Exemples de Restauration
From CGSecurity
Voici quelques exemples complexes de récupération de données sous TestDisk.
Le système de fichiers est de type RAW - Récupération d'un secteur d'amorçage FAT endommagé
Analyse Disk 80 - CHS 3737 255 63 - 29313 MB (Enh BIOS mode) 1 * FAT32 0 1 1 382 254 63 6152832 [LOKAL DISK] 2 E extended LBA 383 0 1 3736 254 63 53882010 Partition sector doesn't have the endmark 0xAA55 5 L FAT32 383 1 1 3736 254 63 53881947 5 L FAT32 383 1 1 3736 254 63 53881947
Le boot sector (secteur d'amorçage) de la partition FAT32 logique est endommagé : le message d'erreur de Windows est habituellement The type of the file system is RAW
("Le type de système de fichiers est RAW") ou The disk in drive D is not formatted. Do you want to format it now ?
("Le disque D n'est pas formaté. Souhaitez-vous le formater maintenant ?").
En mode avancé (Advanced), sélectionner la partition:
Interface Advanced 1 * FAT32 0 1 1 382 254 63 6152832 [LOKAL DISK] 2 E extended LBA 383 0 1 3736 254 63 53882010
5 L FAT32 383 1 1 3736 254 63 53881947 Boot sector test_FAT : Partition sector doesn't have the endmark 0xAA55 Backup boot sector OK First sectors (Boot code and partition information) are not identical. Second sectors (cluster information) are not identical. Third sectors (Second part of boot code) are not identical.
Le secteur d'amorçage de sauvegarde (backup boot sector) est valide, choisissez Backup BS
pour copier le backup boot sector sur le boot sector. Si Backup BS
n'est pas disponible, choisissez
RebuildBS
.
Récupération d'une partition NTFS perdue et endommagée
Analyse Disk 81 - CHS 2434 255 63 - 19092 MB (Enh BIOS mode) No partition is bootable
Aucune partition disponible.
Analyse Disk 81 - CHS 2434 255 63 - 19092 MB (Enh BIOS mode) L FAT32 1275 1 1 2433 254 63 18619272 [NO NAME]
Seule la seconde partition a été trouvée. Choisissez Search! pour essayer de trouver plus de partitions.
Analyse Disk 81 - CHS 2434 255 63 - 19092 MB (Enh BIOS mode) * HPFS - NTFS 0 1 1 1274 254 63 20482812 L FAT32 1275 1 1 2433 254 63 18619272 [NO NAME]
Les deux partitions ont été trouvées, mais la première partition NTFS a été trouvée en utilisant backup boot sector, nous devons restaurer le boot sector. Choisissez Write puis Backup BS
pour copier le backup boot sector sur le boot sector.
Récupération sur un ordinateur Dell
Sur un ordinateur Dell, il existe une partition spéciale appelée DellUtility. C'est une partition FAT16 invisible pour Windows puisque son type de partition est DE.
Disk 80 - CHS 4865 255 63 - 38162 MB (Enh BIOS mode) * FAT16 >32M 0 1 1 3 254 63 64197 [DellUtility] P HPFS - NTFS 4 0 1 4864 254 63 78091965
Après Analyse, sélectionnez la partition DellUtility, utilisez 'T' pour changer le type de partition en DE. Utilisez la toucher flèche pour démarrer sur la partition NTFS.
Disk 80 - CHS 4865 255 63 - 38162 MB (Enh BIOS mode) P Dell Utility 0 1 1 3 254 63 64197 [DellUtility] * HPFS - NTFS 4 0 1 4864 254 63 78091965
Problème de géométrie du disque - Toutes les partitions sont effacées
Dans ce cas, toutes les partitions ont été effacées. TestDisk ne montre aucune partition! L'utilisateur a lancé testdisk /debug /log. Voici un extrait de testdisk.log
Analyse Disk /dev/hdb - CHS 5169 240 63 - 38161 MB No partition is bootable search_part() Disk /dev/hdb - CHS 5169 240 63 - 38161 MB FAT32 at 0/1/1 heads/cylinder 255 (FAT) != 240 (HD)
Une partition FAT32 a été trouvée mais il y a un avertissement concernant la géométrie du disque dur. Le BIOS a choisi une autre géométrie pour le disque à cause du contenu du MBR (vide dans ce cas). Sous TestDisk, choisissez geometry, fixez le nombre de têtes à 255 au lieu de 240 et lancez de nouveau Analyse.
