Récupération de données effacées sur disque crypté

SkeRoy · Le 13/07/2006, à 23:36

Salut,

je viens d'avoir quelques déboires avec mon disque dur...
celui-ci est mort, il n'est plus détecté par le bios, j'ai peu d'espoir de récupérer son contenu...

Cela dit j'ai fait une sauvegarde sur un disque externe (ajoutons de la difficulté, la partition est cryptée avec luks).
Mais cette difficulté est passable, je connais le mot de passe et je n'ai aucun problème pour retrouver les données dessus.

Cependant il s'avère que la sauvegarde ne contient que les fichiers cachés de ~/ et pas mes documents. Il me semble que j'avais supprimé la sauvegarde des documents pensant les remettre différemment, ce qui malheureusement n'a pas été fait.

Ma question est donc de savoir comment il est possible de faire une restauration des données sur le disque externe, vu que les documents ont quand même été écrits dessus une fois.

Je connais quelques utilitaires propriétaires sous un OS plantable, mais sous linux je n'ai encore jamais expérimenté une telle restauration, encore moins sur une partition qui doit être décryptée avant.

Quelqu'un a-t-il une idée? Vraiment, c'est très important!
Merci

cep_ · Le 13/07/2006, à 23:54

En standard, luksformat crée un fichier vfat. Donc, à moins que tu n'ais utilisé un autre système de fichiers, tu pourras essayer avec les utilitaires classiques.

Si tu utilises ext3, ce sera plus problématique et, sauf à utiliser les grands moyens, tes espoirs de récupérer des données sur des fichiers de plus de 48 ko sont assez faibles, du moins pour des fichiers "texte".

Tu pourras toujours essayer avec les rootkit, photorec, debugfs, etc. etc.
Il existe aussi des howto de récupération, essentiellement sur ext2.

SkeRoy · Le 14/07/2006, à 11:50

oui je crois que j'ai dû laisser luksformat créer la partition en vfat.

Quels sont les "utilitaires classiques?"

cep · Le 14/07/2006, à 12:04

Pour le système de fichiers, tu peux déjà regarder quel est le système actuel.

Des utilitaires sous linux :
foremost
recoverjpeg
testdisk et son utilitaire photorec dans lequel tu peux cibler les extensions à rechercher (pas seulement des photos)
http://www.cgsecurity.org/wiki/PhotoRec
etc. etc.

Il est préférable de travailler sur une image de la sauvegarde, image faite avec dd ou, mieux, avec gddrescue ou ddrescue.

Mais, si tu dois travailler sur du vfat, dans un premier temps tu peux aussi utiliser les softs sous windows, il y en a plusieurs.

SkeRoy · Le 14/07/2006, à 12:10

Merci,
je vais déjà voir avec ça!

cep a écrit :

Mais, si tu dois travailler sur du vfat, dans un premier temps tu peux aussi utiliser les softs sous windows, il y en a plusieurs.

En faisant un dd de /dev/mapper/sda1 pour se débarasser du cryptage alors?

cep · Le 14/07/2006, à 12:21

Ou, après avoir fait une image monter l'image en loop (losetup)

losetup /dev/loop0 . . .

cryptsetup luksOpen . . .

mount /dev/mapper/

etc.etc.

Si nécessaire tu trouvera le détail des commandes pour monter une image cryptée avec luks et autres :

http://forum.ubuntu-fr.org/viewtopic.php?pid=143464

Dernière modification par cep (Le 14/07/2006, à 12:26)

cep · Le 15/07/2006, à 18:02

@SkeRoy : comme promis par mail, détail de la procédure.
TU noteras que le dd n'est pas fait sur /dev/mapper/partition_luks mais sur /dev/device après un luksClose.
Le paquet cryptsetup utilisé est bien le paquet officiel.

root@epi:~/unde# cryptsetup luksOpen /dev/hdb8 hdb8
Enter LUKS passphrase:
key slot 0 unlocked.
Command successful.
root@epi:~/unde# mount /dev/mapper/hdb8 /mnt/edgy
root@epi:~/unde# echo "je fais un test 15/07 " > /mnt/edgy/recup.txt
root@epi:~/unde# ls -l /mnt/edgy/recup.txt
-rwxr-xr-x 1 root root 23 2006-07-15 17:29 /mnt/edgy/recup.txt
root@epi:~/unde# umount /dev/mapper/hdb8
root@epi:~/unde# cryptsetup luksClose hdb8
root@epi:~/unde# dd if=/dev/hdb8 of=recup.iso conv=noerror bs=8k
155802+1 records in
155802+1 records out
root@epi:~/unde# losetup -f
/dev/loop/0
root@epi:~/unde# losetup /dev/loop0 recup.iso
root@epi:~/unde# cryptsetup luksOpen /dev/loop0 recup
Enter LUKS passphrase:
key slot 0 unlocked.
Command successful.
root@epi:~/unde# mount /dev/mapper/recup /mnt/edgy
root@epi:~/unde# cat /mnt/edgy/recup.txt
je fais un test 15/07

echo fait sur /dev/mapper/hdb8 se retrouve bien sur recup.iso

/dev/hdb8 est une partition de test, mais mes sauvegardes de partitions cryptée sont des images faites ainsi.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 13/07/2006, à 23:36

Récupération de données effacées sur disque crypté

#2 Le 13/07/2006, à 23:54

Re : Récupération de données effacées sur disque crypté

#3 Le 14/07/2006, à 11:50

Re : Récupération de données effacées sur disque crypté

#4 Le 14/07/2006, à 12:04

Re : Récupération de données effacées sur disque crypté

#5 Le 14/07/2006, à 12:10

Re : Récupération de données effacées sur disque crypté

#6 Le 14/07/2006, à 12:21

Re : Récupération de données effacées sur disque crypté

#7 Le 15/07/2006, à 18:02

Re : Récupération de données effacées sur disque crypté

Pied de page des forums