Recup de données sous linux...

par **jibe** » 30 Déc 2004 00:06

Salut,

J'avais un disque en multiboot, avec plusieurs partitions Windows et Linux. En faisant du ménage sous windows, j'ai commencé à voir certains fichiers disparaitre inexplicablement du répertoire où je me trouvais, pendant que d'autres aux noms bizarres apparaissaient. Virus ? Je ne pense pas, je ne me connectais pas à internet avec windows et analysais régulièrement la partition avec clamwin et adaware... Peut importe en fait : pensant que, comme très souvent sous W$, un reboot allait tout remettre en ordre, j'ai quitté windows en cliquant sur "redémarrer l'ordinateur". Mais là, horreur ! plus de grub :shock:

Rapide vérification du disque : plus aucune partition :shock:

J'ai tenté une récup (en montant le disque en slave et en copiant sur un autre, donc sans aucune écriture) avec tiramisu. Mais tout ce que j'ai pu essayer pour relire mes partitions linux s'est soldé par un échec...

Quelqu'un aurait une solution ? J'aimerais bien récupérer quelques trucs (certains fichiers de config, favoris de mozilla etc) que j'avais dans ma Debian et que je ne sauvegardais pas. On se dit toujours que ce n'est pas si important, et quand on perd ces fichiers, on regrette !

par **cain** » 30 Déc 2004 01:48

Salut jibe,

Il y avait ce sujet qui citaient quelques softs, peut-être y trouveras-tu un début de solution :
http://forums.fr.ixus.net/viewtopic.php?t=6092

Un autre lien sur le web :
http://www.essentielpc.com/dossiers/recuperation-et-restauration-de-donnees_article3.html

J'ai aussi trouvé ça plus spécifiquement pour linux, mais non testé et payant (version démo disponible) :
http://www.stellarinfo.com/fr/linux-recuperation-de-donnees.htm

Et un article listant des sociétés qui proposent ce type de services avec des tarifs :
http://www.01net.com/article/160210.html
Par contre, cet article a 3 ans

Bon courage

Cordialement,

Cain

par **micjack** » 30 Déc 2004 02:58

Salut à vous deux,

Cela promet d'etre chaud

Effectivement, commence par tester les soft de recup et en gardant ton disque en esclave... Puis regarde aussi du coté de ta nappe Ide...

Par contre, je n'arrive pas à comprendre ton probleme en simultané suite à un nettoyage Windows, etant Grub inaccessible et encore moins les fichiers...

T'a pas oublié de nous dire quelque chose? :roll:

Ton disque n'a pas claqué en meme temp quand meme !!!

par **jibe** » 30 Déc 2004 10:55

Salut,

Merci cain pour tes liens. J'avais bien sûr vu le topic que tu cites sur Ixus et un ou deux autres dont je n'ai plus l'adresse sous la main. C'est d'ailleurs grâce à lui que j'ai pu downloader et essayer Tiramitsu et un ou deux autres programmes du même style (d'ailleurs, faudra que je poste un truc à ce propos, parce que tous ne se valent pas, loin de là !).

Je ne connaissais pas par contre les deux autres liens que tu donnes, ça a l'air intéressant. Je vais lire et essayer.

Pour les sociétés de récup de données, il y avait eu un post aussi sur Ixus et quelqu'un (ce n'était pas toi, micjack ?) en donnait une liste. Ce qui n'empêche que le tableau de 01.net que tu indiques, cain, est intéressant aussi et me semble-t-il plus complet. Mais bon, c'est pour moi plus le défi technique qui me pousse à récupérer ce disque, je ne vais pas faire des frais pour quelques liens que j'avais, même si je regrette d'en avoir perdu quelques uns que google semble avoir du mal à me retrouver...

micjack a écrit:Par contre, je n'arrive pas à comprendre ton probleme en simultané suite à un nettoyage Windows, etant Grub inaccessible et encore moins les fichiers...

T'a pas oublié de nous dire quelque chose? Ton disque n'a pas claqué en meme temp quand meme !!!

Je jure que j'ai tout avoué :lol:

C'est ausi ce qui me surprend... D'autant plus que je n'ai pas du tout l'impression d'avoir un problème physique quel qu'il soit, ni sur le disque, ni sur le contrôleur, ni sur la nappe : les logiciels de récup de données que j'ai essayés n'ont rien relevé d'anormal de ce côté, ni des tests en lecture avec l'utilitaire seagate qui permet de tester les disques de toutes marques. J'ai aussi fait des tests en écriture sur un disque neuf, avant de le remonter sur ma bécane dont je me sers à présent sans problème...

