Page d'accueil » comment » Récupérer des données comme un expert en criminalistique à l'aide d'un Live CD Ubuntu

    Récupérer des données comme un expert en criminalistique à l'aide d'un Live CD Ubuntu

    Il existe de nombreux utilitaires pour récupérer les fichiers supprimés, mais que se passe-t-il si vous ne pouvez pas démarrer votre ordinateur ou si le lecteur entier a été formaté? Nous allons vous montrer quelques outils qui vont creuser en profondeur et récupérer les fichiers supprimés les plus insaisissables, ou même des partitions entières de disques durs..

    Nous vous avons montré des moyens simples de récupérer des fichiers supprimés accidentellement, même une méthode simple pouvant être effectuée à partir d'un Live CD Ubuntu, mais pour les disques durs fortement endommagés, ces méthodes ne le réduiront pas. Dans cet article, nous allons examiner quatre outils capables de récupérer des données sur les disques durs les plus endommagés, qu'ils aient été formatés pour un ordinateur Windows, Linux ou Mac, ou même si la table de partitions est entièrement effacée..

    Remarque: Ces outils ne peuvent pas récupérer les données écrasées sur un disque dur. Le remplacement d'un fichier supprimé dépend de nombreux facteurs. Plus vous réalisez rapidement que vous souhaitez récupérer un fichier, plus vous serez en mesure de le faire..

    Notre configuration

    Pour montrer ces outils, nous avons configuré un petit disque dur de 1 Go, avec la moitié de l'espace partitionné en tant que ext2, un système de fichiers utilisé sous Linux, et la moitié de l'espace partitionné en tant que FAT32, un système de fichiers utilisé dans les anciens systèmes Windows. Nous avons stocké dix images aléatoires sur chaque disque dur.

    Nous avons ensuite effacé la table des partitions du disque dur en supprimant les partitions dans GParted.

    Nos données sont-elles perdues à jamais??

    Installer les outils

    Tous les outils que nous allons utiliser sont dans Ubuntu univers dépôt.

    Pour activer le référentiel, ouvrez Synaptic Package Manager en cliquant sur Système en haut à gauche, puis sur Administration> Synaptic Package Manager..

    Cliquez sur Paramètres> Référentiels et cochez la case "Logiciel Open Source géré par la communauté (univers)"..

    Cliquez sur Fermer, puis dans la fenêtre principale du Gestionnaire de paquets Synaptic, cliquez sur le bouton Recharger. Une fois la liste des packages rechargée et l'index de recherche reconstruit, recherchez et marquez pour l'installation un ou tous les packages suivants: testdisk, avant toute chose, et scalpel.

    Testdisk comprend TestDisk, qui peut récupérer des partitions perdues et réparer les secteurs d’amorçage, et PhotoRec, qui permet de récupérer de nombreux types de fichiers à partir de tonnes de systèmes de fichiers différents.

    Avant toute chose, développé à l'origine par le Bureau des enquêtes spéciales de l'US Air Force, récupère les fichiers en fonction de leurs en-têtes et d'autres structures internes. Foremost fonctionne sur des disques durs ou des fichiers d’image de disque générés par divers outils.

    finalement, scalpel remplit les mêmes fonctions que le premier, mais se concentre sur l'amélioration des performances et l'utilisation réduite de la mémoire. Scalpel peut fonctionner mieux si vous avez une machine plus ancienne avec moins de RAM.

    Récupérer des partitions de disque dur

    Si vous ne pouvez pas monter votre disque dur, sa table de partition peut être corrompue. Avant de commencer à essayer de récupérer vos fichiers importants, il peut être possible de récupérer une ou plusieurs partitions sur votre lecteur, en récupérant tous vos fichiers en une étape..

    Testdisk est l'outil pour le travail. Commencez par ouvrir un terminal (Applications> Accessoires> Terminal) et en tapant:

    sudo testdisk

    Si vous le souhaitez, vous pouvez créer un fichier journal, mais cela n’affectera pas la quantité de données que vous récupérez. Une fois votre choix effectué, vous recevez une liste des supports de stockage stockés sur votre ordinateur. Vous devriez pouvoir identifier le disque dur sur lequel vous voulez récupérer les partitions par sa taille et son étiquette..

