Poster une réponse 
 
Note de cette discussion :
  • Moyenne : 5 (1 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
Récupération de données
29-09-2018, 16:27 (Ce message a été modifié le : 28-09-2019 16:48 par PhilippeG.)
Message : #1
Rainbow Récupération de données
Je commence un thread sur la récupération de données, je viendrai ajouter des informations au fur-et-à-mesure.

TRES IMPORTANT :
Si vous avez perdu des fichiers (suppression involontaire, système de fichiers corrompu, formatage accidentel...), il est impératif d'interrompre immédiatement toute activité sur le disque en question! Les fichiers peuvent probablement être récupérés s'ils sont toujours physiquement présents quelque part sur le disque, mais toute opération d'écriture sur le disque risque de ré-écrire par dessus. Pour cette raison, la création d'une image du volume à récupérer (disque dur, clé USB, carte SD...) est une bonne idée. Cela permet de travailler ensuite sur le fichier image plutôt que directement sur le support physique (moins risqué). Il faut bien sûr avoir suffisamment d'espace libre sur un autre support (disque dur externe...) pour pouvoir enregistrer le fichier image, de la même taille que le volume à récupérer.

Code :
sudo dd if=/dev/sdb of=/media/utilisateur/disque_externe/sauvegarde.dd bs=64M status=progress

explications :
if="emplacement du volume à copier"
of="emplacement du fichier image"
bs="taille de bloc à lire+écrire à chaque opération de lecture" (taille très petite par défaut, augmenter la taille de bloc pour accélérer la copie)
status=progress (affiche la progression de la copie, paramètre fonctionnant avec les versions de Coreutils 8.24+)

Vérifier la version de coreutils : ls --version
Pour afficher la progression avec d'anciennes versions de Linux, utiliser pv :
Code :
sudo dd if=/dev/sdb bs=64M | pv | dd of=/media/utilisateur/disque_externe/sauvegarde.dd

Calculer une somme de contrôle sur tout le volume à copier :
Code :
sudo dd if=/dev/sdb bs=64M status=progress | md5sum > /media/utilisateur/disque_externe/checksum.md5
ou :
Code :
sudo md5sum /dev/sdb  > /media/utilisateur/disque_externe/checksum.md5

Vérifier une somme de contrôle sur une image :
Code :
md5sum /media/utilisateur/disque_externe/sauvegarde.dd

(note : la lecture successive d'un volume est susceptible d'être différente - sommes de contrôle différentes - si le volume reste monté)

A voir, pour les supports physiques endommagés : dd_rescue

A suivre : utilisation d'outils de récupération de données Windows dans une machine virtuelle (VM) VirtualBox, pour analyser une image de volume connectée à la VM.

Sources :
https://askubuntu.com/questions/215505/h...ress-of-dd
https://help.ubuntu.com/community/HowToMD5SUM
https://www.technibble.com/guide-using-d...over-data/

De nombreux exemples d'utilisation de la commande dd :
https://www.linuxquestions.org/linux/ans...ng_With_DD
Trouver tous les messages de cet utilisateur
Citer ce message dans une réponse
29-09-2018, 23:35 (Ce message a été modifié le : 27-10-2019 23:49 par fsoulard.)
Message : #2
RE: Récupération de données
A tester :

foremost
http://foremost.sourceforge.net/
https://forensicswiki.org/wiki/Foremost

scalpel
http://www.forensicswiki.org/wiki/Scalpel
https://github.com/sleuthkit/scalpel

carvfs
http://www.forensicswiki.org/wiki/CarvFs
https://github.com/DNPA/carvfs

Forensics Explorer (propriétaire)
http://www.forensicexplorer.com/data-carve.php

Klennet Carver (propriétaire)
https://www.klennet.com/carver/carving-methods.aspx

Liste complète d'outils :
http://www.forensicswiki.org/wiki/Zero_storage_carving
http://www.forensicswiki.org/wiki/Tools:Data_Recovery

Tutoriels HowToGeek sur scalpel, foremost, testdisk et ntfsundelete :
https://www.howtogeek.com/howto/15761/re...u-live-cd/
https://www.howtogeek.com/howto/13706/re...u-live-cd/
Trouver tous les messages de cet utilisateur
Citer ce message dans une réponse
19-10-2019, 22:11 (Ce message a été modifié le : 30-03-2020 19:16 par fsoulard.)
Message : #3
RE: Récupération de données
Désactiver le montage automatique des volumes sur Linux Mint avec interface Mate (pour éviter d'écrire sur un volume à récupérer) :
Code :
gsettings set org.mate.media-handling automount false

Méthode alternative (à préférer) :
1) Installer dconf-editor
Code :
sudo apt-get install dconf-tools

2) Lancer dconf-editor
Code :
dconf-editor

3) Naviguer dans
Code :
org > mate > desktop > media-handling

4) Activer / désactiver automount (montage automatique des volumes) et automount-open (ouvrir automatiquement une fenêtre à l'insertion d'un nouveau volume)

Source :
https://ubuntuportal.com/2012/07/quick-t...4-lts.html
Trouver tous les messages de cet utilisateur
Citer ce message dans une réponse
22-05-2020, 18:14
Message : #4
RE: Récupération de données
Conversion d'image pour montage dans une VM :
https://blog.sleeplessbeastie.eu/2012/04...otherwise/
Trouver tous les messages de cet utilisateur
Citer ce message dans une réponse
Poster une réponse 


Aller à :


Utilisateur(s) parcourant cette discussion : 1 visiteur(s)