Exemples de Récupération de données

From CGSecurity
Jump to navigation Jump to search

En.png English De.png Deutsch Es.png Español Fr.png Français Ru.png Русский


Voici quelques exemples complexes de récupération de données sous TestDisk.

Le système de fichiers est de type RAW - Récupération d'un secteur d'amorçage FAT endommagé

Analyse Disk 80 - CHS 3737 255 63 - 29313 MB (Enh BIOS mode)
1 * FAT32                    0   1  1   382 254 63    6152832 [LOKAL DISK]
2 E extended LBA           383   0  1  3736 254 63   53882010
Partition sector doesn't have the endmark 0xAA55
5 L FAT32                  383   1  1  3736 254 63   53881947
5 L FAT32                  383   1  1  3736 254 63   53881947

Le boot sector (secteur d'amorçage) de la partition FAT32 logique est endommagé : le message d'erreur de Windows est habituellement The type of the file system is RAW ("Le type de système de fichiers est RAW") ou The disk in drive D is not formatted. Do you want to format it now ? ("Le disque D n'est pas formaté. Souhaitez-vous le formater maintenant?").

En mode avancé (Advanced), sélectionner la partition: 

Interface Advanced
1 * FAT32                    0   1  1   382 254 63    6152832 [LOKAL DISK]
2 E extended LBA           383   0  1  3736 254 63   53882010

5 L FAT32                  383   1  1  3736 254 63   53881947
Boot sector
test_FAT :
Partition sector doesn't have the endmark 0xAA55
Backup boot sector
OK
First sectors (Boot code and partition information) are not identical.
Second sectors (cluster information) are not identical.
Third sectors (Second part of boot code) are not identical.

Le secteur d'amorçage de sauvegarde (backup boot sector) est valide, choisissez Backup BS pour copier le backup boot sector sur le boot sector. Si Backup BS n'est pas disponible, choisissez RebuildBS.

Récupération d'une partition NTFS perdue et endommagée

Analyse Disk 81 - CHS 2434 255 63 - 19092 MB (Enh BIOS mode)
No partition is bootable

Aucune partition disponible. 

Analyse Disk 81 - CHS 2434 255 63 - 19092 MB (Enh BIOS mode)
L FAT32                 1275   1  1  2433 254 63   18619272 [NO NAME]

Seule la seconde partition a été trouvée après Quick Search. Choisissez Deeper Search pour essayer de trouver plus de partitions. 

Analyse Disk 81 - CHS 2434 255 63 - 19092 MB (Enh BIOS mode)
* HPFS - NTFS              0   1  1  1274 254 63   20482812
L FAT32                 1275   1  1  2433 254 63   18619272 [NO NAME]

Les deux partitions ont été trouvées, mais la première partition NTFS a été trouvée en utilisant backup boot sector, nous devons restaurer le boot sector. Choisissez Write puis Backup BS pour copier le backup boot sector sur le boot sector.

Récupération sur un ordinateur Dell

Sur un ordinateur Dell, il existe une partition spéciale appelée DellUtility. C'est une partition FAT16 invisible pour Windows puisque son type de partition est DE. 

Disk 80 - CHS 4865 255 63 - 38162 MB (Enh BIOS mode)
* FAT16 >32M               0   1  1     3 254 63      64197 [DellUtility]
P HPFS - NTFS              4   0  1  4864 254 63   78091965

Après Analyse, sélectionnez la partition DellUtility, utilisez 'T' pour changer le type de partition en DE. Utilisez la toucher flèche pour démarrer sur la partition NTFS. 

Disk 80 - CHS 4865 255 63 - 38162 MB (Enh BIOS mode)
P Dell Utility             0   1  1     3 254 63      64197 [DellUtility]
* HPFS - NTFS              4   0  1  4864 254 63   78091965

Problème de géométrie du disque - Toutes les partitions sont effacées

Dans ce cas, toutes les partitions ont été effacées. TestDisk ne montre aucune partition! L'utilisateur a lancé testdisk /debug /log. Voici un extrait de testdisk.log 

Analyse Disk /dev/hdb - CHS 5169 240 63 - 38161 MB
No partition is bootable
search_part()
Disk /dev/hdb - CHS 5169 240 63 - 38161 MB
FAT32 at 0/1/1
heads/cylinder 255 (FAT) != 240 (HD)

Une partition FAT32 a été trouvée mais il y a un avertissement concernant la géométrie du disque dur. Le BIOS a choisi une autre géométrie pour le disque à cause du contenu du MBR (vide dans ce cas). Sous TestDisk, choisissez 'geometry', fixez le nombre de têtes à 255 au lieu de 240 et lancez de nouveau Analyse.

