On Fri, 12 Mar 2004, Davy Gigan wrote:
On Fri, 12 Mar 2004 09:15:31 +0100
daniel huhardeaux <no-spam@tootai.net> wrote:
Bonjour,
peut on récuperer les fichiers détruits par la commande décrite dans le
sujet sur une partition ext3? Si oui, avec quel outil ou commande?
Oui, c'est possible mais pas garanti.
Non ce n'est pas possible avec les outils usuels, parce que ext3 detruit
l'inode aussi (ce que ext2 ne fait pas). En conclusion, les outils comme
lde/debugfs ne fonctionnent pas, ainsi que les frontend (comme recover).
Par contre, il y a une solution, qui est d'utiliser le TCT (The Coroner's
Toolkit). Cependnat, ca implique que tu vas devoir transferer les donnees
du HD victime vers le HD d'analyse, et cela demande _beaucoup_ d'espace.
Aussi, _beaucoup_ de temps d'analyse pour retrouver le fichier :-)
Lui fonctionne, pourquoi? Il copie l'image du HD, et il fait des
recherches a partir du pattern sur le hd... et il tente de recuperer
"approximativement" le debut du block et la fin du block du fichier que tu
desires... Un peu comme si on faisait un grep "pattern du fichier"
/dev/hda1. J'explique de facon grossiere bien sur, c'est juste pour te
donner une idee.