in

Récupérer des données comme un expert en criminalistique à l’aide d’un CD Ubuntu Live

Il existe de nombreux utilitaires pour récupérer des fichiers supprimés, mais que se passe-t-il si vous ne pouvez pas démarrer votre ordinateur ou si tout le lecteur a été formaté? Nous allons vous montrer quelques outils qui vont creuser profondément et récupérer les fichiers supprimés les plus insaisissables, ou même des partitions entières de disque dur.

Nous vous avons montré des moyens simples de récupérer des fichiers supprimés accidentellement, même une méthode simple qui peut être effectuée à partir d’un CD Ubuntu Live, mais pour les disques durs qui ont été fortement corrompus, ces méthodes ne vont pas le couper. Dans cet article, nous examinerons quatre outils capables de récupérer les données des disques durs les plus en désordre, qu’ils aient été formatés pour un ordinateur Windows, Linux ou Mac, ou même si la table de partition est entièrement effacée.

Notre configuration

Pour montrer ces outils, nous avons configuré un petit disque dur de 1 Go, avec la moitié de l’espace partitionné en ext2, un système de fichiers utilisé sous Linux, et la moitié de l’espace partitionné en FAT32, un système de fichiers utilisé dans les anciens systèmes Windows. Nous avons stocké dix images aléatoires sur chaque disque dur.

Nous avons ensuite effacé la table de partition du disque dur en supprimant les partitions dans GParted.

Nos données sont-elles perdues à jamais?

Installation des outils

Tous les outils que nous allons utiliser se trouvent dans le référentiel d’Ubuntu.

Pour activer le référentiel, ouvrez Synaptic Package Manager en cliquant sur System en haut à gauche, puis Administration> Synaptic Package Manager.

Cliquez sur Paramètres> Référentiels et ajoutez une coche dans la case intitulée «Logiciel Open Source géré par la communauté (univers)».

Cliquez sur Fermer, puis dans la fenêtre principale de Synaptic Package Manager, cliquez sur le bouton Recharger. Une fois la liste des packages rechargée et l’index de recherche reconstruit, recherchez et marquez pour l’installation un ou tous les packages suivants: disque de test, avant toute chose, et scalpel.

Testdisk inclut TestDisk, qui peut récupérer des partitions perdues et réparer les secteurs de démarrage, et PhotoRec, qui peut récupérer de nombreux types de fichiers à partir de tonnes de systèmes de fichiers différents.

Avant toute chose, initialement développé par l’US Air Force Office of Special Investigations, récupère les fichiers en fonction de leurs en-têtes et d’autres structures internes. Foremost fonctionne sur des disques durs ou des fichiers image de lecteur générés par divers outils.

Pour terminer, scalpel remplit les mêmes fonctions que le premier, mais se concentre sur des performances améliorées et une utilisation moindre de la mémoire. Scalpel peut mieux fonctionner si vous avez une machine plus ancienne avec moins de RAM.

Récupérer les partitions du disque dur

Si vous ne pouvez pas monter votre disque dur, sa table de partition est peut-être corrompue. Avant de commencer à essayer de récupérer vos fichiers importants, il peut être possible de récupérer une ou plusieurs partitions sur votre disque, en récupérant tous vos fichiers en une seule étape.

Testdisk est l’outil pour le travail. Démarrez-le en ouvrant un terminal (Applications> Accessoires> Terminal) et en saisissant:

sudo testdisk

Si vous le souhaitez, vous pouvez créer un fichier journal, bien que cela n’affecte pas la quantité de données que vous récupérez. Une fois que vous avez fait votre choix, vous êtes accueilli avec une liste des supports de stockage sur votre machine. Vous devriez être en mesure d’identifier le disque dur à partir duquel vous souhaitez récupérer des partitions par sa taille et son étiquette.

TestDisk vous demande de sélectionner le type de table de partition à rechercher. Dans la plupart des cas (ext2 / 3, NTFS, FAT32, etc.), vous devez sélectionner Intel et appuyer sur Entrée.

