TestDisk & PhotoRec 6.9

Posté par  (site web personnel) . Modéré par Jaimé Ragnagna.
Étiquettes :
2
14
fév.
2008
Sécurité
La version 6.9 de TestDisk et PhotoRec, logiciels de récupération de données multi-plateformes sous licence GPL, vient de sortir.

Cette version apporte de nombreuse améliorations dont le support EFI GPT (MacBook, MacPro, Itanium...), une meilleure identification des disques sous Linux (présence du modèle), la récupération des partitions chiffrées LUKS, Mac HFSX, Linux Raid md 1.0/1.1/1.2 (en plus de 0.9), la possibilité de copier des fichiers depuis une partition FAT retrouvée (déjà possible pour NTFS), la récupération de fichiers depuis l'espace libre d'une partition ext2/ext3... Le but de TestDisk est de permettre la récupération des partitions perdues (ext2/ext3, ReiserFS, XFS, JFS, Swap, LVM1/LVM2, FAT, NTFS...) et de réparer certains problèmes de corruption des systèmes de fichiers : utilisation de la sauvegarde du secteur de boot FAT32 ou NTFS, recherche des paramètres de systèmes de fichiers FAT ou NTFS pour réécrire le secteur de boot, réparation des tables FAT, recherche des sauvegardes des superblocks ext2/ext3.
PhotoRec récupère les fichiers perdus y compris si le système de fichiers (FAT, NTFS, ext2/ext3, HFS+...) est totalement corrompu ou a été reformaté. PhotoRec gère même certains cas de fragmentation de fichiers permettant de récupérer plus de données.
Écrit en C dans un code portable, TestDisk et PhotoRec fonctionnent aussi bien sous Linux que DOS, Windows, Mac OS X, Solaris et les différents BSD.

Quelques grandes nouveautés : les tables de partition GUID EFI (MacBook, MacPro, Itanium...) sont supportées; sous Linux, le modèle des disques s'affiche à coté du périphérique permettant une meilleure identification, l'interface gère les caractères unicodes; sous Windows, la majorité des lecteurs de cartes USB internes devraient être désormais supportés. Coté compatibilité logiciels, cette version gère les nouvelles API d'e2fsprogs et ntfsprogs, les librairies utilisées pour lister le contenu des partitions ext2/ext3 et NTFS retrouvées.

TestDisk 6.9 détecte et récupère les volumes chiffrés LUKS, les Raid Linux md 1.0/1.1/1.2 (0.9 était déjà supporté). Lorsqu'une partition FAT est retrouvée, il est désormais possible de copier les fichiers qu'elle contient, comme c'était le cas pour les partitions NTFS, sans qu'il soit nécessaire de récupérer la partition. Une nouvelle fonctionnalité fait son apparition dans le menu Advanced : la création d'image; une image raw de la partition est créée de façon similaire à dd sans qu'il soit nécessaire de passer par la ligne de commande.

Utilisateurs des systèmes de fichiers ext2/ext3, réjouissez-vous ! PhotoRec 6.9 est désormais capable de retrouver des fichiers dans l'espace non alloué de ces partitions ce qui permet de récupérer des fichiers effacés. Des dizaines de formats de fichiers sont venus s'ajouter à la bonne centaine que connaissait déjà PhotoRec, l'analyse forensics des postes Windows gagne la reconnaissance des fichiers Windows Enhanced MetaFile .emf (Impression), MS Windows Link .lnk (liens), Internet Explorer index.dat (historique du navigateur...).

Aller plus loin

  • # Commentaire supprimé

    Posté par  . Évalué à 5.

    Ce commentaire a été supprimé par l’équipe de modération.

    • [^] # Re: Un must

      Posté par  . Évalué à 2.

      Est-ce qu'il y aurait une distrib LIVE embarquant ces outils ?
      Ce serait le complément idéal je trouve

      • [^] # Re: Un must

        Posté par  (site web personnel) . Évalué à 3.

        http://www.sysresccd.org embarque TestDisk, mais pas Photorec, malheureusement...

        • [^] # Re: Un must

          Posté par  . Évalué à 5.

