Pages : 1
#1 Le 19/03/2016, à 02:41
- TiTives
Récupération fichiers après passage au SAV
Bonjour,
Je me permets de vous solliciter pour un problème de récupération de données perdues.
Alors voici le contexte :
Il s'agit d'un portable HP Pavilion de mon frère, acheté il y a un an. Il fonctionne sous windows, avec un disque dur de 1To avec une seule partition (en fait plus en comptant les partions de EFI, recovery...). En gros les données sont stockées sur la même partition que le système d'exploitation.
L'ordinateur est tombé en panne (carte mère) et a donc été envoyé en pologne (SAV de HP). Ils ont changé la carte mère et on réinstallé le système d'exploitation, formatant le disque dur et les données qui s'y trouvaient.
J'essaie donc de récupérer les données en passant par un live USB d'Ubuntu, d'abord pour ne pas travailler sur le disque dur, mais en plus parceque windows, ça me file des boutons. Je me suis par contre un peu vite avancé en disant que j'étais capable de les récupérer, m'appuyant sur une expérience qui m'avait permis de retrouver facilement des données sur mon install d'Ubuntu (dossier à la corbeille, corbeille vidée) très facilement grace à EXTUndelete. J'avais juste omis l'idée que ce logiciel fonctionne sur des partitions formatées en ext et non en ntfs.
Bref, du coup j'essaie de faire ça avec testdisk, mais je reconnais que c'est bien compliqué malgré les excellents sujets qui y sont consacrés sur le forum. Pour faire simple, plus je cherche à comprendre et moins j'y comprends rien.
à noter que j'ai d'ors et déjà essayer de faire une copie du disque avec ddrescue, mais que l'image obtenue fait seulement 39,7 Go (à priori il n'a copié que les données de la nouvelle installation.
Quelques infos système :
ubuntu@ubuntu:~$ sudo sfdisk -luS
WARNING: GPT (GUID Partition Table) detected on '/dev/sda'! The util sfdisk doesn't support GPT. Use GNU Parted.
Disk /dev/sda: 121601 cylinders, 255 heads, 63 sectors/track
Warning: The partition table looks like it was made
for C/H/S=*/256/63 (instead of 121601/255/63).
For this listing I'll assume that geometry.
Units = sectors of 512 bytes, counting from 0
Device Boot Start End #sectors Id System
/dev/sda1 1 4294967295 4294967295 ee GPT
/dev/sda2 0 - 0 0 Empty
/dev/sda3 0 - 0 0 Empty
/dev/sda4 0 - 0 0 Empty
Disk /dev/sdb: 30144 cylinders, 64 heads, 32 sectors/track
Warning: The partition table looks like it was made
for C/H/S=*/80/16 (instead of 30144/64/32).
For this listing I'll assume that geometry.
