Comment faire de la récupération de données (hdd, ssd, clef usb etc…)
Dans mon métier, je croise ENORMEMENT de personnes qui se retrouve dans la sauce car leur PC, hdd ou autres stockage externe se retrouve en carafe et forcément, ils n’ont pas fait leur PUTIN de SAUVEGARDE, et donc viennent me voir et me demande mon aide. J’entame donc tout un process de récupération de données que je vais vous décrire ici, fonctionnant sur Linux (via la distrib a Tonton ) . Attention, ce n’est pas une méthode universel, il existe différentes façons, techniques et outils pour faire cela mais moi c’est comme ça que je procède.
1. Vulgairement, comment c’est foutu ?
Voici une représentation « vulgaire » de l’organisation d’un disque dur
On retrouve donc :
- Table des partitions (MBR, GPT etc …) c’est la qu’est stocké les informations concernant la taille des partitions et leur positionnement (et quelques autres trucs…).
- La ou les partitions. Dans le schéma on retrouve 2 partition, une en bleu et une en verte ( le lecteur C: et le D: sur le même disque par exemple, pour les Windoziens )
- La table d’allocation des fichiers, en gros c’est la ou se trouve les informations de la position des fichier dans la partition (et donc sur le disque). C’est un peu comme le sommaire d’un livre qui donne le numéro de page ou se trouve les articles.
- Le contenu, la ou se trouve les données dans un gros bordel organisé.
2. Déterminer ce qui ne vas pas.
Selon le problème, plusieurs chemins sont possibles. Cela va de la table de partition qui a sauté, de la table d’allocation des fichier qui est corrompue en passant par des secteurs défectueux et j’en passe. Le cas du » j’ai effacé mon fichier et j’ai vidé la corbeille » passe par un petit « CHEH » de ma part car il faut quand même être étourdi pour en arriver la, néanmoins c’est potentiellement rattrapable selon les système de fichier et les outils utilisé mais je ne m’attarderais pas sur ce cas (ont peut retrouver le fichier avec un scan complet du disque par exemple, voir plus loin dans le post).
Déjà en premier lieu, voir ou on met les pieds. Sous linux avec Gnome-disks , on peut voir l’état des partitions et si le SMART rapporte des défaillances concernant le disque. Je vous invite a jeter un œil sur un de mes précédent post concernant le tests des disques durs. Si aucune défaillance matériel n’est constaté et que le disque est reconnu correctement, c’est plutôt bon signe pour la suite. Si celui-ci est invisible et/ou fait des bruits bizarres (claquement, gros ronronnement etc…) laissez tombé et contactez une société spécialisé (type Recoveo).
Si le disque est reconnu mais qu’il présente des défaillances « mineurs » (genre « quelques » secteurs défectueux ou autres petits trucs bizarre) , la suite peu être tenté mais cela risque de l’endommager encore plus.
3.TestDisk https://www.cgsecurity.org/wiki/TestDisk
TestDisk est une application capable de retrouver et/ou réparer des partitions perdu/endommagé si le problème se trouve principalement dans les zone 1 et/ou 2 (rouge et bleu). Il permet aussi de faire une image de votre disque/partition sur un disque sain afin de pouvoir bosser correctement dessus (ce que je recommande fortement de faire !!!!). La création de l’image disque peut être très longue surtout si le disque présente des défaillances. C’est très long mais nécessaire car bosser directement sur un disque défaillant risquerai de l’abîmé définitivement et tchao les données.
Quand ont va lancer TestDisk, il va nous demander de sélectionner le lecteur en question et ensuite on arrivera ici :
- Analyse : Va servir a chercher et récupérer/réparer une partition perdu ou endommagé. Soit il va la trouver rapidement et réécrire la table des partition, soit faire un DeepScan (scan profond) secteur par secteur pour essayé de la retrouver (très long…).
- Advanced : Changer le type de partition ou faire une image disque/partition sur un autre support sain pour pourvoir travailler dessus. Dans certains cas, on peut récupéré des fichiers effacé en passant par la (FAT, NTFS dans certains cas…)
- Geometry : N’y allez pas si vous savez pas ce que vous faites ….
Encore une fois, je conseille énormément de faire une image disque avant de faire quoi que ce soit. L’image disque/partition va permettre aussi de passer a la deuxième étape si Testdisk n’a pas encore pu vous sauver.
4. Photorec https://www.cgsecurity.org/wiki/PhotoRec
Alors lui, sont boulot est de récupérer au possible les fichiers stocké dans la zone 4 (jaune) de notre schéma. Il va scanner l’ensemble de la partition afin d’essayé de trouver tout ce qu’il peut comme fichier qui lui est connu. C’est très long et encore plus si le disque est endommagé.
Après avoir lancer Photorec, il nous demande sur quel lecteur on veut bosser, la partition où faire la recherche, le type de système de fichier, la destination où il va extraire les fichiers trouvé et enfin lancer la recherche. Pour utiliser Photorec sur une image disque crée par Testdisk, il faut l’executer comme ceci : » photorec image.dd » .
Quand c’est fini, vous pouvez allez voir ce qui a pu être récupéré. Oubliez le nom des fichiers ou les répertoires, c’est un bordel ! Sont boulot est de récupérer des fichiers, c’est tout! Donc c’est le moment de trié. Ne vous étonnez pas si certains fichier ne fonctionne pas ou si il il n’est pas complet, surement que le fichier en question était fragmenté sur le disque ( en plusieurs morceaux a des endroits différent ) , quand on fait de la récupération de données, on prend ce qu’ont nous donne et on fait avec, il n’y a pas de miracle. Si le stockage est endommagé, aucun logiciel ne peut « recréer » des données perdu…
5. DiskDigger https://diskdigger.org/
DiskDigger fait exactement le même boulot que PhotoRec mais avec une interface graphique. Pour pouvoir l’utiliser sur Linux, il faut installer Mono » sudo apt install mono* « et ensuite l’exécuter avec la commande » sudo mono DiskDigger.exe « .
L’avantage de DiskDigger hormis qu’il soit « graphique », c’est qu’on a un aperçu de la récupération en temps réel et qu’a l’extraction, on il peut trier les fichier par type, très pratique. ATTENTION, ce n’est pas un logiciel libre !!!!
6. Conclusion
Donc en résumé, je détermine le niveau d’emmerdes où je met les pieds, ensuite si je me lance je fait une image disque ou partition sur un disque sain et enfin je bosse sur l’image afin de soit réparer la partition ou le système de fichier, soit faire un scan de surface pour récupéré le plus de données possible. Les outils que je présente ici sont ceux que j’utilise le plus mais il en existe d’autres plus ou moins efficace mais dans l’ensemble, le principe de fonctionnement reste le même.