          Si si, il y est, parce que PhotoRec est inclus dans TestDisk (c'est comme ça pour tous les paquets que j'ai vu jusqu'à présent) ==> Since photorec is part of the testdisk package, it's already provided dixit le site

      • [^] # Re: Un must

        Posté par  . Évalué à 2.

        Voici l'adresse d'un outil qui intègre TestDisk et PhotoRec sous forme d'un live CD comme tu le demandes.

        http://partedmagic.com/wiki/PartedMagic.php

    • [^] # Re: Un must

      Posté par  (site web personnel) . Évalué à 3.

      Avec xals, nous avions récupéré un disque dur en train de mourir. Nous avions travaillé sur une image du disque de façon à réduire au maximum le nombre de lectures et la dégradation du disque.
      Cette méthode peut être un complément bien utile : http://abul.org/Recuperation-de-donnees-sur-une.html . De plus, on conserve les noms de fichiers quand ils existent encore.

  • # Une petite question...

    Posté par  . Évalué à 10.

    Sans vouloir froisser qui que ce soit, ne serait ce pas utile de renommer photorec en autre chose du fait que maintenant, il permet de retrouver bien d'autres format que les photos?

    Je trouve que ça porte à confusion surtout dans le cas où on ne connais pas les outils et qu'on recherche après notre premier crash ;)
    En général, on est dans une situation critique et on va pas aller tester un logiciel dont le nom nous indique qu'il ne retrouve que les photos.

    C'était juste une idée...

    • [^] # Re: Une petite question...

      Posté par  (site web personnel) . Évalué à 5.

      Comme on ne me demande rien, je propose :
      - resurrec
      - unwrec
      - correc
      - unrec

    • [^] # Re: Une petite question...

      Posté par  . Évalué à 2.

      Tout à fait d'accord, j'ai failli passer à côté de ce soft à cause de ça (alors qu'il m'a sauvé ma partition home qu'un os à fenêtres dont je tairai le nom avait bousillé en modifiant la table de partitions).

      Ceci dit, malgré son nom, ce soft est génial et je le recommande fortement.

    • [^] # Re: Une petite question...

      Posté par  . Évalué à 9.

      En plus, il y a de quoi faire, on pourrait le nommer :
      - "Dataggle" : le logiciel qui vous trouve les données que vous cherchez (et qui contient un message à destination de la concurrence)
      - "FooFound" : qui arrive à retrouver n'importe quel fichier
      - "BarBack" : vos données de retour !
      - quoi d'autre ?

      • [^] # Re: Une petite question...

        Posté par  (Mastodon) . Évalué à 3.

        - "FooFound" : qui arrive à retrouver n'importe quel fichier

        c'est euh...comment dire...maladroit ?

      • [^] # Re: Une petite question...

        Posté par  . Évalué à 10.

        - RecThumb

        ===>[]

      • [^] # Re: Une petite question...

        Posté par  . Évalué à 3.

        Ça me fait sourire tout ces noms... peut être que si j'avais réellement besoin d'utiliser ces logiciels je rigolerais moins, mais un peut d'humour n'a jamais fait de mal.
        Resurect me plait bien comme nom, ça fait un peut nuit des morts vivants mais au moins on comprends bien à quoi ça sert...

      • [^] # Re: Une petite question...

        Posté par  . Évalué à 3.

        C'est con, mais le premier nom qui me viens à l'idée, c'est "undelete" (ca fait tres dos6 mais bon)... alors disont "undelrec" :)

  • # COncretement?

    Posté par  . Évalué à 1.

    Quelqu'un s'est déjà servi de ses outils?
    Avec succes? Facilité d'utilisation?


    J'ai récemment eu un gros problème de I/O sur mon Dur et j'ai perdu beaucoup de données sans pouvoir récupérer grand chose (ré écriture des fichiers sur les autres, je vous le conseille : que du bonheur).

    N'ayant pas spécialement de chance avec les DD, je pense qu'un outil de ce type ne serait pas de trop dans ma logitèque!

    • [^] # Re: COncretement?

      Posté par  . Évalué à 2.

