Re: rm -rf sur ext3
On Fri, 12 Mar 2004 09:15:31 +0100 daniel huhardeaux [EMAIL PROTECTED] wrote: Bonjour, peut on récuperer les fichiers détruits par la commande décrite dans le sujet sur une partition ext3? Si oui, avec quel outil ou commande? Oui, c'est possible mais pas garanti. La commande c'est recover. Il est conseillé de faire le moins de choses possibles avec la partition sur laquelle l'effacement a été fait (i.e. autres effacements, créations, modifications) afin d'avoir des chances de retrouver des bouts de fichiers. Pour ma part, il m'est arrivé d'avoir à récupérer des choses avec recover, le problème c'est qu'en fonction des fichiers à récupérer, ça te génèrera un beau puzzle :) En effet, recover va te dumper les inoeuds qu'il te faudra remettre dans l'ordre et c'est pas toujours évident. Cordialement. -- Davy Gigan System Network Administration [Please no HTML, I'm not a browser] University Of Caen (France) [Pas d'HTML, je ne suis pas un navigateur] pgpBFtUGNW87c.pgp Description: PGP signature
Re: rm -rf sur ext3
Davy Gigan a écrit : On Fri, 12 Mar 2004 09:15:31 +0100 daniel huhardeaux [EMAIL PROTECTED] wrote: Bonjour, peut on récuperer les fichiers détruits par la commande décrite dans le sujet sur une partition ext3? Si oui, avec quel outil ou commande? Oui, c'est possible mais pas garanti. La commande c'est recover. Ne marche pas pour ext3. Extrait du man BUGS Please note that recover does not work with ext3 filesystems, it is strictly ext2-only. For further information on this, please read /usr/share/doc/recover/README.ext2only [...] Merci quand même. -- : __ __ __ __ __ __ [EMAIL PROTECTED] : /_// __ // __ //_// __ // / phone.: +48 32 285 5276 : / / / /_/ // /_/ / / / / /_/ // / fax: +48 32 285 5276 : /_/ /_//_/ /_/ /_/ /_//_/ mobile..: +48 602 284 546
Re: rm -rf sur ext3
Bonjour, Davy Gigan wrote: On Fri, 12 Mar 2004 09:15:31 +0100 daniel huhardeaux [EMAIL PROTECTED] wrote: Bonjour, peut on récuperer les fichiers détruits par la commande décrite dans le sujet sur une partition ext3? Si oui, avec quel outil ou commande? Oui, c'est possible mais pas garanti. tu es sûr ? A voir les how-to et autre sur le ext3 (il s'agit bien de ext3 !), le fonctionnement est différent par rapport au ext2, et j'ai déjà essayer recover et debugfs à la mano, ben j'ai pas connu de grand succès :/. Et d'après les how-to, c'est plutôt adieu fichiers qu'autre chose, donc c'est bien d'avoir du journalisé, mais faut savoir ce que l'on fait :). [...] Cordialement. Bon c'est vendredi, c'est pt la raison :P A+, J8.
Re: rm -rf sur ext3
Le vendredi 12 mars 2004, daniel huhardeaux a écrit... bonjour, peut on récuperer les fichiers détruits par la commande décrite dans le sujet sur une partition ext3? Si oui, avec quel outil ou commande? apt-cache search forensic bonne chance, je n'ai jamais eu à essayer un de ces trucs, mais, si tu y arrives, tu serais gentil de faire un compte-rendu ! -- jm
Re: rm -rf sur ext3
Eric LeBlanc a écrit : On Fri, 12 Mar 2004, Davy Gigan wrote: On Fri, 12 Mar 2004 09:15:31 +0100 daniel huhardeaux [EMAIL PROTECTED] wrote: Bonjour, peut on récuperer les fichiers détruits par la commande décrite dans le sujet sur une partition ext3? Si oui, avec quel outil ou commande? Oui, c'est possible mais pas garanti. Non ce n'est pas possible avec les outils usuels, parce que ext3 detruit l'inode aussi (ce que ext2 ne fait pas). En conclusion, les outils comme lde/debugfs ne fonctionnent pas, ainsi que les frontend (comme recover). Par contre, il y a une solution, qui est d'utiliser le TCT (The Coroner's Toolkit). Cependnat, ca implique que tu vas devoir transferer les donnees du HD victime vers le HD d'analyse, et cela demande _beaucoup_ d'espace. Aussi, _beaucoup_ de temps d'analyse pour retrouver le fichier :-) Lui fonctionne, pourquoi? Il copie l'image du HD, et il fait des recherches a partir du pattern sur le hd... et il tente de recuperer approximativement le debut du block et la fin du block du fichier que tu desires... Un peu comme si on faisait un grep pattern du fichier /dev/hda1. J'explique de facon grossiere bien sur, c'est juste pour te donner une idee. Ayant 10Go de données en des milliers de fichiers ... du temps j'en perdrai de toute façon ;-) Je crois que je vais d'abord tenter de recomposer le contenu et ensuite évaluer l'action à entreprendre. Merci pour le tuyau. -- : __ __ __ __ __ __ [EMAIL PROTECTED] : /_// __ // __ //_// __ // / phone.: +48 32 285 5276 : / / / /_/ // /_/ / / / / /_/ // / fax: +48 32 285 5276 : /_/ /_//_/ /_/ /_/ /_//_/ mobile..: +48 602 284 546
