Recuperation de la table de partition d'un disque crypte

Noun-buntu · Le 04/04/2016, à 21:03

Bonjour,

Suite a une manœuvre ratée pour créer une clé bootable, j'ai effacé la table de partition de mon disque dur crypté. J'ai essayé de récupérer les données en suivant des posts (notamment celui ci) mais la plupart des problèmes lies aux disques cryptés est la perte du mot de passe (ce n'est pas mon cas) ou un disque dur défaillant (pas mon cas non plus).

Quel outil pourrais-je utiliser pour recouvrir la table de partition, ou bien même seulement recouvrir les données ?

Merci bien !

Bougron · Le 04/04/2016, à 22:02

Bonsoir
Si tu n'as seulement supprimé que la table de partition, que le disque soit crypté ou pas, cela se récupère par testdisk à lancer à partir d'une clé USB (ou un DVDROM)
et surtout pas en utilisant une procédure de panne disque.

Tu iras, jusqu'à l'endroit où il découvre les partitions, et tu posteras le résultat de sa découverte.

Dernière modification par Bougron (Le 04/04/2016, à 22:05)

Noun-buntu · Le 05/04/2016, à 22:07

Bonsoir Bougon

Merci pour ton aide (rapide)!
Voici le resultat de testdisk:
> [Create]
>Disk /dev/sda - 120 GB / 111 GiB - WDC WD1200BEVS-00UST0
> [Intel]
>[Analyse]
No partition is bootable
>[Quick search]
Disk /dev/sda - 120 GB / 111 GiB - CHS 14593 255 63
Partition Start End Size in sectors
>* Linux 0 1 1 2292 254 63 36836982
P Linux 11414 190 41 14593 66 1 51062784 [sys2]

Bougron · Le 05/04/2016, à 22:18

Je ne sais pas combien tu avais de partitions.

Pousses encore un un ou deux crans de plus, jusqu'à ce qu'il propose la ligne deepsearch, qu'il est totalement inutile de faire.

Dernière modification par Bougron (Le 05/04/2016, à 22:21)

Noun-buntu · Le 05/04/2016, à 22:21

Je n'avais qu'une seule partition sur tout le disque dur.
Voici le resultat apres avoir continue d'une etape:

Partition Start End Size in sectors

1 * Linux 0 1 1 2292 254 63 36836982
2 P Linux 11414 190 41 14593 66 1 51062784 [sys2]

Bougron · Le 05/04/2016, à 22:31

encore un cran
Il y a quand même deux partitions de repérées.

Dernière modification par Bougron (Le 05/04/2016, à 22:32)

Noun-buntu · Le 05/04/2016, à 22:33

Je ne peux paas progresser plus. A present je dispose des options suivantes:
[ Quit ] >[Deeper Search] [ Write ]

L'option Deeper Search est proposee, mais il me semble comprendre qu'elle n'est pas utile. J'essaye donc 'Write' ?

Dernière modification par Noun-buntu (Le 05/04/2016, à 22:34)

Bougron · Le 05/04/2016, à 22:44

Je te propose de te positionner sur Write, de valider ton choix par enter
puis de confirmer l'écriture pour que la réparation se fasse. Puis de booter pour vérifier.

Dernière modification par Bougron (Le 05/04/2016, à 22:45)

Noun-buntu · Le 05/04/2016, à 22:53

C'est fait. Les partitions trouvees ne sont pas du tout ce que j'avais, et le systeme n'est pas reconnu comme crypte. A present je dispose de deux partitions, une ext3 de 17.57GB en debut de disque et une ext4 de 24.35 GB en fin de disque. Je ne peux pas non plus monter ces partitions, sans quoi j'obtiens l'erreur suivante (sur Dolphin):

Une erreur est survenue en accédant à « sys2 ». Le système a répondu :The requested operation has failed: Error mounting /dev/sda2 at /media/lionel/sys2: Command-line `mount -t "ext4" -o "uhelper=udisks2,nodev,nosuid" "/dev/sda2" "/media/lionel/sys2"' exited with non-zero exit status 32: mount: wrong fs type, bad option, bad superblock on /dev/sda2, missing codepage or helper program, or other error In some cases useful info is found in syslog - try dmesg | tail or so

Y a-t-il une chance de retrouver mes donnees cryptees ?

Dernière modification par Noun-buntu (Le 05/04/2016, à 22:54)

Bougron · Le 05/04/2016, à 22:59

Je crains que je t'ai emmené dans une impasse.
Si dans ton arriéré, tu as quelques boot-infos afin de savoir comment étaient les partitions ou la partition, il y a toujours le moyens de remettre les valeurs manuellement avec tesdisk
Mais sans les connaître......... Aucune idée.

