You know that sinking feeling that happens when you realize you just deleted a bunch of important files you really needed. It's a terrible feeling - and often followed by worry, panic and repeated “why did I just do that?” Stealing a cue from Douglas Adams; “don't panic.” There is hope for deleted files even if the media has been reformatted. Foremost can also recover corrupted files, but it doesn’t fix corruption. Foremost is a data recovery tool originally written by Kris Kendall and Jesse Kornblum, special agents for the United States Air Force Office of Special Investigations. It was picked up and modified by Nick Mikus as part of his master's thesis and is now available in the Ubuntu universe repositories. With the universe repositories enabled, installing Foremost is a simple matter: sudo apt-get install foremost A word of caution before proceeding any further - do not mount or boot the drive you’re recovering from. The more the medium is accessed the greater the chance of data loss. Before diving in to recovering data, we make a backup of the original medium. One of the main principles of data recovery is to work with a copy of the original medium rather than the medium itself.
Vous connaissez sûrement ce sentiment de déprime qui se produit quand vous réalisez que vous venez de supprimer un tas de fichiers importants dont vous avez réellement besoin. C'est un sentiment horrible - et souvent suivi par de l'inquiétude, de la panique et de « pourquoi ai-je fait cela ? » à maintes reprises. En volant une citation à Douglas Adams, « ne paniquez pas. » Il y a de l'espoir pour les fichiers supprimés même si le média a été formaté. Foremost peut également récupérer des fichiers corrompus, mais il ne corrige pas la corruption.
Foremost est un outil de récupération de données écrit à l'origine par Kris Kendall et Jesse Kornblum, des agents spéciaux pour l'Office des enquêtes spéciales de l'United States Air Force. Il a été récupéré et modifié par Nick Mikus dans le cadre de la thèse de son master et est maintenant disponible dans les dépôts universe d'Ubuntu. Avec les dépôts universe activés, installer Foremost est une simple commande :
sudo apt-get install foremost
Un mot d'avertissement avant d'aller plus loin : ne pas monter ou démarrer le lecteur que vous voulez récupérer. Plus le nombre d'accès au support est élevé, plus les chances de perte de données augmentent. Avant de plonger dans la récupération des données, nous faisons une sauvegarde du support d'origine. Un des grands principes de récupération de données est de travailler avec une copie du support original plutôt que le média lui-même.
Another important principle is to back up to a medium that isn’t the original medium (obviously you don’t want to corrupt the drive while trying to recover data from it!). The drive you back up to should have enough free space to hold an image of the entire drive (with the lost files). In this example, we'll recover data from a 1GB flash drive to a system with an 80GB hard drive. We begin by making that working image of the flash drive: sudo dd if=/dev/sdb1 of=mypendrive.img Next, we need to give the user ownership of the image file we just created. In this case the username and group are called charm: sudo chown charm.charm mypendrive.img Foremost recovers a lot of different types of data ranging from AOL .art files to audio .wav files. Another tool photorec (part of the testdisk package), actually recognizes many more, but Foremost can work with unmounted drives and with image files. Foremost needs a path to save data to. This path should not be on the original medium (or you would overwrite data). mkdir ~/recovery
Il est également important de faire les sauvegardes sur un autre support que celui d'origine (il est évident que vous ne souhaitez pas endommager le disque en essayant de récupérer les données qu'il contient !). Le lecteur sur lequel vous faites vos sauvegardes doit avoir suffisamment d'espace libre pour contenir une image de la totalité du disque (avec les fichiers perdus). Dans cet exemple, nous allons récupérer des données à partir d'un lecteur flash de 1 Go sur un système avec un disque dur de 80 Go. Nous commençons par construire cette image de travail de la carte flash :
sudo dd if=/dev/sdb1 of=mypendrive.img
Ensuite, nous devons donner la propriété utilisateur au fichier image que nous venons de créer. Dans ce cas, le nom d'utilisateur et le groupe sont appelés charm :
sudo chown charm.charm mypendrive.img
Foremost récupère un grand nombre de types de données différents allant des fichiers .art d'AOL aux fichiers audio .wav. Un autre outil, photorec (qui fait partie du paquet testdisk) en reconnaît certes plus, mais Foremost peut fonctionner avec des disques non montés et avec des fichiers images. Foremost a également besoin d'un chemin pour sauver les données. Ce chemin ne devrait pas être sur le support d'origine (ou alors vous écraserez les données originales).
mkdir ~/recovery
Now let's recover some pdf and png files: foremost -vqQ -o recovery/ -t pdf,png -i mypendrive.img The -v switch enables Foremost's verbose mode. Without the -v switch, Foremost displays asterisks as it processes. The -v switch gives us nice formatted output showing information about what is being recovered. Foremost can take a long time to recover data, particularly if you're trying to recover from a large hard drive full of data. Verbose mode (shown below) is nice since it gives an idea of what's being recovered. The -q switch sets Foremost to run considerably faster by searching only the start of each sector. The large -Q switch suppresses most error messages. The -o switch specifies the directory to recover to. Within this recovery folder, Foremost creates a folder for each type of file being recovered. In this instance pdf/ and png/ folders are created along with an audit.txt file showing the same verbose output we saw earlier. The -t switch specifies the types of files to recover. To specify multiple file types separate each file type with a comma. Lastly the -i switch indicates which image or device to recover from (again, it's best to use an image file rather than working with the original device).