Units = sectors of 512 bytes, counting from 0
Device Boot Start End #sectors Id System
/dev/sdb1 * 8064 61734911 61726848 c W95 FAT32 (LBA)
start: (c,h,s) expected (6,24,1) found (1,0,1)
end: (c,h,s) expected (1023,79,16) found (486,79,16)
/dev/sdb2 0 - 0 0 Empty
/dev/sdb3 0 - 0 0 Empty
/dev/sdb4 0 - 0 0 Empty
Disk /dev/sdc: 121601 cylinders, 255 heads, 63 sectors/track
Units = sectors of 512 bytes, counting from 0
Device Boot Start End #sectors Id System
/dev/sdc1 63 1953520064 1953520002 7 HPFS/NTFS/exFAT
/dev/sdc2 0 - 0 0 Empty
/dev/sdc3 0 - 0 0 Empty
/dev/sdc4 0 - 0 0 Empty
ubuntu@ubuntu:~$
ubuntu@ubuntu:~$ udisks --show-info /dev/sda
Showing information for /org/freedesktop/UDisks/devices/sda
native-path: /sys/devices/pci0000:00/0000:00:13.0/ata1/host0/target0:0:0/0:0:0:0/block/sda
device: 8:0
device-file: /dev/sda
presentation: /dev/sda
by-id: /dev/disk/by-id/ata-HGST_HTS541010A9E680_JD10001V3BHBXB
by-id: /dev/disk/by-id/wwn-0x5000cca768ef8058
detected at: sam. 19 mars 2016 00:27:17 UTC
system internal: 1
removable: 0
has media: 1 (detected at sam. 19 mars 2016 00:27:17 UTC)
detects change: 0
detection by polling: 0
detection inhibitable: 0
detection inhibited: 0
is read only: 0
is mounted: 0
mount paths:
mounted by uid: 0
presentation hide: 0
presentation nopolicy: 0
presentation name:
presentation icon:
automount hint:
size: 1000204886016
block size: 512
job underway: no
usage:
type:
version:
uuid:
label:
partition table:
scheme: gpt
count: 6
drive:
vendor: ATA
model: HGST HTS541010A9E680
revision: JA0OA710
serial: JD10001V3BHBXB
WWN: 5000cca768ef8058
detachable: 0
can spindown: 1
rotational media: Yes, at 5400 RPM
write-cache: enabled
ejectable: 0
adapter: Unknown
ports:
similar devices:
media:
compat:
interface: ata
if speed: (unknown)
ATA SMART: Updated at sam. 19 mars 2016 00:27:48 UTC
overall assessment: Good
===============================================================================
Attribute Current|Worst|Threshold Status Value Type Updates
===============================================================================
raw-read-error-rate 100|100| 62 good 0 Pre-fail Online
throughput-performance 100|100| 40 good 0 Pre-fail Offline
spin-up-time 211|100| 33 good 1 msec Pre-fail Online
start-stop-count 100|100| 0 n/a 1247 Old-age Online
reallocated-sector-count 100|100| 5 good 0 sectors Pre-fail Online
seek-error-rate 100|100| 67 good 0 Pre-fail Online
seek-time-performance 100|100| 40 good 0 Pre-fail Offline
power-on-hours 93| 93| 0 n/a 137,0 days Old-age Online
spin-retry-count 100|100| 60 good 0 Pre-fail Online
power-cycle-count 100|100| 0 n/a 1212 Old-age Online
runtime-bad-block-total 100|100| 0 n/a 0 Old-age Online
end-to-end-error 100|100| 97 good 0 Pre-fail Online
reported-uncorrect 100|100| 0 n/a 8590196736 sectors Old-age Online
command-timeout 100|100| 0 n/a 1 Old-age Online
airflow-temperature-celsius 75| 54| 45 good 25C / 77F Old-age Online
g-sense-error-rate 98| 98| 0 n/a 657 Old-age Online
power-off-retract-count 100|100| 0 n/a 4128831 Old-age Online
load-cycle-count 96| 96| 0 n/a 46993 Old-age Online
reallocated-event-count 100|100| 0 n/a 0 Old-age Online
current-pending-sector 100|100| 0 n/a 0 sectors Old-age Online
offline-uncorrectable 100|100| 0 n/a 0 sectors Old-age Offline
udma-crc-error-count 100|100| 0 n/a 0 Old-age Online
load-retry-count 100|100| 0 n/a 0 Old-age Online
ubuntu@ubuntu:~$
Si quelqu'un peut m'aider, j'avoue que je lui en serai reconnaissant jusqu'à la dix-huitième génération. D'avance merci
TiTives
Hors ligne
#2 Le 19/03/2016, à 15:08
- fredr
Re : Récupération fichiers après passage au SAV
Salut,
Pour cela, le plsu efficace me semble photorec qui fait parti des outils testdisk.
Je pense qu'il est dispo avec un sudo apt-get install.
