Phenquestions
Récupération de données à partir du disque dur avec Foremost :
Pour commencer, voyons les périphériques de stockage connectés en utilisant la commande lsblk, sur la console, exécutez :
# lsblk
Lsblk affichera tous les périphériques de stockage et partitions disponibles, y compris les périphériques d'échange et optiques, dans ce cas, je veux le périphérique sdb.
Noter: pour en savoir plus sur la commande lsblk lire Comment répertorier tous les périphériques de disque Linux.
Comme vous pouvez le voir, la clé USB 32 Go s'appelait sdb et c'est l'appareil sur lequel je vais travailler.
Récupération de données à partir d'une clé USB avec Foremost :
Pour commencer la récupération de données à partir d'une clé USB, commencez par installer Foremost à l'aide du gestionnaire de packages APT sur Debian ou sur des distributions Linux basées en exécutant :
# apt installer avant tout
Une fois installé, vous pouvez afficher la page de manuel pour vérifier toutes les options disponibles :
# homme avant tout
De la page de manuel, nous comprenons le drapeau -je est de déterminer un fichier d'entrée, à partir duquel Foremost commencera à travailler. Il est généralement destiné à travailler avec des images telles que celles produites par des outils comme dd ou Encase. Pour lancer Foremost de la manière la plus simple sans drapeaux supplémentaires, exécutez la commande suivante en remplaçant /sdb pour l'ID de périphérique à partir duquel vous souhaitez récupérer les données.
Cours:
Où sdb mettre le bon appareil.
Une fois exécuté, le processus de sculpture ressemblera à :
Noter: vous pouvez également spécifier des partitions comme par exemple /dev/sdb1.
Lorsque le processus se termine, exécutez ls pour confirmer la création d'un nouveau répertoire appelé production:
# ls
Comme vous pouvez le voir, la sortie du répertoire existe, pour voir les fichiers récupérés, entrez-le à l'aide de la commande CD (Changer de répertoire) puis exécutez ls:
# ls
À l'intérieur, vous verrez des répertoires pour tous les types de fichiers que le premier a réussi à récupérer, en outre, vous verrez un fichier appelé audit.txt avec un rapport sur les fichiers gravés.
Vous pouvez vérifier quels fichiers ont été trouvés dans chaque répertoire en exécutant ls
Vous pouvez également parcourir tous les fichiers récupérés via un gestionnaire de fichiers graphique :
Récupération de données à partir du disque dur avec PhotoRec :
PhotoRect est avec Foremost l'outil de gravure de fichiers ou de récupération de données le plus populaire à la fois pour la médecine légale professionnelle et pour un usage domestique. Alors que Foremost effectue une récupération plus intelligente affichant des performances plus rapides, la force brute de PhotoRec affiche de meilleurs résultats lors de la gravure de fichiers. Cette section montre comment effectuer la récupération de données à partir du disque dur à l'aide de PhotoRec.
Pour commencer sur Debian et les distributions Linux basées, installez photorec en exécutant :
# apt installer le disque de test
La page de manuel de PhotoRec est presque vide, Photorec est assez simple à utiliser et n'a qu'à être exécuté, une interface conviviale didactique similaire à celle de CFDISK apparaîtra pour vous guider tout au long du processus.
Une fois installé, lancez-le en appelant le programme :
# photorec
N'oubliez pas d'exécuter PhotoRec avec suffisamment d'autorisations pour accéder à l'appareil à graver.
Sur le premier écran, vous devez sélectionner le disque source ou l'image à partir de laquelle PhotoRec doit récupérer les données. Dans ce cas, je sélectionne le périphérique /dev/sdb comme indiqué dans l'image ci-dessous :
Dans cette étape, vous devez sélectionner la partition à partir de laquelle vous souhaitez récupérer les données.
Si les partitions ne sont pas trouvées et répertoriées avant de procéder à une recherche à l'aide des flèches du clavier, passez à Option de fichier pour explorer les options disponibles, comme indiqué dans l'image ci-dessous :
Comme vous pouvez le voir à l'intérieur Option de fichier vous pouvez augmenter la précision des résultats que vous souhaitez en spécifiant le type de fichiers que vous recherchez. Sélectionnez le type de fichiers que vous souhaitez, puis appuyez sur b continuer, ou Quitter retourner.
Une fois de retour dans l'écran précédent, sélectionnez Rechercher et appuyez sur Entrée pour continuer pour commencer le processus de récupération de données.
A ce stade, Foremost demandera quel type de système de fichiers le périphérique a ou avait, dans ce cas c'était FAT ou NTFS, sélectionnez le bon système de fichiers, même s'il est actuellement cassé et appuyez sur ENTRER.
Enfin PhotoRec vous demandera où vous souhaitez enregistrer les fichiers, je viens de quitter le bureau mais vous pouvez créer un dossier dédié pour cela, après avoir choisi la destination appuyez sur C continuer.
Le processus commencera et peut durer quelques minutes ou heures selon la taille.
A la fin du processus PhotoRect notifiera la création d'un répertoire avec les fichiers récupérés, dans ce cas recup_dir* à l'intérieur du Bureau précédemment sélectionné comme destination.
Comme avec Foremost, vous pouvez lister tous les fichiers de la console :
Ou vous pouvez parcourir les fichiers à l'aide de votre gestionnaire de fichiers graphique préféré :
Conclusion sur la récupération de données depuis le disque dur avec PhotoRec et Foremost :
Les deux outils dominent le marché de la sculpture de fichiers, les deux outils permettent de récupérer tout type de fichiers, Foremost prend en charge la sculpture jpg, gif, png, bmp, avi, EXE, mpg, wav, riff, wmv, déplacer, pdf, vieux, doc, Zip *: français, rar, htm, et cpp et plus. Les deux outils sont compatibles avec les images disque comme dd ou pour Encase. Alors que PhotoRec utilise la force brute pour une sculpture plus profonde, Foremost se concentre sur les en-têtes et les pieds de page de bloc qui fonctionnent plus rapidement. Les deux outils sont inclus dans les suites médico-légales et les distributions de système d'exploitation les plus populaires telles que Deft/Deft Zero live ou CAINE qui ont été décrites à https://linuxhint.com/live_forensics_tools/.
L'utilisation de PhotoRec ou de Foremost offre la possibilité d'appliquer des outils médico-légaux de haut niveau, même pour un usage domestique, les outils mentionnés n'ont pas de drapeaux complexes et d'options pour ajouter le lancement.
J'espère que vous avez trouvé ce tutoriel sur la récupération de données à partir d'un disque dur utile. Continuez à suivre LinuxHint pour plus de conseils et de mises à jour sur Linux et les réseaux.