    TestDisk vous demande de sélectionner le type de table de partition à rechercher. Dans la plupart des cas (ext2 / 3, NTFS, FAT32, etc.), vous devez sélectionner Intel et appuyer sur Entrée..

    Mettez Analyze en surbrillance et appuyez sur enter.

    Dans notre cas, notre petit disque dur a déjà été formaté en NTFS. Étonnamment, TestDisk trouve cette partition, bien qu’il soit incapable de la récupérer..

    Il trouve également les deux partitions que nous venons de supprimer. Nous pouvons modifier leurs attributs ou ajouter d'autres partitions, mais nous allons simplement les récupérer en appuyant sur Entrée..

    Si TestDisk n'a pas trouvé toutes vos partitions, vous pouvez essayer d'effectuer une recherche plus approfondie en sélectionnant cette option à l'aide des touches fléchées gauche et droite. Nous n'avions que ces deux partitions, nous allons donc les récupérer en sélectionnant Write et en appuyant sur Entrée..

    Testdisk nous informe que nous devrons redémarrer.

    Remarque: Si votre Ubuntu Live CD n’est pas persistant, vous devrez réinstaller les outils que vous avez installés précédemment lors du redémarrage..

    Après le redémarrage, nos deux partitions retrouvent leur état d'origine, les images et tous les.

    Récupérer des fichiers de certains types

    Pour les exemples suivants, nous avons supprimé les 10 images des deux partitions puis les avons reformatées..

    PhotoRec

    Parmi les trois outils que nous allons montrer, PhotoRec est le plus convivial, bien qu’il s’agisse d’un utilitaire basé sur une console. Pour commencer à récupérer des fichiers, ouvrez un terminal (Applications> Accessoires> Terminal) et tapez:

    sudo photorec

    Pour commencer, vous êtes invité à sélectionner un périphérique de stockage à rechercher. Vous devriez être capable d'identifier le bon périphérique par sa taille et son étiquette. Sélectionnez le bon périphérique, puis appuyez sur Entrée.

    PhotoRec vous demande de sélectionner le type de partition à rechercher. Dans la plupart des cas (ext2 / 3, NTFS, FAT, etc.), vous devez sélectionner Intel et appuyer sur Entrée..

    Vous obtenez une liste des partitions sur votre disque dur sélectionné. Si vous souhaitez récupérer tous les fichiers sur une partition, sélectionnez Rechercher et appuyez sur Entrée..

    Toutefois, ce processus peut être très lent et, dans notre cas, nous souhaitons uniquement rechercher des fichiers images. Nous utilisons donc la flèche vers la droite pour sélectionner Fichier Opt et appuyez sur Entrée..

    PhotoRec peut récupérer de nombreux types de fichiers différents. Désélectionner chacun d’eux prendrait beaucoup de temps. Au lieu de cela, nous appuyons sur «s» pour effacer toutes les sélections, puis nous trouvons les types de fichiers appropriés - jpg, gif et png - et nous les sélectionnons en appuyant sur la flèche droite..

    Une fois que nous avons sélectionné ces trois éléments, nous appuyons sur «b» pour enregistrer ces sélections..

    Appuyez sur Entrée pour revenir à la liste des partitions du disque dur. Nous souhaitons effectuer une recherche dans nos deux partitions. Nous mettons donc en surbrillance «Aucune partition» et «Rechercher», puis appuyez sur Entrée..

    PhotoRec demande un emplacement pour stocker les fichiers récupérés. Si vous avez un disque dur en bonne santé, nous vous recommandons d'y stocker les fichiers récupérés. Comme nous ne récupérons pas beaucoup, nous le stockons sur le bureau du CD Ubuntu Live..

    Remarque: ne récupérez pas de fichiers sur le disque dur à partir duquel vous effectuez la récupération..

    PhotoRec est capable de récupérer les 20 images des partitions sur notre disque dur!

    Un rapide coup d'œil dans le répertoire recup_dir.1 qu'il crée confirme que PhotoRec a récupéré toutes nos images, à l'exception des noms de fichiers..

    Avant toute chose

    Foremost est un programme en ligne de commande sans interface interactive comme PhotoRec, mais offre un certain nombre d’options en ligne de commande pour extraire autant de données que possible de votre disque dur..

