Récupérer des données

Le mauvais partitionnement des constructeurs

Si nos disques durs étaient partitionnés sainement, il deviendrait moins nécessaire d'être obligé de récupérer des données.Voirune_logique_de_partitionnement_ideale

Voir aussi uefi_et_gpt

Voir enfin les articles dans la rubrique windows :

la logique des systèmes microsoft

testdisk_partition_disparue

DCO

Device_configuration_overlay

Device configuration overlay (DCO) is a hidden area on many of today’s hard disk drives (HDDs). Usually when information is stored in either the DCO or host protected area (HPA), it is not accessible by the BIOS, OS, or the user. However, certain tools can be used to modify the HPA or DCO.

Dco est une zone cachée sur beaucoup des disque durs d'aujourd'hui. Quand l'information est stockée dans le DCO ou le HPA, elle ni accessible par le bios, le système et donc l' utilisateur.

The Device Configuration Overlay (DCO), which was first introduced in the ATA-6 standard, “allows system vendors to purchase HDDs from different manufacturers with potentially different sizes, and then configure all HDDs to have the same number of sectors. An example of this would be using DCO to make an 80-gigabyte HDD appear as a 60-gigabyte HDD to both the (OS) and the BIOS….

DCO permet aux vendeurs d'ordinateurs de fournir des disques provenant de différents constructeurs et de leur allouer une taille définie, pas forcément identique aux réelles capacités du disque, souvent moins. On peut imaginer que cela leur est utile pour préinstaller les systèmes sur des disques ayant la même taille, avec des utilitaires d'image disque (ghosts).

Il se trouve que cela pertube gravement l'utilisation d'outils de dépannage tel que testdisk, et que c'est une mauvaise politique.

Outil d'accès à la HPA

LinEn, un outil ?

Le texte original de wikipedia. Il semble qu'il y ait controverse sur le fond de cet article (Wikipedia précise: “The neutrality of this article is disputed”.

Guidance Software's EnCase comes with a Linux-based tool that images hard drives called LinEn. LinEn 6.01 was validated by the National Institute of Justice (NIJ) in October 2008, and they found that “The tool does not remove either Host Protected Areas (HPAs) or DCOs. However, the Linux test environment automatically removed the HPA on the test drive, allowing the tool to image sectors hidden by an HPA. The tool did not acquire sectors hidden by a DCO.

Un essai de traduction et d'explication:

En cas d'investigation par la justice sur le contenu des disques durs, il est important de copier intégralement les disques par sécurité, et pour permettre aux techniciens de retrouver toutes les données.

LinEn a donc été validé par l'Institut National de la Justice (US), car cet outil n'enlève ni les HPA ni les DCO.

Cependant l'environnement linux de test a enlevé la protection HPA, permettant à l'outil de copie de faire une image des secteurs cachés par la HPA. Il n'a pas réussi avec la DCO.

Dans un but d'installation saine sur un disque neuf, il est probablement possible d'effectuer un formatage “bas niveau” afin de récupérer la totalité du disque.

Constat

Je constate que les principales sources de soucis avec les disques durs viennent de la gestion hasardeuse du disque par les systèmes microsoft, encore eux ! Le site fspsa propose des dizaines de pages d'aide pour tenter de réparer les systèmes de fichiers, la FAT,etc, ainsi que des liens nombreux vers des tas d'exemples de fonctionnement erratique des systèmes NTFS, Fat, dont un lien vers poloastucien._disque_raw

Causes majeures de pertes de données

Les pannes matérielles ne seront pas évoquées.

Attention à bien différencier les causes de pertes de données.

  1. bug majeur du firmware du DD.
  2. effacement accidentel d'un fichier ou d'une partition.
  3. corrution de la MFT.
  4. corruption du mbr.
  5. modification majeures des partitions avec les utilitaires payants, tel que partition magic, ou gratuits tel que gparted.
Gparted est très puissant, l'idéal est de l' utiliser sur un système de fichiers vérifié.Cependant si votre disque comporte une DCO (secteurs cachés par le constructeur), son utilisation peut présenter des risques, en particulier si vous supprimez une partition placée avant la partition système windows ou linux, et si de plus vous modifier et déplacez les partitions.

Quelques pistes.

Ces cas ne se ressemblent qu'en partie. Les solutions sont donc différentes.

