suite à "rm -rf /*" : comment récup des données ?

François Boisson

30/12/2005 à 17:40

Si tu tiens vraiment à tes configs, j'ai fait un utilitaire qui permet
de reconstituer des fichiers effacés en les recherchant d'après des
critères prècis. Par exemple:

# recherchefichier -s "# /etc/fstab: static file system information." -n 1 /dev/hda5
Chaine cherchée: # /etc/fstab: static file system information.

va reconstruire un fichier commençant par
# /etc/fstab: static file system information.
soit /etc/fstab
# recherchefichier -s "defaults,uid00,gid00" -m -n 1 /dev/hda5

reconstruira un fichier de n=1 bloc ayant dans (option -d = 1 par
défaut) le premier bloc la chaine defaults,uid00,gid00. On peut
aussi utiliser des wildcards et des chaines binaires.
Mais c'est fastidieux...

François Boisson

paquet helpdelete, compilé en statique

deb http://boisson.homeip.net/sarge/ ./

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

Jean-Luc Coulon (f5ibh)

30/12/2005 à 17:50

--=-GCWiErbud+HBqwH5B4G1
Content-Type: text/plain; charset=iso-8859-1; DelSp=Yes; Format=Flowed
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

Le 30.12.2005 22:53:57, HEHO a écrit :

bonjour,
(tout d'abord, il s'agit d'un ordinateur personnel avec peu de données
importantes. le /home a l'air préservé. aucune sauvegarde)
en voulant effacer un répertoire et son contenu j'ai taper la commande
citée
dans le sujet. je ne m'en suis rendu compte que quand des messages
concernant l'impossibilité de détruire des devices utilisés m'a
réveillé:
hein...control c...un peu trop tard.
donc rm a été jusqu'à /dev (/bin, /boot ...) et meme plus loin car par
exemple /etc/ est là mais "pas trés rempli".

je suis bon pour une réinstall mais avant je voudrai récupérer
quelques
fichiers de configs effacés.

j'ai essayé d'utiliser unrm et lazarus de :
http://www.porcupine.org/forensics/tct.html
depuis un cd-live knoppix j'ai téléchargé le tct-1.15.tar.gz.
si j'ai bien compris la doc il faut le décompresser dans la partition
de
destination du dump, (pour moi c'est une partition ext3 sur un disque

****

Si vous avez cassé un système de fichiers ext3, il n'y a pas grand
chose à faire...

usb2)
puis faire un make (ça n'est pas ma specialité).
le make plante avec ça à la fin (et plein d'autres /usr/include/...
avant) :
**********************************
[...]
/usr/include/asm/smp.h:38: warning: array `cpu_core_map' assumed to
have one
element
/usr/include/asm/smp.h:47: warning: array `x86_cpu_to_apicid' assumed
to
have one element
make: *** [fs_buf.o] Error 1
make: *** [what] Error 2
make: *** [compile] Error 2
***********************************

donc voilà.
- est-ce que quelqu'un aurait déjà utilisé unrm/lazarus et pourrait me
guider un peu?
- peut-être existe t-il une version compilé mais je n'ai pas trouvé ?
- des outils debian permettant de dumper et de "monitorer" les dumps
comme
le permet lazarus apparemment?
- existe t'il un log quelque part des noms de fichiers effacés lors du
rm?
- d'autres idées ?

merci.
à plus.
hého
(etch 2.6.12 à jour avant le rm)

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

--=-GCWiErbud+HBqwH5B4G1
Content-Type: application/pgp-signature

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (GNU/Linux)

iD8DBQBDtVrBXit3lz9m7V4RAsxqAKDTOOQhSSEu+sYBpaZ3tLN8VjN7YwCbB8HK
nWt/wl4DS3ysGSxDvd8RZ8A =jPma
-----END PGP SIGNATURE-----

--=-GCWiErbud+HBqwH5B4G1--

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

--=-GCWiErbud+HBqwH5B4G1
Content-Type: text/plain; charset=iso-8859-1; DelSp=Yes; Format=Flowed
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

Le 30.12.2005 22:53:57, HEHO a écrit :

bonjour,
(tout d'abord, il s'agit d'un ordinateur personnel avec peu de données
importantes. le /home a l'air préservé. aucune sauvegarde)
en voulant effacer un répertoire et son contenu j'ai taper la commande
citée
dans le sujet. je ne m'en suis rendu compte que quand des messages
concernant l'impossibilité de détruire des devices utilisés m'a
réveillé:
hein...control c...un peu trop tard.
donc rm a été jusqu'à /dev (/bin, /boot ...) et meme plus loin car par
exemple /etc/ est là mais "pas trés rempli".

je suis bon pour une réinstall mais avant je voudrai récupérer
quelques
fichiers de configs effacés.

j'ai essayé d'utiliser unrm et lazarus de :
http://www.porcupine.org/forensics/tct.html
depuis un cd-live knoppix j'ai téléchargé le tct-1.15.tar.gz.
si j'ai bien compris la doc il faut le décompresser dans la partition
de
destination du dump, (pour moi c'est une partition ext3 sur un disque

