Résumé

Je vais vous présenter dans ce Tuto un outils bien sympathique capable de récupérer toutes sortes de fichiers supprimés, et ce sur n'importe quel support (disque dur, appareil photo...) : Foremost.

Il nous est tous arrivé un jour ou l'autre de devoir récupérer des photos, vidéos (et plein d'autres fichiers très très importants ^^) que nous avions supprimés par mégarde. Il éxiste bien sûr une multitude de logiciels sous Window$ mais sous Linux il est vrai qu'il y en a beaucoup moins (Preuve en est ce lien).

Fort heureusement pour nous le soft Foremost va nous aider dans cette tâche, le tout en ligne de commande.

Notons au passage qu'à l'origine cet outils avait été développé pour le service d’enquêtes spéciales de l’US Air Force, et nous allons l'utiliser... la classe :)

On commence bien évidemment par télécharger Foremost. Vous pouvez bien entendu le télécharger via votre système de paquets, ou si vous le souhaitez les sources sont disponibles ici. Chez moi un simple aptitude fera l'affaire :

$ aptitude install foremost

Remarque : Les commandes listées ci-dessous se feront toutes en root.

Nous allons maintenant voir comment lister les fichiers succeptibles d'être récupérés. Pour cela tapez dans votre console :

$ foremost -w -i /dev/sda1 -o /home/shatter/recovery
Processing : /dev/sda1
|*****

Une petite explication s'impose :

-w : cette option active le mode "Audit", à savoir qu'aucun fichier ne sera récupérer mais qu'un audit des fichiers récupérables sera fait.
-i partition: cette option doit être suivie de la partition à partir de laquelle vous souhaitez récupérer les fichiers.
-o repertoire: celle-ci spécifie le répertoire dans lequel les fichiers récupérés seront placés.

Remarque : j'ai choisi la partition sda1, j'aurais tout aussi pu choisir l'un de mes périphériques, comme  ma clé usb ou encore mon appareil photo.

A noter que dans notre cas aucun fichier ne sera récupéré, le répertoire recovery ne contiendra donc qu'un fichier nommé "audit.txt" contenant la liste de nos fichiers récupérables.

Bon je vous l'accorde ce listing n'est pas top, nous nous contenterons de la colonne File qui donne les types de fichiers (html, jpeg...).

Maintenant imaginons que je veuilles récupérer des images supprimées par erreur. Pour cela rien de plus simple, on modifie l'option -w par -t suivie du type de fichier souhaité. Ce qui donne :

$ foremost -t jpg -i /dev/sda1 -o /home/shatter/recovery

Cette fois-ci un dossier nommé "jpg" sera créé en plus du fichier audit.txt. Vous vous en doutez c'est ce dossier qui contiendra toutes nos photos récupérées.
Bien évidemment une recherche sur les fichiers mpg aurait créé un répertoire mpg, idem pour les fichiers pdf etc...

Concernant nos photos il se peut que certaines ne soient que partiellement lisibles, si tel est le cas c'est que l'image a été en partie écrasées, et dans ce cas il n'y a malheureusement plus rien à faire.

Pour revenir à l'exemple précédent, celui-ci ne recherchait que les fichiers jpg, si vous souhaitez récupérer plusieurs types de fichiers il vous faudra placer une virgule entre eux. Par exemple :

$ foremost -t jpg,pdf,mpg -i /dev/sda1 -o /home/shatter/recovery

A noter que l'option -o n'est pas obligatoire, si vous ne la mettez pas Foremost créera un répertoire Output dans lequel tous les fichiers seront stockés.

Je vous ai présenté dans ce tuto les bases de Foremost. Vous l'aurez compris il est très simple de récupérer des fichiers supprimés, et ce même en ligne de commande ^^
Qui plus est les types de fichiers pris en compte est très complète. En voici une liste non-exhaustive tiré du manuel : JPG - GIF - PNG - BMP - AVI - EXE - MPG - WAV - RIFF - WMV - MOV - PDF - OLE - DOC - ZIP - RAR - HTM - CPP

Je vous invite à lire la page de manuel de Foremost (man foremost ou ce lien) pour découvrir la liste des options que cet outils propose.