  1. Corriger s'il en est encore temps le firmware du DD en le flashant depuis un live CD contenant l' image iso du constructeur.
  2. Utiliser des logiciels commerciaux (sous windows), ou des commandes spécifiques sous linux (undelete ?) afin de récupérer des fichiers effacés ou corrompus.
  3. Restaurer la table des partitions après l'avoir reconstruite.
  4. Restaurer le mbr depuis un utilitaire windows, ou un live CD linux tel qu'UBCD.

Les cas 3 et 4 sont liés avec un souci de boot, disons que c'est au démarrage du système que l'on voit qu'il y a un souci. Par exemple, pour windows:

   NTLDR is missing
   

ou message d'erreur de grub sous linux.

Restaurer le mbr

Toutes ces solutions redonneront accès aux systèmes si et seulement si les secteurs d'amorce de ceux-ci (sur leur partition système respective) ne sont pas corrompus.

Windows

Disque d'installation de windows, touche R.

Console de restauration système si elle est installée (répertoire cmdcons dans C:\).

Linux

1.Live CD de GAG, installez le sur le Disque dur dans le MBR. Ce n'est pas toujours possible (cas des disques DCO)

2. CD de réparation de linux,(version alternate), au boot menu réparer le système, se loguer sur la partition système, ligne console en bas de l'écran, tapez update-grub.

Dans le cas où les secteurs amorce sont corrompus, une réinstallation du système de démarrage (boot) est parfois envisageable, pourvu que l' accès aux partitions systèmes soit possible.

Corruption des systèmes de fichiers

Dans le cas de corruption des systèmes de fichiers (MFT, etc), ceci n'est pas possible. Il faudra d'abord réparer les systèmes de fichiers.Ceci n'est pas toujours simple ni possible. Il arrive en effet que l'on n'ait plus accès au système de fichiers, même en mode raw, à cause de la MFT corrompue, et que testdisk ne soit pas capable de restaurer une MFT correcte. En ce cas, il n'y a pas grand chose à faire.

chkdsk

En console depuis les utilitaires idoïnes, il faudra tenter d'abord un checkdisk, chkdsk.

Les_5_phases_de_chkdsk

Si cela ne suffit pas, utiliser testdisk afin de reconstruire l'intégrité des systèmes de fichiers, et les MFT.

Testdisk

Ce logiciel est petit, relativement rapide, assez simple d'utilisation, pourvu qu'on lise et relise son manuel en ligne. Il nécessiterait à lui seul un article.

TestDisk_FR permet de récupérer les données corrompues, plus exactement de corriger l'intégrité des données dans la MFT (master file table), et il répare très bien les systèmes de fichiers, puis réécrit la table de partition après l'avoir retrouvée par analyse des secteurs du disque.

On peut le mettre sur disquette, peu présente de nos jours, mais surtout sur cd. On peut graver l'image iso de testdisk (3 Mo sur une galette de 700 Mo), mais il est préférable d'utiliser tout l'espace du CD pour y graver UBCD (ultimate boot cd), cd de dépannage basé sur linux.

On peut le tester sans risque, juste en lui demandant d'analyser les partitions, puis lancer une recherche approfondie.

TestDisk_Etape_par_Etape

Performances

Testdisk nous retrouve deux ( rarement trois) entrées dans la mft de la même partition, et on constate que ces entrées sont différentes (cylindres de départ, de fin …), d'où les risques potentiels… La structure des disques n'a pas évolué depuis le début et il n'y a toujours que 512 octets en tout dont 66 pour la table des partitions dans le mbr !!

J'ai déja récupéré la table de partition linux (sam linux) avec ce logiciel…

Puissance

Il retrouve des données sur des disques déjà formatés !!

Versatilité

Il reconnait au boot les disques connectés, où qu'ils soient, externes, en usb, etc…, ou au bout de l'adaptateur usb vers ide sata.

Photorec

C Grenier le créateur de testdisk a aussi crée PhotoRecqui permet de récupérer les photos sur de nombreux supports…

Incorrect number of heads/cylinder

Testdisk constate souvent que le nombre de heads (têtes) déclarés est de 240 alors que le disque en contient 255. Il propose de modifier la géométrie du disque de par exemple CHS 7752/240/63 à 7752/255/63.

