09 juillet 2014

Récupération de données

J'ai déjà fait part ici même plusieurs fois des techniques que j'utilise pour récupérer des données dans le cadre de mes expertises judiciaires.

Je vous propose aujourd'hui une méthode assez simple qui m'a permis de récupérer tout un ensemble d'images, de films et de musiques d'un ami bien en peine de voir son disque dur tomber en panne. Lisez bien l'ensemble du billet avant de commencer, entraînez vous sur un vieux disque, essayez de comprendre les différents paramètres de chaque commande pour les adapter à votre cas. Je ne suis pas responsable des problèmes que vous allez générer... (mais je compatis ;-)

Conditions :
Vous êtes rendu destinataire d'un disque dur illisible, mais qui semble fonctionner correctement : vous pouvez le brancher sur un ordinateur, vous l'entendez démarrer sans bruit suspect, sans odeur particulière, mais le système d'exploitation ne le voit pas, ne le détecte pas ou ne retrouve aucune donnée.

Matériels :
J'utilise deux ordinateurs. Le premier sera celui dans lequel sera placé le disque dur illisible. Vous devez être capable de le faire démarrer sur CD, DVD ou clef USB. Le deuxième ordinateur est sous Windows et dispose de suffisamment d'espace disque pour pouvoir stocker une image du disque que vous allez récupérer. Les deux ordinateurs sont branchés sur le même réseau.

Logiciels :
- la distribution DEFT que vous placerez sur CD, DVD ou clef USB
- le logiciel PhotoRec que vous téléchargerez en choisissant la bonne version de Windows (32 ou 64 bits).
- un répertoire appelé "partage" sur l'ordinateur Windows et configuré de manière à être accessible en écriture avec le compte windows "zythom"

Procédure :

- Placez le disque dur illisible dans le premier ordinateur

- Bootez le sur la distribution DEFT

- Puis tapez les commandes :
#mkdir   /root/tempo
(création d'un répertoire provisoire en mémoire vive dans /root)
#mount  -t cifs  -o username=zythom   /root/tempo    192.168.0.1/partage
où 192.168.0.1 est l'adresse IP de l'ordinateur Windows.

- Tapez ensuite la commande :
#dd_rescue   /dev/sda  /root/tempo/image.dd
où "/dev/sda" doit être le device correspondant à votre disque dur illisible (à adapter selon votre configuration).

- Patientez quelques minutes ou quelques heures (ou quelques jours), en fonction de la taille de votre disque dur.

- Quand la commande est terminée, vous pouvez éteindre l'ordinateur n°1. Vous devez disposer d'une image bit à bit du disque dur illisible sur votre ordinateur n°2, celui sous Windows, dans le répertoire "partage", sous le nom "image.dd". Cette image peut être exploitée par différents logiciels pour y récupérer les données, en particulier photorec.

- Sur l'ordinateur n°2, dans une fenêtre de lignes de commandes, tapez la commande : photorec  image.dd

- Suivez les indications du logiciel PhotoRec et laissez le extraire toutes les données qu'il reconnaît.

- Envoyez ensuite vos dons au créateur du logiciel,par exemple en regardant les dates et origines de vos pièces de la zone euro ;-)

Si ma technique ne fonctionne pas, parlez en avec un informaticien et ne vous découragez pas : il y a plein d'autres méthodes permettant de récupérer les données. Seul conseil valable dans tous les cas : n'utilisez plus le disque dur, vous risquez d'effacer définitivement les données que vous essayez de récupérer.

Bon courage.

4 commentaires:

  1. pour ma part j'ai beaucoup plus de succès en faisant un clone de disque à disque avec ddrecue, exemple:
    #dd_rescue /dev/sda /dev/sdb --force
    la copie est dans la majorité des cas beaucoup plus rapide(je suis déjà passé de 1 journée à 3h),
    par contre il vaux mieux éviter de ce trompé de disque (fdisk -l obligatoire, vérifier 2 fois ...)
    dans d'autre cas j'ai plus de résultat avec testdisk > advanced > sélection de la partition > list > on copie ce que l'on souhaite
    pour la récupération des donnée, en plus de photorec j'utilise le logiciel Rstudio (gratuit pour les système de fichier linux) qui permet de reconstituer les répertoires et les nom des fichiers (comme beaucoup d'autre logiciel payant)

    tous dépend de la panne, le tous est d'adopté la bonne solution

    RépondreSupprimer
  2. Bonjour Zythom,
    J'ai eu l'occasion de croiser une panne similaire. Disque dur externe usb débranché à la va-vite, sans éjection propre, certainement pendant une opération d'écriture... Après avoir procédé à l'extraction des données, l'excellent logiciel Testdisk (de Christophe Grenier, auteur de Photorec, qui mérite la béatification de son vivant pour le nombre de services rendus par ses logiciels) a permis de restaurer lesbinformations de la partition originale et au disque de reprendre du service comme en 40.
    A bientôt.

    RépondreSupprimer
  3. dd_rescue ou ddrescue, suovant les blogs qu'on consulte les avis diverges, dans la doc deft il utilise ddrescue et il semble que ce soit l'outil à priviligier par rapport a dd_rescue ? Tout ceci me pertube, ou alos il faut utiliser dcfldd ?














    RépondreSupprimer
  4. Il faudrait peut-être insister sur le fait que ce type de manip a beaucoup plus de chances de fonctionner sur un HDD classique qu'un SSD: Ces derniers font beaucoup de choses en tâche de fond (pré-effacer les secteurs correspondant aux blocs libérés, gérer l'usure uniforme en bougeant des blocs physiques très utilisés) liées au fait qu'il faut effacer un secteur de flash avant d'y écrire (ne serait-ce qu'un bit, contrairement à un HDD) et que le nb d'effacements est limité (de quelques milliers seulement sur des SSD bas de gamme à 100k sur des SLC haut de gamme). Ajoutons la perte des données dans le temps, qui oblige à les bouger/ré-ecrire périodiquement (un SSD jamais utilisé a des chances d'avoir perdu ses données en moins d'un an, parfois moins pour des modèles pro jamais censés être arrêtés).
    Tout ce travail en tâche de fond, dès que le SSD est alimenté, gênera toute récupération fiable.
    Sans même parler des cas ou le firmware se plante (généralement quand il s'emmêle les tableaux de pointeurs blocs physiques/logiques servant à ses jeux de chaises musicales de blocs derrière le dos du système de fichiers du PC, par exemple sur perte d'alim brutale)...
    Pour ses photos, une raison de plus (au delà du prix/Go) de préférer un HDD plutôt qu'un SSD!
    Cela doit d'ailleurs parfois gêner les expertises, avec leur diffusion croissante.

    RépondreSupprimer

Lectrice, admiratrice, avocate, magistrate, programmeuse, dessinatrice, chère consœur, femmes de tous les pays, lecteur, j'ai toute confiance en vous pour prendre bien soin de vérifier que votre prose est compatible avec les normes orthographiques et grammaticales en vigueur. Et si vous pouviez éviter les propos insultants ou haineux, je vous en serais reconnaissant.
N'hésitez pas à respecter ces quelques règles qui peuvent même s'appliquer en dehors de ce blog.

Les commentaires sur ce blog sont modérés. Votre message apparaîtra sur le blog dès que le modérateur l'aura approuvé. Merci de votre patience.