Non, je ne m'explique vraiment pas ce qui a pu se produire. Ca s'est passé exactement comme décrit dans mon premier post. Tout ce que j'ai oublié est de préciser qu'il s'agissait de Windows 98 SE mis à jour via windows update... Je faisais des suppressions de fichiers inutiles et des transferts vers une autre partition. J'avais commencé à le faire sous Debian un peu avant, puis avais continué après un développement sous windows, et étais resté sous cet OS puisque la manip ne nécessitait pas de rebooter sous linux...

Ce que les logiciels de récup de données me permettent de voir ne me parait pas si curieux que ça (tout ce que j'ai transféré dans une autre partition est récupérable, ainsi que pas mal des derniers fichiers créés sous Windows, par contre, côté Linux, c'est comme si rien n'avait jamais existé !!!

par **Jacques-** » 30 Déc 2004 22:10

Ca sent bien le virus tout de même, la création de fichiers indésirée et l'effacement du MBR pour finir..., ce n'est pas impossible.

Pour ton disque, tu peux essayer de le repartitionner (sous linux, je soupçonne fdisk de M$ d'effacer la FAT à chaque fois) si tu te souviens à peu près de ta configuration.
Si tu as le souvenir de la taille des partitions, tu peux essayer de retrouver les données en la recréant depuis le cylindre 1 à celui qui correspond à la taille en Mo ou Go.

Il y a un numéro de linux Mag qui vient de sortir sur les problèmes de disque dur, peut-être une lecture intéressante pour finir l'année ?

Bon courage, et ne perd pas non plus patience.

Jacques

par **jibe** » 30 Déc 2004 22:34

Salut,

Jacques- a écrit:Ca sent bien le virus tout de même, la création de fichiers indésirée et l'effacement du MBR pour finir..., ce n'est pas impossible.

C'est vrai que je ne vois pas bien ce que ça pourrait être d'autre, et d'ailleurs impossible n'est pas français ! Mais avec les précautions que je prends (pas du tout confiance dans W$...), c'est quand même un peu bizarre...

Jacques- a écrit:Pour ton disque, tu peux essayer de le repartitionner

J'hésite à faire quoi que ce soit qui écrive sur le disque... Pas trop risqué ?

Tu dis de ne pas reformater sous W$ : parce qu'on peut ? :lol:

Quand on voit les possibilités sous linux, je ne sais pas si on peut encore utiliser le fdisk de windows ! Oui, si je tente le coup, je ferai sous Linux. Mais si je me rappelle la taille de mes partitions, je ne me souviens plus de l'ordre, particulièrement où se trouvait la swap, et ça va tout me décaler... Jamais fait la manip, mais normalement je devrais pouvoir recommencer tant que je veux, non ?

Jacques- a écrit:Il y a un numéro de linux Mag qui vient de sortir sur les problèmes de disque dur, peut-être une lecture intéressante pour finir l'année ?

Merci pour le tuyau (et les autres aussi :wink:

) ! Je vais aller l'acheter.

Pas encore pris le temps de regarder de près ce que m'a proposé cain. Peut-être que j'aurais dû avant de poser cette question... Je suis un peu surpris que dans la communauté du libre, personne ne se soit penché sur le problème de récup de données et n'ai fait un genre de Tiramitsu en GPL et pour Linux ? J'ai cherché un peu, mais sans succès...

par **micjack** » 31 Déc 2004 10:46

Salut,

Je doute quand meme que se soit un virus de MBR, car plus d'actualité depuis bien longtemps (mais c'est pas impossible)

Si non, avec quoi a tu verifié qu'il n'y a plus aucune partition?
Boot quand meme avec une disquette DOS (disquette de demarrage Win98)

Si il te dit qu'il ne vois rien c 'est qu'il n'y a plus rien...
Sil il te dit, qu'il exist des partition non DOS, c'est que tes partitions existes....

Dans ce cas, ce serrait uniquement la zone d'ammorce qui aurrait sautée, donc recuperable par un fixmbr et une remise en place de Grub.

Par contre la reconstruction des partitions par fdisk de linux me semble tres risquée... Tu te plante d'un cylindre et t'aurra vraiement plus rien à recuperer..

Tiens, j'ai vu passé ce topic hier [resolu] http://forums.fr.ixus.net/viewtopic.php ... 9f8#166986

Bon courrage :wink:

par **Jacques-** » 31 Déc 2004 13:07

On peut écrire plusieurs fois dans la table de partitions sans modifier les données. Donc le risque est nul si on ne reboote pas entre les deux (risque d'amorcer sur un disque mal configuré), mais une sauvegarde de la table actuelle est intéressante à faire avant, et à étudier (voir le site http://www.bellamyjc.net pour le détail de celle-ci, et plein d'autres choses sur Windows d'ailleurs)..
Si tu as quelque part une vieille sauvegarde de tes logs, ou si tu sais au moins où se trouvait la partition / , tu peux ensuite lire le fichier /var/log/messages (sauf si /var est sur une partition dédiée, ce qui est une bonne chose en temp normal) et à partir de ce fichier déduire la position des autres partitions, ou du moins leur ordre (hda1,hda2, hda5 6 etc...).

