Retrouver des données perdues

Tenter la récupération de données perdues avec Foremost et Scalpel

Foremost

Foremost permet de récupérer des fichiers en utilisant leurs en-têtes, leurs pieds de page et leurs structures de données.

Retrouver des fichiers perdus

Vous avez un répertoire contenant des images, des .jpg et des .png

# ls -l
total 5264
-rw-rw-r-- 1 aline aline 767061 juil. 10 15:03 Applejack.jpg
-rw-rw-r-- 1 aline aline 767061 juil. 10 15:03 Fluttershy.jpg
-rw-rw-r-- 1 aline aline 767061 juil. 10 15:03 PinkiePie.jpg
-rw-rw-r-- 1 aline aline 767061 juil. 10 15:02 RainbowDash01.jpg
-rw-rw-r-- 1 aline aline 767061 juil. 10 15:04 Rarity.png
-rw-rw-r-- 1 aline aline 767061 juil. 10 14:59 Twilight_Sparkle01.png
-rw-rw-r-- 1 aline aline 767061 juil. 10 14:59 Twilight_Sparkle02.png

Par inadvertance vous supprimez tous vos fichiers d’extension .jpg

# rm *.jpg

# ls -l
-rw-rw-r-- 1 aline aline 767061 juil. 10 15:04 Rarity.png
-rw-rw-r-- 1 aline aline 767061 juil. 10 14:59 Twilight_Sparkle01.png
-rw-rw-r-- 1 aline aline 767061 juil. 10 14:59 Twilight_Sparkle02.png

Cette commande va vous permettre de retrouver les jpg supprimés et de les mettre dans le dossier recovery/

# foremost -v -t jpg /dev/sda -o /home/aline/recovery

Foremost started at Wed Jul 10 15:33:14 2019
Invocation: foremost -v -t jpg /dev/sda -o recovery
Output directory: /home/aline/recovery
Configuration file: /etc/foremost.conf
Processing: stdin
|------------------------------------------------------------------
File: stdin
Start: Wed Jul 10 15:33:14 2019
Length: Unknown
 
Num	 Name (bs=512)	       Size	 File Offset	 Comment

Foremost va créer un fichier audit.txt et un répertoire jpg/ dès le début de la procédure de récupération.

# ls recovery3
audit.txt  jpg

Visiblement foremost ne permet pas de choisir un répertoire précis pour lancer la récupération (on ne peut pas préciser l’endroit où le fichier a été perdu)

Scalpel

Semble faire la même chose que foremost. Mais avant de pouvoir utiliser Scalpel, il faut définir les types de fichiers qu’il doit rechercher dans /etc/scalpel/scalpel.conf. Par défaut, tous les types de fichiers sont commentés.

# GIF and JPG files (very common)
#       gif     y       5000000         \x47\x49\x46\x38\x37\x61        \x00\x3b
#       gif     y       5000000         \x47\x49\x46\x38\x39\x61        \x00\x3b
        jpg     y       200000000       \xff\xd8\xff\xe0\x00\x10        \xff\xd9

Une fois le type de fichier .jpg décommenté on peut lancer la recherche

# scalpel /dev/sda -o /home/aline/recovery/

Opening target "/dev/sda"
Image file pass 1/2.
/dev/sda:   1.3% |                                             |    6.0 GB