Une fois lancé en sudo, tu choisis ton disque, l'endroit où seront stocké les fichiers récupérés et comme option de scan: wholedisk (de mémoire)
Tu as un pas à pas très complet ici: http://www.cgsecurity.org/wiki/PhotoRec_Etape_par_Etape
Fred
Dernière modification par fredr (Le 19/03/2016, à 15:09)
ArcoLinuxD Awesome
L'optimiste pense que nous vivons dans le meilleur des mondes. Et le pessimiste craint que ce ne soit exact.
Hors ligne
#3 Le 19/03/2016, à 15:15
- Nasman
Re : Récupération fichiers après passage au SAV
Es tu sur que le disque n'a pas été changé par la même occasion ?
PC fixe sous Bionic 64 bits et portable avec Focal 64 bits
Hors ligne
#4 Le 19/03/2016, à 16:11
- moko138
Re : Récupération fichiers après passage au SAV
power-on-hours 93| 93| 0 n/a 137,0 days # 3.300 heures
power-off-retract-count 100|100| 0 n/a 4128831 # 4 millions !!!
4 millions, si le nombre est exact, ça fait un parcage toutes les 3 secondes. De quoi user la mécanique...
À ta place, j'essaierais, sur une image normale du disque entier,
1) testdisk --> recherche des "deleted"
cgsecurity.org/wiki/TestDisk_Etape_par_Etape
sans grand espoir, mais si ça marche, ce sera très rapide et très efficace sur les zones non réécrites du disque,
2) photorec, avec le tutoriel signalé par fredr.
%NOINDEX%
Un utilitaire précieux : ncdu
Photo, mini-tutoriel : À la découverte de dcraw
Hors ligne
#5 Le 19/03/2016, à 17:20
- 01franz
Re : Récupération fichiers après passage au SAV
Bonjour
tu peu essayer foremost ou scalpel une avantage sur photorec ils recouper le fichiers et les tri. Il sont dans le depot.
Foremost marche sans avoir changer les config-file.
sudo foremost -i /dev/la_disk_ou_ce_trouve_le_dd -o chemin_vers_un_dd_externe_a_grand_capacité
long mais efficace
scalpel fonction a peu prés pareilles Il faut changer son fichier de configuration attention décoche pas tout sinon tu a pour la semaine.
Pour récupéré les fichiers openoffice copie
#---------------------------------------------------------------------
# OPENOFFICE FILES
#---------------------------------------------------------------------
odt y 20000000 PK????????????????????????????mimetypeapplication/vnd.oasis.opendocument.textPK META-INF/manifest.xmlPK????????????????????
ods y 10000000 PK????????????????????????????mimetypeapplication/vnd.oasis.opendocument.spreadsheetPK META-INF/manifest.xmlPK????????????????????
odp y 10000000 PK????????????????????????????mimetypeapplication/vnd.oasis.opendocument.presentationPK META-INF/manifest.xmlPK????????????????????
# odg y 10000000 PK????????????????????????????mimetypeapplication/vnd.oasis.opendocument.graphicsPK META-INF/manifest.xmlPK????????????????????
# odc y 10000000 PK????????????????????????????mimetypeapplication/vnd.oasis.opendocument.chartPK META-INF/manifest.xmlPK????????????????????
# odf y 10000000 PK????????????????????????????mimetypeapplication/vnd.oasis.opendocument.formulaPK META-INF/manifest.xmlPK????????????????????
# odi y 10000000 PK????????????????????????????mimetypeapplication/vnd.oasis.opendocument.imagePK META-INF/manifest.xmlPK????????????????????
# odm y 10000000 PK????????????????????????????mimetypeapplication/vnd.oasis.opendocument.text-masterPK META-INF/manifest.xmlPK????????????????????
# sxw y 10000000 PK????????????????????????????mimetypeapplication/vnd.sun.xml.writerPK META-INF/manifest.xmlPK????????????????????