Quelles étaient réellement les données à récupérer ? Si une seule partition est importante, tu peux aussi essayer d'accéder au disque en mode brut avec dd depuis un livecd ou une autre unix, et faire un script qui écrit dans un fichier la position ou il va lire les données, copie un bloc de 512 octets tous les 200 secteurs par exemple, et continue jusqu'à ce que dd se fache par le disque est terminé.
Une boucle pour incrémenter la position, écrire cette position dans un log et ajouter les données dans celui-ci.
De cette façon, tu peux balayer le disque avec un éditeur hexa (il y' en a un sous kde mais je ne me souviens pas s'il est dispo avec knoppix) et quand tu trouves des données qui correspondent à un fichier de conf, tu as déjà une idée de la position de /, idem pour les données perso, etc...
C'est fastidieux, mais ça peut permettre de retrouver l'ordre des partitions.

Je te conseillerais de t'offrir pour Noël (c'est passé d'accord, mais bon...) un nouveau disque dur (entre 40 et 50€ pour une taille raisonnable) d'installer ta distribution favorite et d'accéder à ton disque à temps perdu, sans te précipiter.
Rien ne vaut la lenteur dans ce genre d'opération quand on n'en a pas l'habitude (ce qui est le cas de presque tout le monde, hormis les spécialistes travaillant dans la restauration de données).

Jacques

PS : pour l'ordre de tes partitions, si tu as utilisé le partionnement automatique de ta distribution, le refaire sur un disque de même taille vierge te redonnera probablement la bonne table. Mais si comme moi tu fais tout en mode expert, aucune chance de retrouver comme ça.

par **jibe** » 31 Déc 2004 13:59

Salut,

Merci pour tous ces conseils

Je vais suivre le conseil de Jacques et voir ça l'année prochaine :wink:

Oui, j'ai déjà remplacé mon disque et en fait je n'ai rien perdu de bien important. C'est plutôt le défi technique qui me pousse. Donc, effectivement, je prends mon temps.

Bon, qu'en est-il du re-partitionnement ? micjack me le déconseille fortement, Jacques affirme qu'il n'y a pas de risque... La clé de l'énigme ne se trouve-t-elle pas dans la phrase de Jacques :

Donc le risque est nul si on ne reboote pas entre les deux (risque d'amorcer sur un disque mal configuré)

Je n'avais pas pensé au coup du /var/log/messages : excellent ! Reste à remettre la main dessus !

Mais je recherche toujours un logiciel de récup de données linux sous gnu/gpl : c'est vraiment introuvable ? (toujours pas pris le temps de lire les liens de cain :oops:

)

par **micjack** » 31 Déc 2004 14:20

J'etais loin de te donner la methode de l'diteur hexa... Non pas que je doute de tes competance Jibe, mais c'est que le jeux en vaut il la chandelle? c'est un travail assez long pour recuperer tes quelques fichiers, favoris et autres....

Donc effectivement un editeur de disque est l'un des outils derniere chance avant la salle blanche, mais bon. Par contre pour le repartitionement je ne m'avancerais pas ( que testé que sous M$, reboot obligatoire) Je laisse donc l'experience à Jacques :wink:

Attention quand on parle d'editeur Hexa, ils doivent s'avoir attaquer le disque en surface physique et non en logique..

Celui que j'utilise est Diskedit de Norton, il te permet d'editer (donc de consulter aussi) le disque dur en physique en mode Hexa, il a une fonction rechercher qui est pas mal (à toi de te souvenir d'un nom de fichier ou une bride, un mot) Il te permetra donc de selectionner un bloc et de le sauvegarder sur disquette
sous forme de fichier.

PS: Les fois ou j'utilise un editeur de disque, le client s'en tire pour cheros, travail de fourmis, mais tout depend de ce qu'il y'a à recuperer.

Par contre un bon soft de recup ne fait pas la differance entre linux ou Windows, il procede justement en physique sur le disque, sans oublier de brancher le malade en esclave.

par **jibe** » 31 Déc 2004 19:09

Salut,

Bon, très vite pendant que ma femme est au téléphone (on doit partir, je vais me faire tuer 8-[

)

Merci cain : ton lien m'a permis de trouver ce soft qui tourne au GPL sous plusieurs OS. Semble assez bien sur le papier, j'essaierai et tiendrai au courant.

