[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: comment réparer partition ext3 ?



Je suis en train de relancer un testdisk sur la partition problème pour essayer de récupérer le plus de fichiers possible. J'ai l'impression que les tailles de fichiers ne correspondent pas du tout avec ce qu'ils devrait : un tout petit gif (40x40) de 800ko (j'imagine que normalement l'image ne devrait pas dépasser les 2ko), des mpg cinq fois plus gros que prévu, et deux énormes fichier .IMM de 700mo chacun et je ne vois pas du tout ce que ça peut être...

Merci pour toute les infos et conseils, je vais regarder du côté d'autopsy et de helpdelete

François Boisson a écrit :
Le Sun, 9 Dec 2007 16:49:37 +0100
Jean-Michel OLTRA <jm.oltra.antispam@espinasse.net> a écrit:

  
Il y a des cd avec des utilitaires d'autopsie.
http://www.forinsect.de/forensics/forensics-tools.html
Sinon, il me semble que quelqu'un (François Boisson) a bidouillé un
outil de récupération de données par chaînes.
    

J'ai, tout (avec testdisk) est sur
http://franboisson.free.fr/Isos/BootCD-2.6-shell.iso
(on peut faire une clef USB Bootable qui s'avère très pratique). 
Ce CD/ClefUSB boutable est assez austère (notamment il faut penser à mettre
des modules à la main si on veut exploiter un CDrom par exemple mais comporte
plein de trucs utiles.

L'utilitaire s'appelle recherchefichier et est aussi disponible sur le paquet

helpdelete

deb http://boisson.homeip.net/debian etch divers

(ou lenny, sarge ou sid)
~$ recherchefichier -h

recherchefichier [-s chaine] [-n nbre de blocs] [-d nombre]
     [-m] [-H|-r| ] [-f disque] [disque]

Recherche la chaine sur le disque au début de chaque bloc de taille 512 octets
si -m non spécifiée et partout si -m spécifié et fabrique un fichier
de taille n fois 512 octets, la chaine est dans les d premiers blocs.
L'option -H indique un motif en Hexadécimal. Avec -r, * remplace plusieurs
caractères et ? un seul. -m  est dans ce cas inactif (mettre * au début)

Défauts: n=16, d=1, m et H non activés, s="Envelope to:".

        Juin 2005 (François Boisson)
francois@totoche:~$  zless /usr/share/doc/helpdelete/README.Debian.gz
pour une doc. Ça marche sur tout système de fichier où les blocs ne sont pas
cryptés.

François Boisson


  


-- 
Partagez et publiez vos images avec http://partage-images.net

Et pourquoi pas visiter http://cerisier.info

Reply to: