+- Forum de LAPLLA.net (https://laplla.net/forum)
+-- Forum : Tout le reste (https://laplla.net/forum/forum-5.html)
+--- Forum : Informations diverses (https://laplla.net/forum/forum-10.html)
+--- Sujet : Récupération de données (/thread-782.html)
Récupération de données - fsoulard - 29-09-2018
Je commence un thread sur la récupération de données, je viendrai ajouter des informations au fur-et-à-mesure.
TRES IMPORTANT :
Si vous avez perdu des fichiers (suppression involontaire, système de fichiers corrompu, formatage accidentel...), il est impératif d'interrompre immédiatement toute activité sur le disque en question! Les fichiers peuvent probablement être récupérés s'ils sont toujours physiquement présents quelque part sur le disque, mais toute opération d'écriture sur le disque risque de ré-écrire par dessus. Pour cette raison, la création d'une image du volume à récupérer (disque dur, clé USB, carte SD...) est une bonne idée. Cela permet de travailler ensuite sur le fichier image plutôt que directement sur le support physique (moins risqué). Il faut bien sûr avoir suffisamment d'espace libre sur un autre support (disque dur externe...) pour pouvoir enregistrer le fichier image, de la même taille que le volume à récupérer.
Code :
sudo dd if=/dev/sdb of=/media/utilisateur/disque_externe/sauvegarde.dd bs=64M status=progressexplications :
if="emplacement du volume à copier"
of="emplacement du fichier image"
bs="taille de bloc à lire+écrire à chaque opération de lecture" (taille très petite par défaut, augmenter la taille de bloc pour accélérer la copie)
status=progress (affiche la progression de la copie, paramètre fonctionnant avec les versions de Coreutils 8.24+)
Vérifier la version de coreutils : ls --version
Pour afficher la progression avec d'anciennes versions de Linux, utiliser pv :
Code :
sudo dd if=/dev/sdb bs=64M | pv | dd of=/media/utilisateur/disque_externe/sauvegarde.ddCalculer une somme de contrôle sur tout le volume à copier :
Code :
sudo dd if=/dev/sdb bs=64M status=progress | md5sum > /media/utilisateur/disque_externe/checksum.md5Code :
sudo md5sum /dev/sdb > /media/utilisateur/disque_externe/checksum.md5Vérifier une somme de contrôle sur une image :
Code :
md5sum /media/utilisateur/disque_externe/sauvegarde.dd(note : la lecture successive d'un volume est susceptible d'être différente - sommes de contrôle différentes - si le volume reste monté)
A voir, pour les supports physiques endommagés : dd_rescue
A suivre : utilisation d'outils de récupération de données Windows dans une machine virtuelle (VM) VirtualBox, pour analyser une image de volume connectée à la VM.
Sources :
https://askubuntu.com/questions/215505/how-do-you-monitor-the-progress-of-dd
https://help.ubuntu.com/community/HowToMD5SUM
https://www.technibble.com/guide-using-ddrescue-recover-data/
De nombreux exemples d'utilisation de la commande dd :
https://www.linuxquestions.org/linux/answers/Applications_GUI_Multimedia/How_To_Do_Eveything_With_DD
RE: Récupération de données - fsoulard - 29-09-2018
A tester :
foremost
http://foremost.sourceforge.net/
https://forensicswiki.org/wiki/Foremost
scalpel
http://www.forensicswiki.org/wiki/Scalpel
https://github.com/sleuthkit/scalpel
carvfs
http://www.forensicswiki.org/wiki/CarvFs
https://github.com/DNPA/carvfs
Forensics Explorer (propriétaire)
http://www.forensicexplorer.com/data-carve.php
Klennet Carver (propriétaire)
https://www.klennet.com/carver/carving-methods.aspx
Liste complète d'outils :
http://www.forensicswiki.org/wiki/Zero_storage_carving
http://www.forensicswiki.org/wiki/Tools:Data_Recovery
Tutoriels HowToGeek sur scalpel, foremost, testdisk et ntfsundelete :
https://www.howtogeek.com/howto/15761/recover-data-like-a-forensics-expert-using-an-ubuntu-live-cd/
https://www.howtogeek.com/howto/13706/recover-deleted-files-on-an-ntfs-hard-drive-from-a-ubuntu-live-cd/
RE: Récupération de données - fsoulard - 19-10-2019
Désactiver le montage automatique des volumes sur Linux Mint avec interface Mate (pour éviter d'écrire sur un volume à récupérer) :
Code :
gsettings set org.mate.media-handling automount falseMéthode alternative (à préférer) :
1) Installer dconf-editor
Code :
sudo apt-get install dconf-tools2) Lancer dconf-editor
Code :
dconf-editor3) Naviguer dans
Code :
org > mate > desktop > media-handling4) Activer / désactiver automount (montage automatique des volumes) et automount-open (ouvrir automatiquement une fenêtre à l'insertion d'un nouveau volume)
Source :
https://ubuntuportal.com/2012/07/quick-tips-easy-way-to-disable-auto-mount-on-ubuntu-12-04-lts.html
RE: Récupération de données - fsoulard - 22-05-2020
Conversion d'image pour montage dans une VM :
https://blog.sleeplessbeastie.eu/2012/04/29/virtualbox-convert-raw-image-to-vdi-and-otherwise/