Tête en l’air j’ai supprimé machinalement un fichier vidéo sur le disque dur externe qui me sert de transfert entre mon boitier avermedia (qui me sert à enregistrer les films d’une box) et mon PC qui me sert à générer la vidéo finale (c’est à dire en supprimant toutes les pubs et en générant au format HEVC). Bref j’ai cherché du coup un outil sous linux permettant de récupérer des fichiers supprimés d’un système de fichiers NTFS. J’ai trouvé ntfsundelete qui la plupart du temps se trouve fourni dans le package ntfs-3g de la plupart des distributions, sauf de ma mageia 5… Direction donc vers la homepage de nfts-3g pour récupérer la dernière version. Ça se compile assez facilement avec l’enchaînement des commandes:
tar xvfz ntfs-3g_ntfsprogs-2016.2.22.tgz
cd ntfs-3g_ntfsprogs-2016.2.22
./configure
make
et puis sous root
make install
toujours sous root, on invoque maintenant ntfsundelete en pointant vers le fichier spécial du disque dur externe comme ceci:
ntfsundelete /dev/sdc1 > audit.txt
la sortie de la commande est assez mirobolante, pour une facilité de lecture je l’ai renvoyée vers un fichier texte qu’on pourra éditer facilement. Cela donne quelque chose comme cela :
Inode Flags %age Date Time Size Filename
-----------------------------------------------------------------------
16 F... 0% 2013-08-14 17:21 0 <none>
17 F... 0% 2013-08-14 17:21 0 <none>
18 F... 0% 2013-08-14 17:21 0 <none>
19 F... 0% 2013-08-14 17:21 0 <none>
20 F... 0% 2013-08-14 17:21 0 <none>
21 F... 0% 2013-08-14 17:21 0 <none>
22 F... 0% 2013-08-14 17:21 0 <none>
23 F... 0% 2013-08-14 17:21 0 <none>
37 F..! 0% 2016-09-04 22:54 0 <none>
150 FN.! 10% 1970-01-01 01:00 7596391169 <none>
(…)
20159 FN.. 0% 2015-12-25 16:28 3000946 Royal band - I TE PO E TE AO.mp3
20160 FN.. 0% 2015-12-25 16:28 6905103 Royal band - Te reo.mp3
20161 FN.. 0% 2015-12-25 16:28 2165028 Royal Band live _Moora perehu.mp3
(…)
22031 FN.. 100% 2015-12-25 19:50 5476245 DSCN7605.JPG
22032 FN.. 100% 2015-12-25 19:50 4954432 DSCN7492.JPG
22033 FN.. 100% 2015-12-25 19:50 5689398 DSCN7550.JPG
22034 FN.. 100% 2015-12-25 19:50 6071309 DSCN7568.JPG
(…)
22182 FN.. 71% 2015-12-25 19:51 5955730 DSCN7710.JPG
22183 FN.. 29% 2015-12-25 19:51 5099665 DSCN7678.JPG
22184 FN.. 11% 2015-12-25 19:51 5972635 DSCN7773.JPG
22185 FN.. 12% 2015-12-25 19:51 5795861 DSCN7674.JPG
22186 FN.. 13% 2015-12-25 19:51 6281364 DSCN7721.JPG
(…)
219383 FN.! 0% 1970-01-01 01:00 0
219384 FN.! 0% 1970-01-01 01:00 0
219385 FN.! 0% 1970-01-01 01:00 0
Files with potentially recoverable content: 43556
Pour faire simple 43556 fichiers peuvent être récupérés sur un volume de 250Go !! Seuls les fichiers identifiés avec un 100% pourront être totalement récupérés, vous pouvez tenter de récupérer ceux qui n’atteignent pas les 100% mais il n’y a strictement aucune garantie qu’ils soient encore lisibles et encore moins exploitables. Vous pouvez également ne faire apparaître que les fichiers récupérables en tapant :
ntfsundelete -p100 /dev/sdc1 > audit.txt
Pour chercher ma vidéo je vais chercher les fichiers d’une taille entre 1 et 20Go
ntfsundelete -p100 -S 1g-20g /dev/sdc1 > audit.txt
malheureusement pour moi ça s’est mal passé, je n’ai pas retrouvé mon fichier 🙁
Pour l’exercice, si j’avais voulu récupérer le fichier DSCN7550.JPG qui est identifié par l’inode 22033 il suffira de taper:
ntfsundelete /dev/sdc1 -u -i 22033
Inode Flags %age Date Size Filename
---------------------------------------------------------------
22033 FN.. 0% 2015-12-25 19:50 5689398 DSCN7550.JPG
Undeleted 'DSCN7550.JPG' successfully.