      De tous les softs dans le genre que j'ai testé (même les softs proprio), il est de loin le meilleur. Mais son seul défaut comme indiquer au dessus, c'est la perte des noms de fichier.

    • [^] # Re: COncretement?

      Posté par  . Évalué à 2.

      Oui ça marche ! Et même très bien, mais suivant la taille de ton dd et l'étendu des dégâts ça peut prendre une plombe. Le mieux est de brancher le support endommagé sur un système sain qui dispose d'assez de place pour accueillir les données à sauver.

      A mon dernier essai, il calculait 500 heures de récup' ... j'ai pas eu le courage sans compter que je ne pouvais pas choisir correctement le répertoire à sauver (normalement c'est possible) et il voulait sauvegarder tout mon dd (et vu la capacité des DD actuelles c'est pas évident).

      Or il faut de la place sur un dd en bon état pour ça et je ne l'avais pas.

      J'ai donc cherché un autre logiciel qui m'a permis de récupérer tout ce que je voulais en 3 min grâce à un mode graphique on ne peut plus simple (R-Linux).

      Ce n'est pas parce que les choses sont difficiles que nous n'osons pas. C'est parce que nous n'osons pas qu'elles sont difficiles. - Sénéque

      • [^] # Re: COncretement?

        Posté par  . Évalué à 1.

        Le mieux est de brancher le support endommagé sur un système sain qui dispose d'assez de place pour accueillir les données à sauver.
        Voir, si il y a assez de place.
        de faire une copie avec ddrescue -ou dd_rescue, je sais plus lequel est le mieux- puis de travailler sur la copie.
        Ca permet d'éviter de perdre 10 heures en timeout dma, et de réecrire par erreur sur le support a sauver.

        • [^] # Re: COncretement?

          Posté par  (Mastodon) . Évalué à 1.

          Déjà, un disque dur qui donne des signes de faiblesse, tu ferais bien de lui virer le DMA. Parfois ça suffit à le refaire marcher a peu près correctement, et donc ça te laisse le temps de vite lui acheter un remplaçant et de tout sauvegarder dessus !

          En fait, je pense que les gros disques durs utilisés majoritairement en stockage de données, n'ont pas besoin du DMA, pas besoin de débit ahurissant pour lire un divx.
          Mieux vaut faire tourner son disque pépère sans l'agresser, il vivra plus longtemps ^^ Et c'est tout ce qu'on demande à un disque de données, vivre pour ne pas les perdre...

          Yth.

          • [^] # Re: COncretement?

            Posté par  . Évalué à 3.

            Je vois pas l'intérêt de désactiver le DMA : celui-ci agit sur le flux de données (en le faisant passer le moins possible par le CPU), mais ne change rien pour le disque dur, ou bien?

            Surtout que si tu désactives le DMA pour (dans ton exemple) lire un DIVX, tu vas te retrouver avec un truc qui saccade non pas à cause du débit, mais parce que ton processeur va s'occuper des transferts de données en plus du décodage.

            • [^] # Re: COncretement?

              Posté par  (Mastodon) . Évalué à 1.

              Ben je ne sais pas exactement ce que ça fait, ni comment ça marche le DMA, il me semble que le principe est de faire un transfert de données directement entre le contrôleur et la RAM. Et ça va beaucoup plus vite.
              En pratique, sans le DMA tu as des taux de transfert plus faibles, sans pour autant que ça se voie vraiment sur la charge CPU. Ca veut dire que le disque est moins sollicité non ?
              De plus quand un disque donne des signes de faiblesse on a très souvent, comme le dis briaeros007, des timeout DMA, si tu désactives le DMA, tu désactives en même temps ces timeout, et en pratique tu peux presque utiliser ton disque normalement.
              S'il est en train de mourir, ça te en général laisse le temps nécessaire à en sauver la majeure partie.

              Bref, je n'ai aucune idée de la raison profonde, mais désactiver les transferts DMA fait du bien aux disques qui faiblissent, j'en ai même deux que je peux utiliser normalement sans DMA, et si je l'active, ils font des timeout, perdent des données, et sont mourants.