     Warning: Incorrect number of heads/cylinder 240 (NTFS) !=255 (HD)

CHS: ancien mode de nommage de la structure des disques. LBA: nouvelle norme de nommage et d'adressage des secteurs. NTFS: système de fichiers Microsoft. HD:disque dur.

Le message

     Warning: Incorrect number of heads/cylinder 255 (NTFS) !=240 (HD)

Il est capable aussi d'indiquer que ce disque contient une zone cachée, une DCO !! Ou encore “The hard disk seems too small”

hdparm

Un des rares logiciels permettant d'étudier ce problème se nomme hdparm ( de hd parameters)

Le paquet hdparm est présent dans les dépôts, version 9.15 pour ubuntu 9.10.

Informations et téléchargement d'une version plus récente sur Sourceforge: version 9.37

hdparm_sourceforge

hdparm

Un avis d'utilisateur du forum sourceforge :“One of those tools every Linux system must have. I've used it for years to tune my hard disks, and it made me save actual money.”

Liens sur hdparm

DD rescue

En complément de testdisk, voici ddrescue.

il s'agit là de réaliser une image la plus fidèle possible de votre support endommagé (pour peu qu'il soit encore reconnu par le système) afin de travailler par la suite sur cette image.

En fait ddrescue est le successeur de dd_rescue historique de ddresue

Ne pas confondre GNU ddrescue d'Antonio Diaz et dd_rescue (avec underscore !) de Kurt Garloff.

Avantage d'utiliser un liveCD

Les live-CD Linux détachent le système d'exploitation du disque dur ce qui permet de réaliser toutes les opérations de maintenance imaginables. De son côté le programme ddrescue effectue une sauvegarde de partition rapidement (moins de 30 minutes pour un disque récent de 80 Go) sans avoir besoin du coûteux Ghost.

Copie par blocks avec dd

dd est une commande linux de base, très puissante, la doc est facile à trouver sur lui,mais son usage plus délicat aux non habitués de la console.

Elle permet de faire des copies de partition par blocks (et non par fichiers) mais le programme s'arrête s'il rencontre un block défectueux ; il ne peut donc être utilisé pour copier un disque lésé.

dd_rescue

Dans cette optique, Kurt Garloff créa dd_rescue qui saute au block suivant s'il en rencontre un altéré. Cependant les zones abimées rassemblent souvent toute une série de blocks que dd_rescue essaie de lire l'un après l'autre ce qui entraîne une perte de temps importante et regrettable.

dd_rhelp

dd_rhelp a donc été écrit pour piloter dd_rescue de telle sorte qu'il saute tout un groupe de blocks et revienne en marche arrière jusqu'à rencontrer à nouveau un block défectueux puis reparte en marche avant de l'endroit où il avait sauté. Ainsi, dans cette première passe un maximum de blocks sains sont récupérés. Dans une deuxième passe, dd_rhelp va explorer les trous de la première passe afin d'y rechercher des blocks intacts isolés.

ddrescue

dd_rhelp est un script bash accouplé à dd_rescue programme compilé en C.

Antonio Diaz a rassemblé l'ensemble des fonctionnalités dans un seul programme en C : GNU ddrescue (sans underscore, qui est ceci “_” !) dont l'usage est recommandé par le créateur de dd_rhelp (« Antonio Diaz did write an ideal replacement for my tool : GNU ddrescue. I really encourage you to use this replacement tool »).

utilisation

GNU ddrescue (abrégé ici en ddrescue) est un outil de récupération de données sous licence GNU GPL. Il “copie les données d'un fichier ou d'un périphérique matériel (disque dur, CD-ROM, etc.) vers un autre en faisant de son mieux pour récupérer les données en cas d'erreur de lecture”. Il dispose notamment une intéressante fonction de “fusion” qui permet d'obtenir sans effort une copie saine d'un fichier à partir de plusieurs copies endommagées dudit fichier. Son interface en ligne de commande et ses nombreuses options en font un outil à destination des utilisateurs avertis.

Un lien vers un article du forum ubuntu ancien (2007), mais toujours d'actualité…très complet, trop ?

forum.ubuntu-fr

recuperer_des_donnees.txt · Dernière modification: 2012/04/30 22:36 (modification externe)
GNU Free Documentation License 1.3
Powered by PHP Driven by DokuWiki Recent changes RSS feed Valid CSS Valid XHTML 1.0 Valid HTML5