Noun-buntu · Le 05/04/2016, à 23:06

Je n'ai pas d'info enregistrees, tout ce dont je me souviens est que j'avais cree une seule partition ext4 pour l'integralite du disque dur. Peut-on inferer les parametres de configuration?

Bougron · Le 05/04/2016, à 23:21

avec ces infos,
Disk /dev/sda - 120 GB / 111 GiB - CHS 14593 255 63
Partition Start End Size in sectors
>* Linux 0 1 1 2292 254 63 36836982
P Linux 11414 190 41 14593 66 1 51062784 [sys2]
et une seule partition ext4,

on pourrait supposer
Cylinder Head Sector
debut 0 0 1
fin 14593 66 1

Lorsqu'il t'affiche les partitions

TestDisk 7.0, Data Recovery Utility, April 2015
Christophe GRENIER <grenier@cgsecurity.org>
http://www.cgsecurity.org

Disk /dev/sdb - 15 GB / 14 GiB - CHS 15000 64 32
     Partition               Start        End    Size in sectors
>* FAT32 LBA                1   0  1  3823  63 32    7829504 [UBUNTU1510]
 P Linux                 3824   0  1  4800  63 32    2000896
 P Linux                 4801   0  1 14566  63 32   20000768




Structure: Ok.  Use Up/Down Arrow keys to select partition.
Use Left/Right Arrow keys to CHANGE partition characteristics:
*=Primary bootable  P=Primary  L=Logical  E=Extended  D=Deleted
Keys A: add partition, L: load backup, T: change type, P: list files,

Il y a l'option A pour ajouter les partitions

Il tu propose alors cette grille

Christophe GRENIER <grenier@cgsecurity.org>
http://www.cgsecurity.org

Disk /dev/sdb - 15 GB / 14 GiB - CHS 15000 64 32





  No partition         14567   0  1 14999  63 32     886784







>[Cylinder]  [  Head  ]  [ Sector ]  [Cylinder]  [  Head  ]  [ Sector ]
 [  Type  ]  [  Done  ]



                            Change starting cylinder

Qu'il faut remplir
C'est assez dur à coder. Il faut un peu de patience....

Les valeurs que tu vas mettre vont remplacer celles qu'il a trouvé.

Dernière modification par Bougron (Le 05/04/2016, à 23:23)

Noun-buntu · Le 05/04/2016, à 23:50

J'ai bien obtenu le menu que tu montres, et rempli les differentes valeurs, mais apres avoir selectionne sur 'Done' aucune modification n'est effectuee et je retrouve les deux partitions. Faut-il les effacer prealablement ?
Je vais faire une pause pour aujourd'hui, je reviendrai la dessus demain. Merci beaucoup pour ton aide !

maxire · Le 06/04/2016, à 09:26

Salut,

3 oublis dans ta demande d'aide, tu n'as pas précisé:

1 - Quelle opération a cassé ta table de partitions juste pour évaluer l'étendue possible des dégâts)
2 - Quelle méthode de chiffrage est utilisée
3 - Quelles données sont hébergées sur le disque (données personnelles ou système complet)

À priori Testdisk ne sert à rien dans ce cas dans la mesure où cet outil semble analyser le disque à la recherche d'identifiants caractéristiques des systèmes de fichiers; comme ces systèmes sont eux-mêmes chiffrés, Testdisk ne peut rien dérecter de correct.

Noun-buntu · Le 06/04/2016, à 12:35

Bonjour Maxire,

Merci pour ton aide:
1 - la table de partition a ete effacee par gparted, en supprimant la partition (interface gparted, option 'supprimer')
2 - tres probablement AES256. J'ai effectue l'encryption il y a un moment donc je n'ai pas tous les details en tete mais AES256 est mon choix par defaut pour l'encryption.
3 - donnees personelles seulement, mon systeme et mon dossier home sont sur un autre disque. Je peux donc recuperer ce disque a partir de mon portable sans passer par un live CD (a priori)

maxire · Le 06/04/2016, à 13:17

Si c'est gparted j'ignore si le coup est rattrapable, il devrait suffire de recréer la partition sans formatage de préférence sans passer par gparted susceptible de faire n'importe quoi.

Maintenant il faudrait l'adresse de début de la partition, et là ce n'est pas évident, usuellement c'est le secteur 2048 (offset 1048756 pour des secters de 512 O), mais comme l'a remarqué Bougron je dirais que c'est aller à la pêche.