Deux partitions FAT32 à récupérer
Il y avait deux partitions FAT32 sur le disque dur mais elles ont été effacées. Après avoir lancé Analyse et Search!, TestDisk avait seulement trouvé la deuxième.
Disk 81 - CHS 525 255 63 - 4118 MB L FAT32 384 1 1 524 254 63 2265102
En utilisant A pour ajouter ce que nous pensions être la partition manquante, une nouvelle table de partition a été écrite avec deux FAT32:
1 P FAT32 0 1 1 383 254 63 6168897 2 E extended 384 0 1 524 254 63 2265165 5 L FAT32 384 1 1 524 254 63 2265102
En utilisant Advanced, Boot, RebuildBS, nous avons tenté de reconstruire le secteur d'amorçage de la première FAT32. Avec List, il a été possible de voir un listing des fichiers du répertoire racine mais aussi beaucoup de déchets... Rien n'a été écrit. Dans le fichier log (disponible en mode Expert), nous pouvons voir que 4 copies de FAT32 ont été trouvées:
FAT32 at 32(0/1/33), nbr=123 FAT32 at 8221(0/131/32), nbr=123 FAT32 at 16097(1/1/33), nbr=1234 FAT32 at 22100(1/96/51), nbr=1234
Normalement, seulement deux copies de FAT doivent être trouvées. Ce sont des données restantes de deux partitions FAT32 différentes: une commençant à 0/1/1, la seconde à 1/1/1. Nous avons fait une erreur. Cette fois, nous avons ajouter la bonne partition et l'avons écrite.
1 E extended 1 0 1 524 254 63 8418060 5 L FAT32 1 1 1 383 254 63 6152832 6 L FAT32 384 1 1 524 254 63 2265102
Avec RebuildBS (Advanced/Boot), nous avons été capables de reconstruire le boot sector avec succès.
Partition perdue après une défragmentation
Après voir lancer une défragmentation sur la première partition, la seconde FAT32 a disparu. Lors de la vérification de la table de partition, TestDisk détecte un problème avec la première partition, mais aucune partition logique.
Disk 81 - CHS 1245 255 63 - 9766 MB check_FAT: Incorrect size of partition 1 * FAT32 LBA 0 1 1 746 254 63 12000492 1 * FAT32 LBA 0 1 1 746 254 63 12000492 2 E extended 747 0 1 1244 254 63 8000370
TestDisk a été capable de trouver la première partition mais cette partition est plus grande d'un secteur par rapport à la véritable partition. La défragmentation a écrasé le début de la partition étendue, effaçant l'entrée de la partition logique.
* FAT32 0 1 1 747 254 63 12016557 [D DRIVE] D Linux 1023 1 1 1244 254 63 3566367
L'utilisateur a choisi de récupérer uniquement la partition FAT32. Après une sauvegarde de ses données, il a réduit la FAT32 pour utiliser un secteur de moins. Il est maintenant temps de récupérer la seconde partition. L'utilisateur a manuellement ajouter l'entrée de la seconde partition.
1 * FAT32 0 1 1 746 254 63 12000492 [D DRIVE] 2 E extended LBA 747 0 1 1244 254 63 8000370 5 L FAT32 747 1 1 1244 254 63 8000307
Dans Advanced, sélectionnez la seconde FAT32 puis RebuildBS. Après un redémarrage et une petite vérification du système de fichiers, les données étaient de nouveau disponibles.
Récupération d'une session d'un CD-ROM
Avec des CD-ROM multi-sessions, il est possible d'effacer des fichiers d'une session précédente. Du fait que les fichiers ne sont pas vraiment effacés, il est possible de les récupérer. Pour lire les fichiers de la première session, lancez sous Linux
mount /dev/cdrom /mnt/cdrom -t iso9660 -o session=0
Retour à la page principale de TestDisk .