Apparemment, il y a d'autres choses intéressantes sur la page que tu m'as indiquée. Pas eu le temps de tout lire encore...

@ micjack : Oui, le coup de l'éditeur hexa, c'est vraiment quand on a des données hyper précieuses... Sauf que l'astuce de Jacques est intéressante, dans le sens où on doit pouvoir assez facilement retrouver, avec un éditeur hexa ayant une bonne fonction de recherche, le fichier var/log/messages, et de là déduire les positions des partitions pour tenter un repartitionnement sans tâtonner.

Allez, finissez bien l'année et merci beaucoup pour vos conseils

par **cain** » 01 Jan 2005 00:43

jibe a écrit:Merci cain : ton lien m'a permis de trouver ce soft qui tourne au GPL sous plusieurs OS. Semble assez bien sur le papier, j'essaierai et tiendrai au courant.

Apparemment, il y a d'autres choses intéressantes sur la page que tu m'as indiquée. Pas eu le temps de tout lire encore...

De rien, je suis très intéressé par le résultat de tes essais.

Cordialement,

Cain

par **Jacques-** » 01 Jan 2005 13:28

L'idée n'était pas d'utiliser un éditeur hexa pour le disque entier, pour cela il faut avoir une bonne habitude du format des données attendues, mais bien de récupérer des parties de disques par bloc de 512,1024 ou plus d'octets en lisant régulièrement le disque tous les X secteurs pour obtenir un fichier que l'on peut ensuite parser avec un éditeur hexa.
De cette façon, si on trouve un bout de texte du genre # chkconfig 2 3 etc... on sait que cette partie de disque concerne /etc et donc la partition racine.
Ensuite, idem pour /home etc... et une bonne calculatrice hexa pour convertir le tout en position de cylindre sur le disque. de là on peut espérer retrouver le partitionnement d'origine.

Pour ce qui est du MBR, il ne contient en fait que 3 choses importantes :
1) l'IPL (initial program loader) qui tient sur 446 octets et permet d'amorcer la partition marquée bootable (en fait, il passe la main au programme de boot de l'OS, ou au boot loader LILO ou GRUB dans le cas de linux
2) La table de partition (c'est là dessus qu'on peut jouer) qui comporte 4 * 16 octets pour décrire les 4 partitions maxi que peut contenir un disque dur (4 primaires, l'étendue permet de tricher pour recréer une autre table plus loin dans le disque). Chaque 16 octets contiennent le type de partition, le flag disant si elle amoçable ou non et les positions de début et de fin des cylindres qui la compose
3) La signature 55AAh qui permet d'indiquer que le MBR est valide.

soit 446 + 16 +16 +16 + 16 +2 = 512

Si on ne fait qu'écrire le positionnement des cylindres de début et de fin, et relire la table ensuite (ce que fait bien le fdisk de linux à ma connaissance) on ne risque rien sur les données.
En revanche, avec le fdisk de MS, je ne m'y risquerais pas.

Dans tous les cas, il ne faut pas amorcer sur le disque parce que si la partition visée est écrite, les données qui peuvent ne pas être les données attendues seront perdues.

En tout cas, bonne année à tout le monde

Jacques

par **jibe** » 03 Jan 2005 00:08

Salut et bonne année,

Merci à tous pour vos précieuses explications. Comme je l'ai dit, ce disque ne contient rien de capital, mais par ailleurs sa récup m'intéresse à titre de défi technique, et pour quelques liens et notes que j'aurais du mal à retrouver. Il n'y a donc pas d'urgence, et le début d'année risque d'être un peu chargé pour moi. Il y a donc des chances que je tarde un peu à faire certaines tentatives, mais de toutes façons je vous tiendrai au courant.

En attendant, voici un lien intéressantque j'ai trouvé en cherchant quelques infos supplémentaires sur les explications de Jacques à propos du MBR.

par **micjack** » 03 Jan 2005 01:47

Salut et Bonne Année,

Houlala, que cela me rappel mes cours avec les editeurs Hexa....

Bon courrage pour exploiter tout ca... Perso cela m'a été utile que pour virer les virus dans le deuxieme secteur du disque et quelques truc exploitables en assembleur avec "debug"....

Si non, pas eu d'autres occasions

Par contre cela reste interressant pour ceux qui souhaiterait aprendre le fonctionnement binaire et hexadecimal et l'algebre de Bool....

J'admire ta soif de curriosité, mais faut pas mal de temp pour apprivoiser tout ca... :wink:

Recup de données sous linux...

Recup de données sous linux...

Qui est en ligne ?