Ce tutoriel montre comment récupérer des données sur des périphériques de stockage sous Linux. Dans ce cas, les données seront récupérées à partir d’un pendrive USB SanDisk de 32 Go, pourtant le processus présenté dans ce tutoriel est le même que pour un disque dur ordinaire. Ce tutoriel se concentrera sur deux des outils de découpage de fichiers les plus populaires, Foremost et PhotoRect, tous deux décrits dans l’article Outils de découpage de fichiers. Ils seront tous deux expliqués depuis le processus d’installation sur Debian 10 Buster jusqu’à la récupération des données.
Récupération de données sur le disque dur avec Foremost:
Pour commencer laisse voir les périphériques de stockage connectés en utilisant la commande lsblk, sur la console exécuter :
Lsblk montrera tous les périphériques de stockage et partitions disponibles, y compris les périphériques swap et optiques, dans ce cas je veux le périphérique sdb.
Note : pour en savoir plus sur la commande lsblk, lisez Comment lister tous les périphériques de disque Linux.
Comme vous pouvez le voir, le pendrive USB 32 Go était appelé sdb et c’est sur ce périphérique que je vais travailler.
Récupération de données d’un lecteur USB avec Foremost:
Pour commencer la récupération de données d’un lecteur USB, commencez par installer Foremost en utilisant le gestionnaire de paquets APT sur Debian ou les distributions Linux basées en exécutant :
Une fois installé, vous pouvez afficher la page de manuel pour vérifier toutes les options disponibles :
D’après la page man, nous comprenons que le flag -i sert à déterminer un fichier d’entrée, à partir duquel Foremost va commencer à travailler. Il est généralement destiné à travailler avec des images telles que celles produites par des outils comme dd ou Encase. Pour lancer Foremost de la manière la plus simple sans drapeaux supplémentaires, exécutez la commande suivante en remplaçant /sdb par l’ID du périphérique dont vous voulez récupérer les données.
Exécution:
Où sdb a mis le périphérique correct.
Une fois exécuté, le processus de sculpture ressemblera à :
Note : vous pouvez également spécifier des partitions comme par exemple /dev/sdb1.
Lorsque le processus se termine, exécutez ls pour confirmer la création d’un nouveau répertoire appelé output :
Comme vous pouvez le voir le répertoire output existe, pour voir les fichiers récupérés entrez dedans en utilisant la commande cd (Change Directory) puis exécutez ls :
# ls
À l’intérieur vous verrez des répertoires pour tous les types de fichiers que Foremost a réussi à récupérer, de plus vous verrez un fichier appelé audit.txt avec un rapport sur les fichiers sculptés.
Vous pouvez vérifier quels fichiers ont été trouvés à l’intérieur de chaque répertoire en exécutant ls <directory> :
Vous pouvez également parcourir tous les fichiers récupérés via un gestionnaire de fichiers graphique :
Récupération de données sur disque dur avec PhotoRec:
PhotoRect est avec Foremost l’outil de découpage de fichiers ou de récupération de données le plus populaire, tant pour la médecine légale professionnelle que pour l’usage domestique. Alors que Foremost fait une récupération plus intelligente montrant une performance plus rapide, la force brute de PhotoRec montre de meilleurs résultats lors du découpage des fichiers. Cette section montre comment effectuer la récupération de données sur le disque dur en utilisant PhotoRec.
Pour commencer sur Debian et les distributions Linux basées, installez photorec en exécutant :
La page de manuel de PhotoRec est presque vide, Photorec est assez simple à utiliser et il suffit de l’exécuter, une interface conviviale didactique similaire à celle de CFDISK s’affichera pour vous guider tout au long du processus.
Une fois installé, lancez-le en appelant le programme :
N’oubliez pas de lancer PhotoRec avec des autorisations suffisantes pour accéder au périphérique à sculpter.
Sur le premier écran, vous devez sélectionner le disque ou l’image source à partir duquel PhotoRec doit récupérer les données. Dans ce cas, je sélectionne le périphérique /dev/sdb comme le montre l’image ci-dessous :
Dans cette étape, vous devez sélectionner la partition à partir de laquelle vous voulez récupérer les données.
Si les partitions ne sont pas trouvées et répertoriées avant de procéder à une recherche à l’aide des flèches du clavier, déplacez-vous vers File Opt pour explorer les options disponibles comme le montre l’image ci-dessous :
Comme vous pouvez le voir dans File Opt, vous pouvez augmenter la précision du résultat que vous souhaitez en spécifiant le type de fichiers que vous recherchez. Sélectionnez le type de fichiers que vous voulez, puis appuyez sur b pour continuer, ou sur Quit pour revenir en arrière.
Une fois de retour dans l’écran précédent, sélectionnez Search et appuyez sur Enter pour continuer afin de lancer le processus de récupération des données.
À ce stade, Foremost demandera quel type de système de fichiers le périphérique possède ou avait, dans ce cas, c’était FAT ou NTFS, sélectionnez le système de fichiers approprié, même s’il est actuellement cassé et appuyez sur ENTRÉE.
Enfin PhotoRec vous demandera où vous voulez enregistrer les fichiers, j’ai juste laissé le Bureau mais vous pouvez créer un dossier dédié pour cela, après avoir choisi la destination appuyez sur C pour continuer.
Le processus va commencer et peut durer quelques minutes ou heures selon la taille.
À la fin du processus, PhotoRect notifiera la création d’un répertoire avec les fichiers récupérés, dans ce cas recup_dir* à l’intérieur du Bureau précédemment sélectionné comme destination.
Comme avec Foremost vous pouvez lister tous les fichiers à partir de la console:
Ou vous pouvez parcourir les fichiers en utilisant votre gestionnaire de fichiers graphique préféré :
Conclusion sur la récupération de données sur disque dur avec PhotoRec et Foremost :
Les deux outils sont à la tête du marché du découpage de fichiers, les deux outils permettent de récupérer tout type de fichiers, Foremost prend en charge le découpage de jpg, gif, png, bmp, avi, exe, mpg, wav, riff, wmv, mov, pdf, ole, doc, zip, rar, htm, et cpp et plus encore. Les deux outils sont compatibles avec les images de disque comme dd ou pour Encase. Alors que PhotoRec s’appuie sur la force brute pour fournir un découpage plus profond, Foremost se concentre sur les en-têtes et les pieds de blocs pour travailler plus rapidement. Les deux outils sont inclus dans les suites médico-légales les plus populaires et les distributions OS telles que Deft/Deft Zero live ou CAINE qui ont été décrites à https://linuxhint.com/live_forensics_tools/.
L’utilisation de PhotoRec ou Foremost apporte la possibilité d’appliquer des outils médico-légaux de haut niveau même pour un usage domestique, les outils mentionnés n’ont pas de drapeaux complexes et d’options pour ajouter le lancement de ceux-ci.
J’espère que vous avez trouvé ce tutoriel sur Comment récupérer des données sur un disque dur utile. Continuez à suivre LinuxHint pour plus de conseils et de mises à jour sur Linux et la mise en réseau.