Deux partitions FAT32 à récupérer

Il y avait deux partitions FAT32 sur le disque dur mais elles ont été effacées. Après avoir lancé Analyse, Quick Search et même Deeper Search, TestDisk a trouvé seulement la deuxième partition. 

Disk 81 - CHS 525 255 63 - 4118 MB
L FAT32                  384   1  1   524 254 63    2265102

En utilisant A pour ajouter ce que nous pensions être la partition manquante, une nouvelle table de partition a été écrite avec deux FAT32: 

1 P FAT32                    0   1  1   383 254 63    6168897
2 E extended               384   0  1   524 254 63    2265165
5 L FAT32                  384   1  1   524 254 63    2265102

En utilisant Advanced, Boot, RebuildBS, nous avons tenté de reconstruire le secteur d'amorçage de la première FAT32. Avec List, il a été possible de voir un listing des fichiers du répertoire racine mais aussi beaucoup de déchets... Rien n'a été écrit. Dans le fichier log (disponible en mode Expert), nous pouvons voir que 4 copies de FAT32 ont été trouvées: 

FAT32 at 32(0/1/33), nbr=123
FAT32 at 8221(0/131/32), nbr=123
FAT32 at 16097(1/1/33), nbr=1234
FAT32 at 22100(1/96/51), nbr=1234

Normalement, seulement deux copies de FAT doivent être trouvées. Ce sont des données restantes de deux partitions FAT32 différentes: une commençant à 0/1/1, la seconde à 1/1/1. Nous avons fait une erreur. Cette fois, nous avons ajouter la bonne partition et l'avons écrite. 

1 E extended                 1   0  1   524 254 63    8418060
5 L FAT32                    1   1  1   383 254 63    6152832
6 L FAT32                  384   1  1   524 254 63    2265102

Avec RebuildBS (Advanced/Boot), nous avons été capables de reconstruire le boot sector avec succès.

Partition perdue après une défragmentation

Après voir lancer une défragmentation sur la première partition, la seconde FAT32 a disparu. Lors de la vérification de la table de partition, TestDisk détecte un problème avec la première partition, mais aucune partition logique. 

Disk 81 - CHS 1245 255 63 - 9766 MB
check_FAT: Incorrect size of partition
 1 * FAT32 LBA                0   1  1   746 254 63   12000492
 1 * FAT32 LBA                0   1  1   746 254 63   12000492
 2 E extended               747   0  1  1244 254 63    8000370

TestDisk a été capable de trouver la première partition mais cette partition est plus grande d'un secteur par rapport à la véritable partition. La défragmentation a écrasé le début de la partition étendue, effaçant l'entrée de la partition logique. 

* FAT32                    0   1  1   747 254 63   12016557 [D DRIVE]
D Linux                 1023   1  1  1244 254 63    3566367

L'utilisateur a choisi de récupérer uniquement la partition FAT32. Après une sauvegarde de ses données, il a réduit la FAT32 pour utiliser un secteur de moins. Il est maintenant temps de récupérer la seconde partition. L'utilisateur a manuellement ajouter l'entrée de la seconde partition. 

 1 * FAT32                    0   1  1   746 254 63   12000492 [D DRIVE]
 2 E extended LBA           747   0  1  1244 254 63    8000370
 5 L FAT32                  747   1  1  1244 254 63    8000307

Dans Advanced, sélectionnez la seconde FAT32 puis RebuildBS. Après un redémarrage et une petite vérification du système de fichiers, les données étaient de nouveau disponibles.

Récupération d'une session d'un CD-ROM

Avec des CD-ROM multi-sessions, il est possible d'effacer des fichiers d'une session précédente. Du fait que les fichiers ne sont pas vraiment effacés, il est possible de les récupérer. Pour lire les fichiers de la première session, lancez sous Linux 

mount /dev/cdrom /mnt/cdrom -t iso9660  -o session=0


Retour à la page principale de TestDisk.

Retrieved from "https://www.cgsecurity.org/mw/index.php?title=Exemples_de_Récupération_de_données&oldid=6404"