****

Si vous avez cassé un système de fichiers ext3, il n'y a pas grand
chose à faire...

usb2)
puis faire un make (ça n'est pas ma specialité).
le make plante avec ça à la fin (et plein d'autres /usr/include/...
avant) :
**********************************
[...]
/usr/include/asm/smp.h:38: warning: array `cpu_core_map' assumed to
have one
element
/usr/include/asm/smp.h:47: warning: array `x86_cpu_to_apicid' assumed
to
have one element
make: *** [fs_buf.o] Error 1
make: *** [what] Error 2
make: *** [compile] Error 2
***********************************

donc voilà.
- est-ce que quelqu'un aurait déjà utilisé unrm/lazarus et pourrait me
guider un peu?
- peut-être existe t-il une version compilé mais je n'ai pas trouvé ?
- des outils debian permettant de dumper et de "monitorer" les dumps
comme
le permet lazarus apparemment?
- existe t'il un log quelque part des noms de fichiers effacés lors du
rm?
- d'autres idées ?

merci.
à plus.
hého
(etch 2.6.12 à jour avant le rm)

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact
listmaster@lists.debian.org

--=-GCWiErbud+HBqwH5B4G1
Content-Type: application/pgp-signature

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (GNU/Linux)

iD8DBQBDtVrBXit3lz9m7V4RAsxqAKDTOOQhSSEu+sYBpaZ3tLN8VjN7YwCbB8HK
nWt/wl4DS3ysGSxDvd8RZ8A =jPma
-----END PGP SIGNATURE-----

--=-GCWiErbud+HBqwH5B4G1--

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Vous avez filtré cet utilisateur ! Consultez son message

--=-GCWiErbud+HBqwH5B4G1
Content-Type: text/plain; charset=iso-8859-1; DelSp=Yes; Format=Flowed
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

Le 30.12.2005 22:53:57, HEHO a écrit :

bonjour,
(tout d'abord, il s'agit d'un ordinateur personnel avec peu de données
importantes. le /home a l'air préservé. aucune sauvegarde)
en voulant effacer un répertoire et son contenu j'ai taper la commande
citée
dans le sujet. je ne m'en suis rendu compte que quand des messages
concernant l'impossibilité de détruire des devices utilisés m'a
réveillé:
hein...control c...un peu trop tard.
donc rm a été jusqu'à /dev (/bin, /boot ...) et meme plus loin car par
exemple /etc/ est là mais "pas trés rempli".

je suis bon pour une réinstall mais avant je voudrai récupérer
quelques
fichiers de configs effacés.

j'ai essayé d'utiliser unrm et lazarus de :
http://www.porcupine.org/forensics/tct.html
depuis un cd-live knoppix j'ai téléchargé le tct-1.15.tar.gz.
si j'ai bien compris la doc il faut le décompresser dans la partition
de
destination du dump, (pour moi c'est une partition ext3 sur un disque

****

Si vous avez cassé un système de fichiers ext3, il n'y a pas grand
chose à faire...

usb2)
puis faire un make (ça n'est pas ma specialité).
le make plante avec ça à la fin (et plein d'autres /usr/include/...
avant) :
**********************************
[...]
/usr/include/asm/smp.h:38: warning: array `cpu_core_map' assumed to
have one
element
/usr/include/asm/smp.h:47: warning: array `x86_cpu_to_apicid' assumed
to
have one element
make: *** [fs_buf.o] Error 1
make: *** [what] Error 2
make: *** [compile] Error 2
***********************************

donc voilà.
- est-ce que quelqu'un aurait déjà utilisé unrm/lazarus et pourrait me
guider un peu?
- peut-être existe t-il une version compilé mais je n'ai pas trouvé ?
- des outils debian permettant de dumper et de "monitorer" les dumps
comme
le permet lazarus apparemment?
- existe t'il un log quelque part des noms de fichiers effacés lors du
rm?
- d'autres idées ?

merci.
à plus.
hého
(etch 2.6.12 à jour avant le rm)

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

--=-GCWiErbud+HBqwH5B4G1
Content-Type: application/pgp-signature

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (GNU/Linux)

iD8DBQBDtVrBXit3lz9m7V4RAsxqAKDTOOQhSSEu+sYBpaZ3tLN8VjN7YwCbB8HK
nWt/wl4DS3ysGSxDvd8RZ8A =jPma
-----END PGP SIGNATURE-----

--=-GCWiErbud+HBqwH5B4G1--

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

Jean-Luc Coulon (f5ibh)

30/12/2005 à 17:50

--=-ifo95U3yPklFbD/Pijj0
Content-Type: text/plain; charset=iso-8859-1; DelSp=Yes; Format=Flowed
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

Le 30.12.2005 23:30:21, HEHO a écrit :

Jean-Luc Coulon (f5ibh) wrote:
> Si vous avez cassé un système de fichiers ext3, il n'y a pas grand
> chose à faire...
j'en suis conscient et je sais qu'il faut réinstaller
je vais peut-être expliquer ma config.
j'ai un portable avec un disque dur partagé en 4 partitions.
1 partition windows
1 partition ext3 ou il y a (avait) le / de la etch
1 partition swap
1 partition ext3 où il y a le /home de la etch

le disque externe usb2 (1 partition vfat et 1 partition ext3) ne me
servirait qu'à receptioner le dump de unrm (ou autre) pour pouvoir
récuperer les fichiers textes de config.

