Foremost

Foremost est un outil en ligne de commande qui donne la possibilité de récupérer simplement des fichiers qui ont été effacés. Il a été développé à l’origine pour le service d’enquêtes spéciales de l’US Air Force.

La récupération d’un fichier effacé part d’un concept simple… quand vous supprimez un fichier, c’est uniquement le pointeur vers celui-ci qui est brisé mais il n’est pas immédiatement écrasé par d’autres données. Le fichier est donc toujours physiquement présent sur le disque dur. Évidement, plus vous attendez avant de récupérer un fichier, plus celui-ci a de chance de disparaître à jamais…

Vous devez commencer par activer les dépôts Universe.

sudo apt-get install foremost

Ou cliquer sur ce lien! apt://foremost

Vous devez ensuite connaître la partition sur laquelle vous voulez récupérer des fichiers (par exemple /dev/sda1)

Si vous voulez connaître les fichiers qu’il est possible de récupérer sur votre partition, entrez la ligne de commande :

 sudo foremost -w -i /dev/sda1 -o /recovery/foremost

Le fichier listant les fichiers récupérables : /recovery/foremost/audit.txt n'est visible qu'avec les droits "root"

Par exemple, pour récupérer des images jpg supprimées, il faut taper :

 sudo foremost -t jpg -i /dev/sda1

Foremost va alors créer un répertoire nommé “output”* dans lequel il placera tous les fichiers récupérés. Évidement, si les images ont commencé à être écrasées, vous récupérerez des demi images mais c’est déjà ça…

*par défaut dans votre "home": vérifier qu'il a l'espace libre nécessaire ( tapez "man foremost" dans une console pour plus de détails )

Pour plus d'informations, voir le site http://linux.die.net/man/1/foremost

• Source
• Site officiel (en)