Photorec est un outil permettant de récupérer ses fichiers après catastrophe (formatage, repartitionnage, voire même cryptolockage...).

C'est l'outil "de la dernière chance", car on récupère tous les fichiers du disque, mais pas leurs noms (ils sont nommés suivant le n° de secteur ou ils se trouvaient...). Il y a donc un certain travail pour retraiter les fichiers ensuite...

Installation

sudo apt-get install testdisk

(il fait parti du pack testdisk, qui permet entre autre de retrouver des partitions perdues...)

Utilisation

c'est assez simple. Le lancer en root .

Il demande de choisir le disque à scanner, puis la partition, puis choisir le type de systeme supposé (linux ext2/ext3 ou autre systeme NTFS, mac, etc...).

Remarque : AVANT de faire le choix du disque, on peut choisir des options avec les fleches horizontales (menu tout en bas).

FILE OPTIONS permet de choisir le type de fichier à chercher (par exemple que les jpeg).

Une fois cela choisi, il demande à choisir le répertoire de destination.

ATTENTION A NE PAS CHOISIR UN REPERTOIRE SUR LA MÊME PARTITION.

Le mieux est d'avoir un disque dur externe, NAS ou autre disque dédié avec suffisamment de place..

On choisit la destination avec les fleches et la touche entrée et on clique sur C pour valider la destination et c'est parti....

POST PRODUCTION:

là ca se complique, pluisque l'on a tout en brut de décoffrage...

Le site de l'auteur propose qques scripts pythons, perl pour aider :

http://www.cgsecurity.org/wiki/Apr%C3%A8s_l%27utilisation_de_PhotoRec

Perso, je commence par déplacer les répertoires recupdirxxx dans un sous-répertoire (par exemple "recupbrute" et  créer à côté des répertoires pour chaque type de fichier (en général images (jpeg) et bureautique (doc, xls, ..).

Faire ensuite

cd recupbrute

et ensuite, pour les jpeg par exemple, on récupère tous les jpg de plus de 1Mo

cp `find -name *.jpg -size +1M` ../jpeg

on peut aussi relancer pour une recherche plus ciblée (entre 1Mo et 100ko):

cp `find -name *.jpg -size +100k -size -1M` ../jpeg/mini/

Pour les doc, c'est plus simple, pas de limite de taille (idem pour xls, pdf, ..)

cp `find -name *.doc* -o -name *.xls* -o -name *.ppt* -o -name *.od*` ../doc/


cp `find -name *.mpeg -o -name *.mpg -o -name *.mp4 -o -name *.avi -o -name *.mov` ../video


Rappel: pour find, -o signifie OR (sinon il considère AND par défaut) et ! signifie NOT