Mettez en surbrillance Analyser et appuyez sur Entrée.

Dans notre cas, notre petit disque dur a déjà été formaté en NTFS. Étonnamment, TestDisk trouve cette partition, bien qu’il ne puisse pas la récupérer.

Il trouve également les deux partitions que nous venons de supprimer. Nous pouvons modifier leurs attributs ou ajouter plus de partitions, mais nous allons simplement les récupérer en appuyant sur Entrée.

Si TestDisk n’a pas trouvé toutes vos partitions, vous pouvez essayer de faire une recherche plus approfondie en sélectionnant cette option avec les touches fléchées gauche et droite. Nous n’avions que ces deux partitions, nous les récupérerons donc en sélectionnant Ecrire et en appuyant sur Entrée.

Testdisk nous informe que nous devrons redémarrer.

Après le redémarrage, nos deux partitions sont de retour à leurs états d’origine, images et tout.

Récupérer des fichiers de certains types

Pour les exemples suivants, nous avons supprimé les 10 images des deux partitions, puis les avons reformatées.

PhotoRec

Des trois outils que nous montrerons, PhotoRec est le plus convivial, bien qu’il s’agisse d’un utilitaire basé sur une console. Pour commencer à récupérer des fichiers, ouvrez un terminal (Applications> Accessoires> Terminal) et saisissez:

sudo photorec

Pour commencer, vous êtes invité à sélectionner un périphérique de stockage à rechercher. Vous devriez être en mesure d’identifier le bon appareil par sa taille et son étiquette. Sélectionnez le bon appareil, puis appuyez sur Entrée.

PhotoRec vous demande de sélectionner le type de partition à rechercher. Dans la plupart des cas (ext2 / 3, NTFS, FAT, etc.), vous devez sélectionner Intel et appuyer sur Entrée.

Vous recevez une liste des partitions sur votre disque dur sélectionné. Si vous souhaitez récupérer tous les fichiers sur une partition, sélectionnez Rechercher et appuyez sur Entrée.

Cependant, ce processus peut être très lent et, dans notre cas, nous voulons uniquement rechercher des fichiers d’images, nous utilisons donc la touche fléchée droite pour sélectionner File Opt et appuyez sur Entrée.

PhotoRec peut récupérer de nombreux types de fichiers différents, et la désélection de chacun d’entre eux prendrait beaucoup de temps. Au lieu de cela, nous appuyons sur «s» pour effacer toutes les sélections, puis trouvons les types de fichiers appropriés – jpg, gif et png – et les sélectionnons en appuyant sur la touche fléchée droite.

Une fois que nous avons sélectionné ces trois, nous appuyons sur «b» pour enregistrer ces sélections.

Appuyez sur Entrée pour revenir à la liste des partitions du disque dur. Nous voulons rechercher nos deux partitions, nous mettons donc en surbrillance «Aucune partition» et «Rechercher», puis appuyez sur Entrée.

PhotoRec demande un emplacement pour stocker les fichiers récupérés. Si vous avez un autre disque dur sain, nous vous recommandons d’y stocker les fichiers récupérés. Comme nous ne récupérons pas beaucoup, nous le stockerons sur le bureau de l’Ubuntu Live CD.

PhotoRec est capable de récupérer les 20 images des partitions de notre disque dur!

Un rapide coup d’œil dans le répertoire recup_dir.1 qu’il crée confirme que PhotoRec a récupéré toutes nos images, à l’exception des noms de fichiers.

Avant toute chose

Foremost est un programme de ligne de commande sans interface interactive comme PhotoRec, mais offre un certain nombre d’options de ligne de commande pour obtenir autant de données que possible de votre lecteur.

