On Fri, 12 Mar 2004, Davy Gigan wrote: > On Fri, 12 Mar 2004 09:15:31 +0100 > daniel huhardeaux <[EMAIL PROTECTED]> wrote: > > > Bonjour, > > > > peut on récuperer les fichiers détruits par la commande décrite dans le > > sujet sur une partition ext3? Si oui, avec quel outil ou commande? > Oui, c'est possible mais pas garanti.
Non ce n'est pas possible avec les outils usuels, parce que ext3 detruit l'inode aussi (ce que ext2 ne fait pas). En conclusion, les outils comme lde/debugfs ne fonctionnent pas, ainsi que les frontend (comme recover). Par contre, il y a une solution, qui est d'utiliser le TCT (The Coroner's Toolkit). Cependnat, ca implique que tu vas devoir transferer les donnees du HD victime vers le HD d'analyse, et cela demande _beaucoup_ d'espace. Aussi, _beaucoup_ de temps d'analyse pour retrouver le fichier :-) Lui fonctionne, pourquoi? Il copie l'image du HD, et il fait des recherches a partir du pattern sur le hd... et il tente de recuperer "approximativement" le debut du block et la fin du block du fichier que tu desires... Un peu comme si on faisait un grep "pattern du fichier" /dev/hda1. J'explique de facon grossiere bien sur, c'est juste pour te donner une idee. E. E. -- Eric LeBlanc [EMAIL PROTECTED] -------------------------------------------------- UNIX is user friendly. It's just selective about who its friends are. ==================================================