#---------------------------------------------------------------------
# THUNDERBIRD FILES
#---------------------------------------------------------------------
# msf y 10000000 //\s<!--\s<mdb:mork:z\sv="1.4"/>\s-->?<\s<(a=c)>\s//\s(f=iso-8859-1) //\s<!--\s<mdb:mork:z\sv="1.4"/>\s-->?<\s<(a=c)>\s//\s(f=iso-8859-1) NEXT
# actual Local Folder data files, no way to tell end so grab 100MB
# NONE y 100000000 From????????????????????????????X-Mozilla-Status:\s?????X-Mozilla-Status2: NEXT
ça dans la fichier de config (/etc/scalpel.conf ou pour foremost /etc/foremost.conf)
bon chance
toujours utile
sudo tail -f /var/log/syslog
Hors ligne
#6 Le 20/03/2016, à 01:35
- TiTives
Re : Récupération fichiers après passage au SAV
Tout d'abord merci pour vos réponses, et je vais donc faire le point à la fois sur vos propositions, vos questions et ce que j'ai fait depuis hier.
Le disque dur est le bon, mon frère a dans un premier temps essayé avec un logiciel sur windows avant qu'une fois informé, je ne l'arrête pour ne pas utiliser le disque. Il a pu récupérer quelques fichiers en vrac avec des noms bizarres et dans un même dossier, dont quelques photos attestant que c'est le bon dd.
C'est aussi pour cette raison que je ne souhaite pas utiliser dans un premier temps photorec, le temps de tri qui en résulterai serait titanesque.
Je cherche donc à récupérer les fichiers avec leur noms et si possible l'arborescence.
On verra donc photorec ou foremost en dernier recours.
Je vais donc bien regarder du coté de testdisk, en sachant que j'ai presque réussi aujourd'hui à faire une copie du dd avec ddrescue. J'ai un fichier .dd de 984 Go mais la copie s'est bloquée à la toute fin, manque de place sur le disque de 1 To formaté pour accueillir la copie.
Pour la petite histoire, si la copie avait échoué jusqu'ici, c'était du au formatage. J'avais formaté mon dd en ntfs (ça m'avait paru évident puisque je voulais faire une copie d'un disque formaté en ntfs), mais ce format windowsien limite la taille des fichiers. C'était pourtant écrit dans un des nombreus posts que j'ai lu sur le sujet, mais l'info m'avait échappée. Formaté en ext4, pas de limite de taile, si ce n'est celle du disque dur en lui même.
Donc 1To pour faire la copie d'un disque d'1To c'est un poil trop juste. C'est con, j'ai pas plus gros.
Du coup, je m'interroge d'essayer testdisk sur cette copie, est-ce que ça va marcher ou pas. Je vais essayer.
Surtout que je viens de refaire un deeper search sur le dd, mais qu'en voulant faire une cope pour le poster ici, je m'ai planté en faisant très bêtement un ctrl+c dans le terminal, il y a des réflexes à la con des fois. Bref, je relance pour faire sur l'image créée par ddrescue.
voici quand même le résultat du deeper search, avec et je trouve ça bizarre la grosse partition de 970Go qui apparait 9 fois.
TestDisk 7.0, Data Recovery Utility, April 2015
Christophe GRENIER <grenier@cgsecurity.org>
http://www.cgsecurity.org
Disk /dev/sda - 1000 GB / 931 GiB - CHS 121601 255 63
The harddisk (1000 GB / 931 GiB) seems too small! (< 1946 GB / 1813 GiB)
Check the harddisk size: HD jumpers settings, BIOS detection...
The following partitions can't be recovered:
Partition Start End Size in sectors
> MS Data 893954710 2794034796 1900080087
MS Data 932031008 2832111094 1900080087
MS Data 952280384 2852360470 1900080087
MS Data 958651776 2858731862 1900080087
MS Data 966371680 2866451766 1900080087
MS Data 972312512 2872392598 1900080087
MS Data 973318080 2873398166 1900080087
MS Data 1902207958 3802288044 1900080087
MS Data 1953513471 2003027966 49514496ubuntu@ubuntu:~/testdisk-7.0$
[ Continue ]
NTFS, blocksize=4096, 972 GB / 906 GiB
pour moko138, ces chiffres te semblent problématiques ? j'avoue que pour moi c'est du charabia et je ne sais pas trop à quoi ça correspond.