              Je parle uniquement par expérience ici.
              Et puis un divx se lit très bien via NFS sur le réseau, ou via USB sur un disque externe voire une clé, je n'ai jamais eu de problèmes de saccades sur un disque sans DMA, les transferts sont plus long c'est tout...

              Yth.

              • [^] # Re: COncretement?

                Posté par  . Évalué à 1.

                sans pour autant que ça se voie vraiment sur la charge CPU.
                Sisi ca se voit. Mais c'est pas du userland, voir peut être meme pas du système mais pe de l'i/o wait (ca par contre ca m'étonnerai, mais c'est possible) etc....

                Verifie : essaie de faire une tache "cpu intensive" puis lance un gros transfert dma. Regarde si ta tache est toujours aussi performante

                je n'ai jamais eu de problèmes de saccades sur un disque sans DMA, les transferts sont plus long c'est tout...
                Moi si XD (coupure audio).

                Enfin, si tu es en sata, tu es normalement en DMA, et je ne sais pas si tu peux le désactiver /o\

                • [^] # Re: COncretement?

                  Posté par  (Mastodon) . Évalué à 1.

                  Je ne suis pas en SATA, mon disque système est SCSI, le stockage en IDE voire USB par flemme d'ouvrir la machine et de l'éteindre. Et avec mon nouveau proc dual core je ne verrai rien, mais avant j'avais un simple Athlon 1Ghz, avec du bon vieux disque IDE classique, et jamais eu de soucis.
                  Mais peut-être que c'était déjà suffisamment puissant comme machine pour afficher un divx et le lire sur le disque sans DMA en même temps.

                  Bref, alors je retire ce que j'ai dis sur l'utilisation normale d'un disque dédié au stockage, mais je garde le conseil pour les disques agonisants, ça marche vraiment, testé et approuvé par moi-même à plusieurs reprises : un disque dur fini *toujours* par mourir...

                  Yth.

                  • [^] # Re: COncretement?

                    Posté par  . Évalué à 1.

                    pour lire un petit (en résolution) divx j'y arrivais, mais quand je faisais un transfert (mv sur deux partitions, cp,...) il m'était impossible d'écouter de la musique en même temps/o\

                    Quand aux disques qui commencent à avoir des erreurs DMA. bien vérifier l'alim. J'ai eu un problème de disques, et j'en avais acheté un neuf (sata).
                    Au bout de 3 mois il a commencé a me donner des erreurs dma. ni une, ni deux, j'ai changé d'alim, et depuis no bleme ;)

                    (bon un bon fsck -c avant de le réutiliser quand meme)

      • [^] # Re: COncretement?

        Posté par  (site web personnel) . Évalué à 2.

        Ouais m'enfin R-Linux gère uniquement etx2...

    • [^] # Re: COncretement?

      Posté par  . Évalué à 1.

      Pour l'instant je n'ai heureusement eu l'occasion de le tester que sur une carte SD avec des photos (mon APN ayant depuis sa douche à la bière la facheuse tendance à planter et à corrompre le FS).
      J'ai toujours réussi à tout récupérer, avec les données exif ca aide à retrouver les dates.

  • # Vive TestDisk

    Posté par  . Évalué à 2.

    Merci à ce logiciel qui m'a permis de retrouver ma table de partitions après l'avoir foiré par erreur il n'y a pas très longtemps de cela ;).

    • [^] # Re: Vive TestDisk

      Posté par  . Évalué à 3.

      Heureux utilisateurs de TestDisk et PhotoRec, il y a un moyen simple et sympa de remercier l'auteur de ces outils, c'est de fouiller dans vos porte-monnaies pour y trouver une des pièces manquantes à sa collection visible sur cette page :
      http://www.cgsecurity.org/euro/
      car rien ne s'oppose aux contributions sonnantes et trébuchantes...

      • [^] # Re: Vive TestDisk

        Posté par  . Évalué à 2.

        J'ai tenté, mais je n'en ai pas trouvé une seule dans les 5euros31 que j'avais en pieces de 5, 2 et 1 centimes :( (ni dans les 10, 20, 50 et les 1 et 2 non plus :)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.