AES256 c'est le mode de chiffrage, en fait ce que je demandais c'est quel outil tu as utilisé, LUKS, DM-crypt, Truecrypt, autre outil?

Dernière modification par maxire (Le 06/04/2016, à 13:18)

Nasman · Le 06/04/2016, à 13:58

Stop à la casse.
Avant de faire le write il fallait vérifier la cohérence des valeurs proposées.

0   1  1  2292 254 63

signifie que la première partition commence au cylindre 0, à la tête 1 et au secteur 1, soit à la LBA 63 (LBA = 16065*C + 63*H +S -1). La partition se termine au cylindre 2292, à la tête 254 et au secteur 63 - elle se termine à la fin d'un cylindre, soit à la LBA 16065*2292+254*63+62=36837044

La deuxième partition commencerait au cylindre 11414, à la tête 190 et au secteur 41 14593 66 1
Soit à la LBA 183377920 qui est alignée au Mio (multiple de 2048)
La fin serait en LBA = 16065*14593+66*63+0=234440703. Le secteur qui suit (LBA=234440704) est un multiple de 2048.

Donc en résumé :
- 1ère partition alignée au cylindre
- 2ème partition alignée au Mio

Un grand espace entre les deux

Il te faut donc rechercher toutes les partitions avec un deeper search.

Après on regardera les en-têtes des partitions (au moins les 10 premiers secteurs)

Bougron · Le 06/04/2016, à 22:59

Bonsoir Maxire.
Merci d'avoir pris le relais.
J'aurais surtout du mieux prendre en compte la remarque disant qu'il n'y avait qu'une seule partition sur le disque.

Donc un deeper search est à faire pour uniquement trouver toutes les partitions actuelles et anciennes qu'il pourra détecter.
Tu posteras la totalité de la liste qui se bâtir au fil de l'eau. Elle peut être très longue suivant le vécu du disque voire inexploitable.
L'analyse de toute cette liste permettra de voir s'il y a trace de celle que tu cherches désespérément.

Ce n'est pas pour récupérer tes données cryptées. Il ne saura pas les décoder.

Effectivement, il ne sait pas remplacer les partitions existantes par une nouvelle partition y compris avec la version 7 d'il y a un an qu'il fabrique en "delete"!

Dernière modification par Bougron (Le 07/04/2016, à 08:12)

Noun-buntu · Le 07/04/2016, à 15:50

ok, merci pour l'aide.
@ maxire: Il me semble avoir utiise TrueCrypt, si je me souviens bien.
Voici les resultats du deeper search:

Disk /dev/sda - 120 GB / 111 GiB - CHS 14593 255 63

The harddisk (120 GB / 111 GiB) seems too small! (< 133 GB / 124 GiB)
Check the harddisk size: HD jumpers settings, BIOS detection...

The following partitions can't be recovered:
Partition Start End Size in sectors
> Linux 13004 179 40 16183 54 63 51062784 [sys2]
Linux 13010 210 1 16189 85 24 51062784 [sys2]
Linux 13011 247 37 16190 122 60 51062784 [sys2]
Linux 13012 252 41 16191 128 1 51062784 [sys2]
Linux 13013 62 42 16191 193 2 51062784 [sys2]
Linux 13013 192 44 16192 68 4 51062784 [sys2]

moko138 · Le 07/04/2016, à 16:11

Bougron a écrit :

Si dans ton arriéré, tu as quelques boot-infos afin de savoir comment étaient les partitions ou la partition, il y a toujours le moyens de remettre les valeurs manuellement avec tesdisk.

Il me semble qu'il serait bon
- de faire une copie de sauvegarde de testdisk.log (qui appartient à root et se trouve dans /home/$USER),
- et surtout de lire son contenu !

Qu'en penses-tu, Nasman ?

Nasman · Le 07/04/2016, à 16:11

As tu posté l'intégralité du deeper search ?
Ici on ne voit plus la première partition - ni la seconde mais d'autres partitions de même taille (24933 Mio, soit 51062784 secteurs).

Je pense que ces partitions n'en sont qu'une seule qui aurait été déplacée.

A tout hasard, peux tu faire un

sudo dd if=/dev/sda bs=512 count=10 skip=36837045 | hexdump -C

et

sudo dd if=/dev/sda bs=512 count=10 skip=36837376 | hexdump -C

moko138 · Le 07/04/2016, à 16:32

Nasman, as-tu vu le message posté quelques secondes avant le tien ?