Je regarde les tutos étape par étape, et on verra bien.
Encore merci et n'hésitez pas à continuer à éclairer ma petite lanterne.
ps : mon post n'est plus dans la section "autres logiciels et problèmes généraux", mais dans "café ubuntu", ce dont je viens de me rendre compte en voulant poster ma réponse. C'est moi qui ai buggé, où c'est un modo qui a déplacé pour une sûrement bonne raison qui m'échappe pourtant ?
Modération : la discussion a été déplacée dans le café car elle ne relève pas d'un soutien Ubuntu. Il s'agit d'un système Windows sur un disque d'1 To sur une seule partition. (en dehors des efi, recovery etc.). Rien n'empêche de demander et obtenir de l'aide, dans le café. Désolé d'avoir négligé de le signaler dès le déplacement.
Dernière modification par Ayral (Le 20/03/2016, à 10:39)
Hors ligne
#7 Le 20/03/2016, à 13:33
- TiTives
Re : Récupération fichiers après passage au SAV
Pour les modérateurs : Je vous remercie pour l'explication, même si je ne la comprends pas totalement. C'est certes un système windows à la base, mais que j'essaie de dépanner à l'aide d'un live usb ubuntu et plus précisément de testdisk.
Poursuivons...
Je viens de finir le deeper search sur l'image disque. Je vous mets les résultats à la suite.
Une seule grosse partition trouvée, avec comme liste des fichiers, les fichiers actuels. Aucune trace de "l'ancienne" partition : je mets "l'ancienne" entre guillemets car à priori il n'y a pas eu de repartitionnement. Ils ont juste formaté l'ancienne partition et réinstallé windows dessus. Mais aucune trace des fichiers d'avant.
à noter une partition, présente 3 fois en mac hfs ? c'est normal ça ? Et toutes ces partitions boot pour un ordi qui n'a subi qu'une fois une réinstallation. Là je crois que ça me dépasse vraiment.
TestDisk 7.0, Data Recovery Utility, April 2015
Christophe GRENIER <grenier@cgsecurity.org>
http://www.cgsecurity.org
Disk /media/ubuntu/RECUP1/ddbud.dd - 984 GB / 916 GiB - CHS 119666 255 63
Partition Start End Size in sectors
D MS Data 2048 1333247 1331200
D MS Data 713971 720144 6174
D MS Data 720144 726317 6174 [Boot]
D MS Data 726355 732528 6174
D MS Data 732528 738701 6174 [Boot]
D MS Data 1245371 1251544 6174
D MS Data 1251544 1257717 6174 [Boot]
D MS Data 1251563 1257736 6174
D MS Data 1257736 1263909 6174 [Boot]
D MS Data 1333247 2664446 1331200
D MS Data 1333248 1865727 532480 [NO NAME]
D MS Data 1333254 1865733 532480 [NO NAME]
D MS Data 1374531 1380704 6174
D MS Data 1380704 1386877 6174 [Boot]
>D MS Data 2127872 1902207958 1900080087
D MS Data 16930339 16936512 6174
D MS Data 16936512 16942685 6174 [Boot]
D MS Data 16936531 16942704 6174
D MS Data 16942704 16948877 6174 [Boot]
D MS Data 16942723 16948896 6174
D MS Data 16948896 16955069 6174 [Boot]
D Mac HFS 23230066 161642355 138412290
D Mac HFS 23234106 161646395 138412290
D Mac HFS 23238146 161650435 138412290
D MS Data 32727544 32730423 2880 [EFISECTOR]
D MS Data 32730424 32733303 2880 [EFISECTOR]
D MS Data 32747444 32768182 20739 [NO NAME]
D MS Data 35811498 35832236 20739 [NO NAME]
D MS Data 52594281 53966264 1371984 [GW ث݊ b~^dS
D MS Data 52594282 53966265 1371984 [GW ث݊ b~^dS
D MS Data 114533464 114536343 2880 [EFISECTOR]
D MS Data 346173863 346194601 20739 [NO NAME]
D MS Data 351694756 361944162 10249407
D MS Data 361944096 362152877 208782 [NO NAME]
D MS Data 361944097 362152878 208782 [NO NAME]
D MS Data 361944098 382426909 20482812
Structure: Ok. Use Up/Down Arrow keys to select partition.