Ce que je voulais dire c'est qu'un système de fichier comme vfat ou
ext2, si on ne réécrit pas de données, conserve les données à leu r
place, seule une entrée (un bit) dans la table d'allocations indique
que l'espace en question est libre ou pas. Dans ce cas, il suffit (!)
de retrouver un inode et de remonter, redescendre la chaîne et de
récupérer ainsi des fichiers ou des morceaux de fichiers.

Dans le cas d'un système de fichiers ext3, l'existence d'un journal ne
permet plus ce genre d'opération. On ne sait pas prédire l'état des
inodes qu'à partir, entre autre, du journal. Comme l'effacement des
fichiers a modifié le journal, ....

Jean-Luc

--=-ifo95U3yPklFbD/Pijj0
Content-Type: application/pgp-signature

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (GNU/Linux)

iD8DBQBDtWOdXit3lz9m7V4RAsjrAJ4gweCyiLGf310mlK8xlmpgaqjVlgCeNPiR
PMRsFkQ2kWeFrSOAEqPnD6U =z8x/
-----END PGP SIGNATURE-----

--=-ifo95U3yPklFbD/Pijj0--

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

--=-ifo95U3yPklFbD/Pijj0
Content-Type: text/plain; charset=iso-8859-1; DelSp=Yes; Format=Flowed
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

Le 30.12.2005 23:30:21, HEHO a écrit :

Jean-Luc Coulon (f5ibh) wrote:
> Si vous avez cassé un système de fichiers ext3, il n'y a pas grand
> chose à faire...
j'en suis conscient et je sais qu'il faut réinstaller
je vais peut-être expliquer ma config.
j'ai un portable avec un disque dur partagé en 4 partitions.
1 partition windows
1 partition ext3 ou il y a (avait) le / de la etch
1 partition swap
1 partition ext3 où il y a le /home de la etch

le disque externe usb2 (1 partition vfat et 1 partition ext3) ne me
servirait qu'à receptioner le dump de unrm (ou autre) pour pouvoir
récuperer les fichiers textes de config.

Ce que je voulais dire c'est qu'un système de fichier comme vfat ou
ext2, si on ne réécrit pas de données, conserve les données à leu r
place, seule une entrée (un bit) dans la table d'allocations indique
que l'espace en question est libre ou pas. Dans ce cas, il suffit (!)
de retrouver un inode et de remonter, redescendre la chaîne et de
récupérer ainsi des fichiers ou des morceaux de fichiers.

Dans le cas d'un système de fichiers ext3, l'existence d'un journal ne
permet plus ce genre d'opération. On ne sait pas prédire l'état des
inodes qu'à partir, entre autre, du journal. Comme l'effacement des
fichiers a modifié le journal, ....

Jean-Luc

--=-ifo95U3yPklFbD/Pijj0
Content-Type: application/pgp-signature

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (GNU/Linux)

iD8DBQBDtWOdXit3lz9m7V4RAsjrAJ4gweCyiLGf310mlK8xlmpgaqjVlgCeNPiR
PMRsFkQ2kWeFrSOAEqPnD6U =z8x/
-----END PGP SIGNATURE-----

--=-ifo95U3yPklFbD/Pijj0--

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Vous avez filtré cet utilisateur ! Consultez son message

HEHO

30/12/2005 à 18:00

Jean-Luc Coulon (f5ibh) wrote:

Dans le cas d'un système de fichiers ext3, l'existence d'un journal ne
permet plus ce genre d'opération. On ne sait pas prédire l'état des
inodes qu'à partir, entre autre, du journal. Comme l'effacement des
fichiers a modifié le journal, ....

merci
bon bah réinstall en ext2.

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

HEHO

30/12/2005 à 18:10

Jean-Luc Coulon (f5ibh) wrote:

Si vous avez cassé un système de fichiers ext3, il n'y a pas grand
chose à faire...

j'en suis conscient et je sais qu'il faut réinstaller
je vais peut-être expliquer ma config.
j'ai un portable avec un disque dur partagé en 4 partitions.
1 partition windows
1 partition ext3 ou il y a (avait) le / de la etch
1 partition swap
1 partition ext3 où il y a le /home de la etch

le disque externe usb2 (1 partition vfat et 1 partition ext3) ne me
servirait qu'à receptioner le dump de unrm (ou autre) pour pouvoir
récuperer les fichiers textes de config.

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

HEHO

30/12/2005 à 18:10

François Boisson wrote:

Si tu tiens vraiment à tes configs, j'ai fait un utilitaire qui permet
de reconstituer des fichiers effacés en les recherchant d'après des
critères prècis.
paquet helpdelete, compilé en statique
deb http://boisson.homeip.net/sarge/ ./

merci,
je vais essayé avant la réinstall

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

suite à "rm -rf /*" : comment récup des données ?

6 réponses

Veuillez sélectionner un problème