas supprimables une fois que le contenu désiré a été récupéré, c'est à dire qu'il y a un cadena sur chaque dossier.
savez pourquoi ?

Bougron · Le 07/03/2015, à 08:40

Bonjour
Probablement une affaire de permission

que donne la commande:
ls -l (attention c'est un petit L)

Dernière modification par Bougron (Le 07/03/2015, à 08:41)

Linuxx · Le 09/03/2015, à 21:34

Bonjour
je t’envoie la copie de la page qui s'est déroulée:

drwxrwxr-x 2 henri henri 4096 févr. 2 23:25 1 Julien Volga
drwx------ 49 henri henri 4096 janv. 24 17:12 aaah reggae
-rw-rw-r-- 1 henri henri 75116 mars 6 21:34 Arnaque bakker !.odt
drwxrwxr-x 3 henri henri 4096 mars 3 19:16 clef bleu
-rw-r--r-- 1 henri henri 117702 avril 19 2014 dictionnaire technique de botanique.odt
drwxrwxr-x 2 henri henri 4096 mars 4 20:30 dossier
drwx------ 7 henri henri 4096 sept. 26 12:07 Dossier potager sauvegarde de decembre
drwxr-xr-x 3 henri henri 4096 janv. 3 2013 extundelete-0.2.4
-rw-rw-r-- 1 henri henri 573440 mars 4 17:39 extundelete-0.2.4.tar
-rw-r--r-- 1 henri henri 60386 janv. 16 18:29 f1009080.odt
-rw-r--r-- 1 henri henri 14959479 mars 4 21:29 f38771400_Chaleur_et_Mati_re.pdf
drwxrwxr-x 4 henri henri 4096 déc. 6 16:01 Famille
drwxrwxr-x 10 henri henri 4096 mars 2 16:40 Groupe
-rw-rw-r-- 1 henri henri 837063 févr. 17 23:19 Le journal de l'afrique N°6.pdf
-rw-rw-r-- 1 henri henri 708355 févr. 18 00:50 Le journal de l'Afrique N°7.pdf
-rw-rw-r-- 1 henri henri 8681786 févr. 18 00:25 Le journal de notre Amérique N°1.pdf
-rw-r--r-- 1 henri henri 14814 avril 18 2014 liste de plantes psychotropes.odt
drwx------ 2 henri henri 4096 déc. 16 12:08 Papiers
-rw-r--r-- 1 henri henri 26323 avril 16 2014 paracelse le ciel des philosophes.odt
drwxrwxr-x 3 henri henri 4096 nov. 30 23:13 Peinture
drwxrwxr-x 563 henri henri 20480 mars 7 01:51 Recherche
drwxrwxr-x 3 henri henri 4096 mars 7 01:01 récup info plante
drwxrwxr-x 16 henri henri 4096 mars 6 23:39 récup observation plante
drwx------ 19 henri henri 12288 mars 2 15:05 Stock livre
drwx------ 4 henri henri 12288 févr. 18 23:25 Stock vidéo
drwxrwxr-x 5 henri henri 4096 mars 2 16:35 Téléchargements
-rw-rw-r-- 1 henri henri 888 mars 4 20:59 testdisk.log

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 02/03/2015, à 17:56

récupérer des données supprimées

#2 Le 02/03/2015, à 18:06

Re : récupérer des données supprimées

#3 Le 02/03/2015, à 19:17

Re : récupérer des données supprimées

#4 Le 02/03/2015, à 19:34

Re : récupérer des données supprimées

#5 Le 03/03/2015, à 21:54

Re : récupérer des données supprimées

#6 Le 04/03/2015, à 00:14

Re : récupérer des données supprimées

#7 Le 04/03/2015, à 03:06

Re : récupérer des données supprimées

#8 Le 04/03/2015, à 11:27

Re : récupérer des données supprimées

#9 Le 04/03/2015, à 12:20

Re : récupérer des données supprimées

#10 Le 04/03/2015, à 19:09

Re : récupérer des données supprimées

#11 Le 04/03/2015, à 20:16

Re : récupérer des données supprimées

#12 Le 04/03/2015, à 20:26

Re : récupérer des données supprimées

#13 Le 07/03/2015, à 03:04

Re : récupérer des données supprimées

#14 Le 07/03/2015, à 08:40

Re : récupérer des données supprimées

#15 Le 09/03/2015, à 21:34

Re : récupérer des données supprimées

Pied de page des forums