    Pour obtenir une liste complète des options pouvant être modifiées via la ligne de commande, ouvrez un terminal (Applications> Accessoires> Terminal) et tapez:

    avant tout -h

    Dans notre cas, les options de ligne de commande que nous allons utiliser sont les suivantes:

    • -t, une liste de types de fichiers à rechercher séparés par des virgules. Dans notre cas, il s’agit de “jpeg, png, gif”.
    • -v, permettant le mode verbeux, nous donnant plus d'informations sur ce qui se passe avant tout.
    • -o, le dossier de sortie dans lequel stocker les fichiers récupérés. Dans notre cas, nous avons créé un répertoire appelé «foremost» sur le bureau..
    • -i, l'entrée qui sera recherchée pour les fichiers. Cela peut être une image de disque dans plusieurs formats différents; cependant, nous utiliserons un disque dur, / dev / sda.

    Notre première invocation est:

    sudo avant tout -t jpeg, png, gif -o avant tout -v -i / dev / sda

    Votre appel sera différent selon ce que vous recherchez et où vous le cherchez.

    Foremost est capable de récupérer 17 des 20 fichiers stockés sur le disque dur.

    En regardant les fichiers, nous pouvons confirmer que ces fichiers ont été relativement bien récupérés, bien que nous puissions voir quelques erreurs dans la vignette de 00622449.jpg.

    Cela peut être en partie dû au système de fichiers ext2. Foremost recommande d'utiliser l'option de ligne de commande -d pour les systèmes de fichiers Linux tels que ext2..

    Nous allons lancer à nouveau, en ajoutant l'option de ligne de commande -d à notre première invocation:

    sudo premier -t jpeg, png, gif -d -o premier -v -i / dev / sda

    Cette fois, tout d'abord capable de récupérer les 20 images!

    Un dernier regard sur les images révèle que les images ont été récupérées sans problème.

    Scalpel

    Scalpel est un autre programme puissant qui, comme Foremost, est fortement configurable. Contrairement à Foremost, Scalpel nécessite que vous modifiiez un fichier de configuration avant de tenter toute récupération de données..

    N'importe quel éditeur de texte fera l'affaire, mais nous utiliserons gedit pour modifier le fichier de configuration. Dans une fenêtre de terminal (Applications> Accessoires> Terminal), tapez:

    sudo gedit /etc/scalpel/scalpel.conf

    scalpel.conf contient des informations sur un certain nombre de types de fichiers différents. Faites défiler les lignes de ce fichier et les lignes de commentaire qui commencent par le type de fichier que vous souhaitez récupérer (c'est-à-dire, supprimez le caractère "#" au début de ces lignes)..

    Enregistrez le fichier et fermez-le. Retour à la fenêtre du terminal.

    Scalpel propose également une multitude d'options de ligne de commande qui peuvent vous aider à effectuer une recherche rapide et efficace. Cependant, nous allons simplement définir le périphérique d'entrée (/ dev / sda) et le dossier de sortie (un dossier appelé «scalpel» que nous avons créé sur le bureau)..

    Notre invocation est:

    sudo scalpel / dev / sda -o scalpel

    Scalpel est capable de récupérer 18 de nos 20 fichiers.

    Un examen rapide des fichiers que le scalpel a récupérés révèle que la plupart de nos fichiers ont été récupérés avec succès, malgré quelques problèmes (par exemple, 00000012.jpg)..

    Conclusion

    Dans notre exemple de jouet rapide, TestDisk a été en mesure de récupérer deux partitions supprimées, et PhotoRec et Foremost ont été en mesure de récupérer les 20 images supprimées. Scalpel a récupéré la plupart des fichiers, mais il est très probable que jouer avec les options de ligne de commande pour scalpel nous aurait permis de récupérer les 20 images..

    Ces outils sauvent des vies lorsque quelque chose ne va pas avec votre disque dur. Si vos données sont sur le disque dur quelque part, alors l'un de ces outils les localisera!

    Récupérer des fichiers avec des clichés instantanés sur n’importe quelle version de Windows Vista
    Récupérer les données de formulaire perdues dans Firefox
    Enregistrez des vidéos de votre bureau sur n'importe quel système d'exploitation gratuitement
    Article suivant
    Récupérer des fichiers supprimés sur un disque dur NTFS à partir d'un Ubuntu Live CD
    Article précédent
    Enregistrez vos sessions en ligne de commande avec Asciinema