Nasman · Le 07/04/2016, à 17:24

Je n'ai pas trop eu l'occasion de regarder de près les logs de testdisk, si le deeper search a été loggé alors peut être qu'on y verra plus clair mais j'ai peur que trop de manip aient été faites sur le disque depuis la première recherche.
Le deeper search aurait dû faire apparaître la première partition dont le début et la fin était en accord avec un partitionnement standard (d'avant les alignements au Mio).

Mes deux commandes proposées ci dessus ont pour but de trouver des traces :
- soit d'une partition alignée au cylindre suivant celle précédemment détectée
- soit une partition alignée au Mio qui suivrait (avec un léger trou) la première partition.
Les 10 secteurs affichés ont pour but :
- de voir un en-tête de type ntfs dans le premier secteur
- de voir un entête ext... qui commence au troisième secteur (offset 400) avec un point de montage (apparemment) en 488

maxire · Le 07/04/2016, à 18:48

Euh, si comme je l'ai compris c'est une partition chiffrée avec Truecrypt, aucune trace de système de fichiers ne devrait être trouvable.

Je ne connais pas Truecrypt, d'après la documentation disponible sur ce site ubuntu-fr https://doc.ubuntu-fr.org/truecrypt, pour chiffrer une partition il est conseillé de créer un conteneur Truecrypt dans une partition vierge puis de créer le système de fichiers dans ce conteneur ===> Si c'est bien ce qu'a pratiqué Noun-buntu, il ne devrait pas exister de trace visible du système de fichiers.

J'avoue ne pas savoir quoi proposer.

Dernière modification par maxire (Le 07/04/2016, à 18:49)

Nasman · Le 07/04/2016, à 19:00

C'est vrai que quelques infos sur le chiffrement employé (logiciel), sur les partitions présentes, leur type et leur taille avant la boulette ne seraient pas de trop.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 04/04/2016, à 21:03

Recuperation de la table de partition d'un disque crypte

#2 Le 04/04/2016, à 22:02

Re : Recuperation de la table de partition d'un disque crypte

#3 Le 05/04/2016, à 22:07

Re : Recuperation de la table de partition d'un disque crypte

#4 Le 05/04/2016, à 22:18

Re : Recuperation de la table de partition d'un disque crypte

#5 Le 05/04/2016, à 22:21

Re : Recuperation de la table de partition d'un disque crypte

#6 Le 05/04/2016, à 22:31

Re : Recuperation de la table de partition d'un disque crypte

#7 Le 05/04/2016, à 22:33

Re : Recuperation de la table de partition d'un disque crypte

#8 Le 05/04/2016, à 22:44

Re : Recuperation de la table de partition d'un disque crypte

#9 Le 05/04/2016, à 22:53

Re : Recuperation de la table de partition d'un disque crypte

#10 Le 05/04/2016, à 22:59

Re : Recuperation de la table de partition d'un disque crypte

#11 Le 05/04/2016, à 23:06

Re : Recuperation de la table de partition d'un disque crypte

#12 Le 05/04/2016, à 23:21

Re : Recuperation de la table de partition d'un disque crypte

#13 Le 05/04/2016, à 23:50

Re : Recuperation de la table de partition d'un disque crypte

#14 Le 06/04/2016, à 09:26

Re : Recuperation de la table de partition d'un disque crypte

#15 Le 06/04/2016, à 12:35

Re : Recuperation de la table de partition d'un disque crypte

#16 Le 06/04/2016, à 13:17

Re : Recuperation de la table de partition d'un disque crypte

#17 Le 06/04/2016, à 13:58

Re : Recuperation de la table de partition d'un disque crypte

#18 Le 06/04/2016, à 22:59

Re : Recuperation de la table de partition d'un disque crypte

#19 Le 07/04/2016, à 15:50

Re : Recuperation de la table de partition d'un disque crypte

#20 Le 07/04/2016, à 16:11

Re : Recuperation de la table de partition d'un disque crypte

#21 Le 07/04/2016, à 16:11

Re : Recuperation de la table de partition d'un disque crypte

#22 Le 07/04/2016, à 16:32

Re : Recuperation de la table de partition d'un disque crypte

#23 Le 07/04/2016, à 17:24

Re : Recuperation de la table de partition d'un disque crypte

#24 Le 07/04/2016, à 18:48

Re : Recuperation de la table de partition d'un disque crypte

#25 Le 07/04/2016, à 19:00

Re : Recuperation de la table de partition d'un disque crypte

Pied de page des forums