Maintenant, nous allons récupérer quelques fichiers pdf et png :
foremost -vqQ -o recovery/ -t pdf,png -i mypendrive.img
L'option -v active le mode verbeux de Foremost. Sans l'option -v, Foremost affiche des astérisques pendant le traitement. L'option -v nous donne une belle sortie formatée affichant des informations sur ce qui est récupéré. Foremost peut prendre un certain temps pour récupérer les données, en particulier si vous essayez de les récupérer à partir d'un disque dur de grande capacité bien rempli. Le mode verbeux (illustré ci-dessous) est agréable car il donne une idée de ce qui est récupéré.
L'option -q dit à Foremost de s'exécuter beaucoup plus rapidement en recherchant uniquement le début de chaque secteur. L'option -Q majuscule supprime la plupart des messages d'erreur. L'option -o spécifie le répertoire dans lequel seront stockées les données récupérées. Dans ce répertoire, Foremost va créer un autre dossier pour chaque type de fichier en cours de récupération. Dans notre exemple, les dossiers pdf/ et png/ sont créés avec un fichier audit.txt montrant la même sortie verbeuse que nous avons vue plus tôt.
L'option -t spécifie les types de fichiers à récupérer. Pour spécifier plusieurs types de fichiers, il faut séparer chaque type de fichier par une virgule. Enfin l'option -i indique l'image ou le dispositif à partir duquel on récupère nos données (encore une fois, il est préférable d'utiliser un fichier image plutôt que de travailler avec le dispositif d'origine).
Foremost can recover erased files, files from formatted drives, even files that have been lost over multiple formats. In one case we were able to recover dozens of files from a hard drive formatted for ext3 which were clearly graphic files from a previous Windows installation. Foremost can also recover partial files using the -a switch which writes all headers, skipping error detection of corrupted files. Corrupted files, images in particular, are files where part of the data has already been overwritten. In the case of images, the corruption is obvious - often only part of the image is recovered - followed by banding. Another handy Foremost switch is -T. It creates a timestamped directory name. If you plan on running Foremost multiple times the -T switch will create a directory name with the timestamp. For example: foremost -vqQT -o recovery/ -t pdf,png -i mypendrive.img In the above example, Foremost creates a directory with a name starting with recovery and ending with the datetimestamp (3:29pm here): recovery_Sun_Mar_11_15_29_42_2012 Foremost is a great tool for recovering images, documents, movies, and other types of files. Because it can work with unmounted file systems, it comes in handy where other tools require a mounted partition. Of course the usual “back up your data” lecture applies to any conversation about data recovery, particularly since there have been a number of great backup articles in past issues of Full Circle Magazine. Now, at least there’s one more option when you get that sinking feeling that you’ve just deleted something you really meant to keep.
Foremost peut aussi récupérer des fichiers effacés, les fichiers de disques formatés, voire même des fichiers qui ont été perdus au cours de multiples formatages. Il nous est même déjà arrivé de récupérer plusieurs douzaines de fichiers venant d'un disque dur formaté en ext3 qui étaient clairement des fichiers graphiques d'une installation précédente de Windows.
Foremost peut également récupérer des morceaux de fichiers en utilisant l'option -a qui écrit tous les en-têtes, sans tenir compte de la détection d'erreurs et de la corruption des fichiers. Les fichiers corrompus (ceux des images en particulier) sont des fichiers où une partie des données a déjà été écrasée. Dans le cas des images, la corruption se manifeste de manière évidente : souvent, une seule partie de l'image est récupérée, suivie par des bandes.
Une autre option utile de Foremost est -T. Elle crée un nom de répertoire horodaté. Si vous prévoyez d'exécuter plusieurs fois Foremost, l'option -T va créer un nom de répertoire avec l'horodatage. Par exemple :
foremost -vqQT -o recovery/ -t pdf,png -i mypendrive.img
Dans l'exemple ci-dessus, Foremost crée un répertoire avec un nom commençant par recovery et se terminant avec l'horaire (15h29 ici) :
recovery_Sun_Mar_11_15_29_42_2012
Foremost est un excellent outil pour retrouver des images, des documents, des films et d'autres types de fichiers. Pouvant fonctionner avec des systèmes de fichiers non montés, il est très pratique lorsque d'autres outils nécessitent une partition montée. Bien sûr, la leçon « sauvegarde de vos données » faite régulièrement s'applique à toute discussion en rapport avec la récupération de données, en particulier depuis qu'il y a eu un certain nombre de bons articles sur la sauvegarde dans les numéros précédents de Full Circle Magazine.
Vous avez donc maintenant une solution supplémentaire à sentiment de déprime qui vous envahit lorsque vous venez de supprimer quelque chose que vous vouliez vraiment garder.