Scalpel : récupérer des fichiers sur Linux

Scalpel est un utilitaire de récupération de fichiers pour les systèmes Linux (et autres systèmes UNIX). Il est conçu pour effectuer la récupération de fichiers en analysant les disques durs ou les images de disque à la recherche de fragments de fichiers spécifiques.
Il est conçu pour analyser les périphériques de stockage, tels que les disques durs, afin de récupérer les fichiers perdus qui ont pu être supprimés accidentellement ou perdus pour d’autres raisons.

Sa capacité à être personnalisé via des signatures de fichiers le rend extrêmement flexible et adapté à de nombreux scénarios de récupération de données. Que ce soit pour des raisons personnelles, professionnelles ou légales, Scalpel offre une solution efficace pour retrouver des fichiers perdus ou effacés.

Comment fonctionne Scalpel

C’est un utilitaire de récupération de données disponible en ligne de commandes.

Scalpel peut détecter de nombreux types de fichiers différents. Le système de fichiers avec lequel le disque a été formaté n’a pas d’importance : Scalpel utilise une base de données avec des en-têtes et des pieds de page pour différents types de fichiers afin de tracer les fichiers.

La première fois que vous exécutez Scalpel, il recherche les en-têtes et stocke ses résultats dans une base de données ; ensuite, il identifie les pieds de page. Ce faisant, Scalpel tient toujours compte du fait qu’un en-tête est toujours suivi d’un pied de page, ce qui accélère agréablement la recherche. Vous disposez à présent d’un index avec les positions des en-têtes et des pieds de page, qui constitue la base de la deuxième exécution. Cette fois, Scalpel fait correspondre les en-têtes et les pieds de page et écrit les fichiers qu’il a trouvés directement dans un nouvel emplacement de la mémoire, sans avoir à accéder à nouveau au disque.

Les fichiers récupérés sont placés dans un sous-répertoire correspondant à leur extension afin de rassembler les types de fichiers.

Comment installer Scalpel

Il est disponible sur les dépôts de la plupart des distribution Linux, ce qui le rend très simple à installer.

Pour installer sur une distribution à base de Debian, Ubuntu, Linux Mint, etc :

sudo apt-get install scalpel

Du côté de Redhat :

sudo yum install scalpel

Comment utiliser Scalpel pour récupérer des fichiers sur Linux

Configuration

Le fichier de configuration de Scalpel se trouve généralement dans /etc/scalpel/scalpel.conf.
Ce fichier de configuration contient les tailles minimale et maximale des fichiers, y compris les en-têtes et les pieds de page, ainsi que les types de fichiers à rechercher.
En général, les distributions Linux fournissent un fichier de configuration pré-remplis, ce qui facilite les choses.
Vous devez éditer ce fichier pour spécifier les types de fichiers que vous souhaitez récupérer.

Par exemple, pour récupérer des fichiers JPEG, vous pouvez décommenter la ligne correspondante :

#jpeg y 5000000 \xff\xd8\xff\xe0\x00\x10 \xff\xd9 

Ce qui nous donne :

jpeg y 5000000 \xff\xd8\xff\xe0\x00\x10 \xff\xd9

Décommettez les autres lignes avec les extensions de fichiers qui vous intéresse.

Trouver les fichiers supprimés ou perdus

Pour lancer une récupération de fichiers, vous utilisez la commande de la manière suivante :

sudo scalpel /dev/sdX -o /chemin/vers/repertoiresortie

Remplacez /dev/sdX par le disque ou l’image de disque que vous souhaitez analyser, et /chemin/vers/repertoire par le répertoire où vous voulez sauvegarder les fichiers récupérés.

mkdir /tmp/recuperation
sudo scalpel /dev/sda1 -o /tmp/recuperation

Vous pouvez aussi utiliser scalpel sur une image de disque que vous avez préalablement créé, par exemple avec l’utilitaire dd.

scalpel -o ~/scalped ~/disque-linux.img

Analyse des résultats

Après l’exécution, Scalpel crée un rapport détaillé des fichiers récupérés dans le fichier audit.txt, avec des informations sur leur type et leur emplacement d’origine. Vous pouvez consulter ces résultats pour vérifier la réussite de la récupération.

Puis un sous-dossier avec l’extension de fichiers est créé et les fichiers récupérés s’y trouvent.

Liens

Comment retrouver/récupérer un fichier supprimé sur Linux

• ddrescue : Comment récupérer les données d’un disque endommagé
• Photorec : récupérer des fichiers supprimés sur Linux
• Testdisk : Comment récupérer une partition supprimée ou perdue
• Dr.Parted Live : Live USB récupération de données et utilitaires de de disque

• Vérifier la santé de son disque dur sur Linux
• Réparer et isoler les secteurs défectueux d’un disque
• Cloner un disque (HDD, SSD) avec Linux
• Ubuntu : comment passer un utilisateur en administrateur
• Sudo : comment utiliser le configurer sudoers sur Linux (Debian, Ubuntu, Mint …)
• Récupérer données lorsque Windows est planté

L’article Scalpel : récupérer des fichiers sur Linux est apparu en premier sur malekal.com.