[Sequanux-ml] Demande d'aide pour récupérer des fichiers...

simon simon at sequanux.org
Sam 3 Jan 15:30:40 CET 2009 

On Sat, Jan 03, 2009 at 02:09:51AM +0100, Jonas wrote:
> Bonjour, je me présente, je suis nouveau sur cette mailing-list, j'espère
> trouver un petit peu d'aide car je suis un peu desespéré et je manque un peu
> de connaissance en la matière pour résoudre un problème assez délicat : la
> récupération de fichiers effacés sur une partition ext3 grâce à ext3grep (
> tutorial <http://www.xs4all.nl/%7Ecarlo17/howto/undelete_ext3.html> et code
> source, projet <http://groups.google.com/group/ext3grep?pli=1> )
> 
> J'ai passé pas mal de temps à utiliser cet utilitaire en ligne de commande,
> à chercher des inodes et blocs de répertoires et presque toutes les options,
> et j'ai un peu du mal à avancer... l'utilitaire est bien codé, mais il
> manque des fonctionnalités...
> 
> Le mieux que j'ai réussi à trouver sont des répertoires des dossiers que je
> souhaites récupérer, car les entrées du journal qu'il me faut ont été
> écrasées par les nouvelles, ext3grep ne sait donc pas retrouver les données
> que je cherche...
> 
> Résumé du "drame":
> En essayant de configurer un ubuntu pour qu'il se connecte à un réseau de
> suse, on a bougé mon répertoire /home/moli vers /tmp/moli et changé le
> /etc/passwd...
aie :)
Tu as fais un mv de /home/moli vers /tmp/moli ?

> 
> Malheureusement (et je n'en savais rien, mais j'aurais dû m'en douter, bien
> que ce n'était pas moi qui ai bougé le dossier), ubuntu vide /tmp lors de
> l'arrêt (ou d'un démarrage, je ne sais pas trop), effacant tous mes fichiers
> utilisateurs (dont des précieuses notes et un journal en .txt, des codes
> sources, des photos, vidéos, de nombreux fichiers qui attendaient d'être
> triés avec l'arrivée de mon nouveau disque dufichier externe) le 22 octobre
> vers 18h30.
> 
> J'ai malheureusement passé du temps avec la partition montée en rw à fouiner
> à revider /tmp, suppressions qui ont à force fini par "rembobiner" le
> journal pour écraser les écritures des transactions qui auraient pu me
> sauver la mise; les transactions les plus vieilles présentes dans le journal
> datent du 25 octobre.
Oui tu dois faire un dump "dd" de ta partition effacee (/home ?) vers un
fichier image: 
dd if=/home of=${destination_path}/home.img bs=4096
Une idee serait de mettre en telechargement ce fichier image. Tu
pourrais envoyer l'url sur cette ml et si quelqu'un a le temps et les 
competences peut-etre qu'il pourra regarder et te donner un coup de main.

Je ne suis pas un specialiste en ext3. Mais d'apres ce que dit Andreas
Dilger, un des developpeur de ext3, le pointeur de blocs d'un inode est
ecrase par des zeros lors de la suppression d'un fichier...
Et si le journal ne contient plus les copies/sauvegardes des blocs d'inodes 
(car il y a eu d'autres transactions depuis la suppression)... ca sent quand 
meme pas mal le roussi...

Ce qui te laisse comme possibilite, la recuperation des fichiers en mode
raw ou alors en utilisant les caracterisques des fichiers effaces.
Je crois que pour ext3, les 12 premiers blocs sont contigus sur le
disque... tu devrais pouvoir recuperer assez facilement tous les petits
fichiers. 
Sinon je pense aussi qu'il existe des programmes pour
recuperer/rassembler des fichiers de type jpg, png, etc...

> 
> J'ai de nombreux fichiers texte de l'ouput d'ext3grep de certains blocs,
> inodes, des histogrammes, ses stage1 et stage2, et je voudrais savoir si il
> y aurait peut-être quelqu'un assez chevronné ou expérimenté pour regarder
> mon problème de plus près, j'ai ces fichiers depuis longtemps, et je n'ai
> pas fait de backup à cause de 2 changements de pc... Je peux aussi laisser
> tourner mon pc en serveur ssh si quelqu'un a le courage d'analyser la chose
> après avoir lu le tutorial (lien plus haut)...
> 
> J'ai également posé des questions au créateur de l'utilitaire ici:
> http://groups.google.com/group/ext3grep/browse_thread/thread/e5a4914b15e36b49
> Ma dernière question (pour l'instant là où je bute) étant à propos de la
> structure du journal, des transactions et de la façon dont ext3 copie
> certains, je voulais savoir si quelqu'un saurait s'il lui plaît m'aider pour
> mon problème ou pour cette question...
> 
> Merci de m'avoir lu !
De rien :)

J'aimerais apprendre comment fonctionne ext3. Mais je suis presque certain que 
l'operation va etre tres chronophage...
Si tu mets a disposition un fichier image de ta partition, j'essayerai de 
regarder.

Simon

Plus d'informations sur la liste de diffusion Sequanux-ml