Pour une liste complète des options pouvant être modifiées via la ligne de commande, ouvrez un terminal (Applications> Accessoires> Terminal) et saisissez:

avant tout –h

Dans notre cas, les options de ligne de commande que nous allons utiliser sont:

  • -t, une liste de types de fichiers séparés par des virgules à rechercher. Dans notre cas, il s’agit de «jpeg, png, gif».
  • -v, activant le mode verbeux, nous donnant plus d’informations sur ce que fait avant tout.
  • -o, le dossier de sortie dans lequel stocker les fichiers récupérés. Dans notre cas, nous avons créé un répertoire appelé «avant tout» sur le bureau.
  • -i, l’entrée qui sera recherchée pour les fichiers. Cela peut être une image disque dans plusieurs formats différents; cependant, nous utiliserons un disque dur, / dev / sda.

Notre principale invocation est:

sudo avant tout –t jpeg, png, gif –o avant tout –v –i / dev / sda

Votre appel sera différent en fonction de ce que vous recherchez et de l’endroit où vous le recherchez.

Foremost est capable de récupérer 17 des 20 fichiers stockés sur le disque dur.

En regardant les fichiers, nous pouvons confirmer que ces fichiers ont été récupérés relativement bien, bien que nous puissions voir des erreurs dans la vignette pour 00622449.jpg.

Cela peut être dû en partie au système de fichiers ext2. Foremost recommande d’utiliser l’option de ligne de commande –d pour les systèmes de fichiers Linux comme ext2.

Nous exécuterons à nouveau avant tout, en ajoutant l’option de ligne de commande –d à notre principale invocation:

sudo avant tout –t jpeg, png, gif –d –o avant tout –v –i / dev / sda

Cette fois, avant tout, il est capable de récupérer les 20 images!

Un dernier regard sur les images révèle que les images ont été récupérées sans problème.

Scalpel

Scalpel est un autre programme puissant qui, comme Foremost, est fortement configurable. Contrairement à Foremost, Scalpel vous oblige à modifier un fichier de configuration avant de tenter toute récupération de données.

N’importe quel éditeur de texte fera l’affaire, mais nous utiliserons gedit pour modifier le fichier de configuration. Dans une fenêtre de terminal (Applications> Accessoires> Terminal), saisissez:

sudo gedit /etc/scalpel/scalpel.conf

scalpel.conf contient des informations sur un certain nombre de types de fichiers différents. Faites défiler ce fichier et décommentez les lignes commençant par un type de fichier que vous souhaitez récupérer (c’est-à-dire supprimez le caractère «#» au début de ces lignes).

Enregistrez le fichier et fermez-le. Revenez à la fenêtre du terminal.

Scalpel a également une tonne d’options de ligne de commande qui peuvent vous aider à rechercher rapidement et efficacement; cependant, nous allons simplement définir le périphérique d’entrée (/ dev / sda) et le dossier de sortie (un dossier appelé «scalpel» que nous avons créé sur le bureau).

Notre invocation est:

scalpel sudo / dev / sda –o scalpel

Scalpel est capable de récupérer 18 de nos 20 fichiers.

Un rapide coup d’œil aux fichiers récupérés par le scalpel révèle que la plupart de nos fichiers ont été récupérés avec succès, bien qu’il y ait eu quelques problèmes (par exemple 00000012.jpg).

Conclusion

Dans notre exemple de jouet rapide, TestDisk a pu récupérer deux partitions supprimées, et PhotoRec et Foremost ont pu récupérer les 20 images supprimées. Scalpel a récupéré la plupart des fichiers, mais il est très probable que jouer avec les options de ligne de commande pour scalpel nous aurait permis de récupérer les 20 images.

Ces outils vous sauvent des vies en cas de problème avec votre disque dur. Si vos données se trouvent quelque part sur le disque dur, l’un de ces outils les retrouvera!

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Comment créer des graphiques à secteurs animés dans PowerPoint

Comment activer temporairement les agrandissements du dock sous OS X

Comment activer temporairement les agrandissements du dock sous OS X