Use Left/Right Arrow keys to CHANGE partition characteristics:
P=Primary D=Deleted
Keys A: add partition, L: load backup, T: change type, P: list files,
Enter: to continue
NTFS, blocksize=4096, 972 GB / 906 GiB
TestDisk 7.0, Data Recovery Utility, April 2015
Christophe GRENIER <grenier@cgsecurity.org>
http://www.cgsecurity.org
MS Data 2127872 1902207958 1900080087
Directory /
>dr-xr-xr-x 0 0 0 2-Mar-2016 23:52 .
dr-xr-xr-x 0 0 0 2-Mar-2016 23:52 ..
dr-xr-xr-x 0 0 0 2-Mar-2016 21:01 $RECYCLE.BIN
dr-xr-xr-x 0 0 0 31-Oct-2014 01:10 HP
dr-xr-xr-x 0 0 0 31-Oct-2014 02:11 Intel
dr-xr-xr-x 0 0 0 22-Aug-2013 15:22 PerfLogs
dr-xr-xr-x 0 0 0 2-Mar-2016 20:57 Program Files
dr-xr-xr-x 0 0 0 8-Mar-2016 01:06 Program Files (x86)
dr-xr-xr-x 0 0 0 2-Mar-2016 20:57 ProgramData
dr-xr-xr-x 0 0 0 31-Oct-2014 12:44 SWSetup
dr-xr-xr-x 0 0 0 2-Mar-2016 21:00 SYSTEM.SAV
dr-xr-xr-x 0 0 0 8-Mar-2016 19:55 System Volume Information
dr-xr-xr-x 0 0 0 2-Mar-2016 21:00 Users
dr-xr-xr-x 0 0 0 2-Mar-2016 21:01 Windows
dr-xr-xr-x 0 0 0 2-Apr-2014 23:13 inetpub
-r--r--r-- 0 0 1 18-Jun-2013 12:18 BOOTNXT
-r--r--r-- 0 0 3471 4-Dec-2014 04:04 OA3.Trace.xml
-r--r--r-- 0 0 412 4-Dec-2014 04:04 OA3ChkEdt.log
-r--r--r-- 0 0 398356 18-Mar-2014 09:54 bootmgr
-r--r--r-- 0 0 3344568320 14-Mar-2016 07:19 hiberfil.sys
-r--r--r-- 0 0 738197504 14-Mar-2016 07:19 pagefile.sys
-r--r--r-- 0 0 268435456 14-Mar-2016 07:19 swapfile.sys
Next
Use Right to change directory, h to hide Alternate Data Stream
q to quit, : to select the current file, a to select all files
C to copy the selected files, c to copy the current file
Hors ligne
#8 Le 20/03/2016, à 21:55
- 01franz
Re : Récupération fichiers après passage au SAV
bonsoir
si tu t intéresse comme un ordi démarre un peu d lecture.
Et toutes ces partitions boot pour un ordi qui n'a subi qu'une fois une réinstallation. Là je crois que ça me dépasse vraiment.
Il peu que il a plusieurs foirs le 55AA.(marquer de bootsecteur)
http://www.futura-sciences.com/magazine … -mbr-5167/
Pour moi il est toujours favorable de utilise un programme écrit pour le system de fichier (ici ntfs)
et d utiliser en dernier recours de programmes de récupération spéciale comme
foremost ou scalpel (cree par le fbi aux debut) , photorec est peu practique.
bon courage
toujours utile
sudo tail -f /var/log/syslog
Hors ligne
Pages : 1