29 janvier 2013

Prise d'image rapide d'un disque dur

Je voudrais vous faire part d'un retour d'expérience sur le sujet de la prise d'image de disque dur. J'en ai déjà parlé un peu sur ce blog, ici et .

Lorsque l'on me confie un scellé à analyser, la première étape technique consiste à faire une image du disque dur à analyser. Il faut bien sur que l'image soit parfaitement fidèle, car c'est elle (et elle seule) qui sera étudiée ensuite. La prise d'image doit garantir l'accès en lecture seule du disque dur, afin de ne rien écrire sur celui-ci pour ne pas compromettre la preuve.

A ce stade du récit, je me permets de rappeler que cette précaution ne vaut pas pour certains cas, comme par exemple avec les disques durs SSD. En effet, ceux-ci disposent d'un algorithme d'égalisation de l'usure qui peut entraîner le déplacement de données dès la mise sous tension (donc techniquement, les données du disque dur sont modifiées avant même qu'on cherche à y accéder). Mais comme à l'impossible nul n'est tenu...

En pratique, il suffit d'extraire le disque dur du scellé et de le placer dans un duplicateur de disque dur. Sauf, que ces appareils coûtent plusieurs milliers d'euros et qu'aucun tribunal n'a encore accepté de m'équiper... Il me faut donc fabriquer moi-même mon duplicateur, ce que j'ai détaillé dans ce billet intitulé "La nuit, à travers le réseau".

Mais cette technique me posait plusieurs problèmes: ma station de prise d'image est relativement volumineuse et les temps de copie sont très longs. Ces problèmes ne sont pas gênants lorsque je travaille chez moi, mais deviennent rédhibitoires lors d'une intervention en extérieur où la mobilité et le temps sont des facteurs clefs. De plus, la technique demande de démonter le disque dur à copier, ce qui n'est pas toujours facile à faire, surtout dans le cas d'ordinateurs portables.

Voici donc la méthode que j'utilise, et qui pourrait intéresser des confrères, ou des lecteurs souhaitant faire une copie rapide d'un disque dur complet (sauvegarde, récupération de données...). Elle a été testée sur des ordinateurs de type PC, sous Linux ou Windows.

Je dispose d'un ordinateur portable muni d'un port USB3. Ce type de port USB est 10 fois plus rapide que les ports USB2 encore très fréquents sur les ordinateurs. Mais à l'époque d'écriture du présent billet, de plus en plus de portables disposent de ce type de port, à des prix abordables. Il faut également s'assurer de la présence d'une carte réseau gigabit.

Il faut faire l'acquisition d'un disque dur externe USB3 de grosse capacité pour pouvoir stocker l'image obtenue lors de la copie. J'ai choisi un disque de 3To premier prix (en fait, j'en ai plusieurs en stock car parfois je suis amené à les mettre eux-mêmes sous scellés, mais c'est une autre histoire).

Je me suis acheté un petit switch gigabit et deux câbles réseaux gigabits. Là aussi, un premier prix suffira. 5 ports, c'est très bien.

Il faut disposer d'un lecteur de cédérom USB, très pratique maintenant que beaucoup de portables sont livrés sans lecteur. J'ai opté pour un graveur de DVD premier prix, ce qui me permettra de réaliser des gravures de CD ou de DVD pour réaliser des scellés facilement lorsque le volume de données est relativement faible.

Enfin, il faut télécharger et graver le liveCD DEFT que se doit de disposer tout expert informatique.

Procédure :
1) Vous allumez votre ordinateur portable et branchez votre disque dur externe USB3 (sur le bon port USB, celui qui est bleu à l'intérieur).

2) Vous configurez une adresse IP fixe sur la carte réseau giga (par exemple 192.168.63.1) que vous branchez sur le switch giga.

3) Vous désactivez votre firewall

4) Vous créez un répertoire "partage" sur votre disque dur externe, que vous configurez en partage pour tous #PartagePourTous.

5) Vous branchez votre lecteur de cédérom sur l'ordinateur à copier, que vous branchez lui sur le switch giga.

6) Vous bootez l'ordinateur à copier sur le LiveCD DEFT (en général, le choix du boot se fait par l'appui répété de la touche "Echap")

7) Sur l'ordinateur à copier, vous tapez:
% ifconfig eth0 192.168.63.100
% ifconfig eth0 up
% mkdir /root/toto
% mount -t cifs //192.168.63.1/partage  -o username=zythom   /root/toto
% dd_rescue  /dev/sda  /root/toto/hd.dd

Avec un peu de chance, si la carte réseau du pc à copier supporte le gigabit/s (ce qui est le cas de beaucoup de cartes aujourd'hui), et si la distribution DEFT reconnaît les différents composants du pc à copier, alors vous aurez réalisé en un temps record, une copie du disque dur de la machine visée. Par exemple, un disque dur d'1 To en moins de 3h. La dernière commande de l'étape 7 crée un fichier nommé "hd.dd" dans le répertoire "partage" situé sur votre disque dur externe USB3. Ce fichier contient une image fidèle (aux erreurs de segments près) du disque dur du pc que vous deviez copier.

Bien sûr, plusieurs étapes ont des chausses trappes:
- à l'étape 6, le démarrage sur le LiveCD peut nécessiter le choix de paramètres de boot particuliers (noapic, nolapic, nodmraid, vga=xxx...)
- la configuration du réseau à l'étape 7 peut être plus complexe et demande une bonne maîtrise des paramétrages, surtout en cas de carte réseau particulière.
- la commande "mount" indiquée à l'étape 7 suppose que votre ordinateur portable est une machine Windows avec un compte protégé par mot de passe (demandé lors de l'exécution de mount). Il faut adapter la commande si vous êtes sous Linux ou Mac OS.

Cette procédure ne fonctionnera pas à tous les coups, mais permettra dans un grand nombre de cas, d'avoir une copie rapide de disque dur, à un coût raisonnable.

N'hésitez pas à me faire part de vos améliorations en commentaires.

----------------------------------------------
Source image Megaportail

52 commentaires:

  1. Une question d'un presque néophyte.

    En procédant de la sorte sur un PC dont le bios est verrouillé par mot de passe et réglé pour ne booter que sur le Disque dur en question.
    Ne risquons nous pas de modifier les données ?

    RépondreSupprimer
    Réponses
    1. C'est une différence fondamentale entre une analyse de scellé à faire chez soi et une copie de disque dur à faire en intervention extérieure (assistance à huissier par exemple). Dans ce dernier cas, vous copiez une machine que vous avez allumée et sur laquelle vous avez travaillé de façon normale, en présence du propriétaire. Il est donc possible de booter plusieurs fois la machine jusqu'à trouver la bonne configuration. Le propriétaire de la machine est en général présent et peut vous aider s'il coopère, ce qui est souvent le cas.

      Supprimer
  2. Est-ce que vous faites une 2eme image disque pour la comparer (taille/md5/sha-1) à la première ?

    L'outil dd_rescue pourrait-il avoir une 2ème lecture différente de la première d'un secteur défectueux ?

    RépondreSupprimer
    Réponses
    1. Personnellement, en intervention extérieure, non. Par manque de temps. Je vérifie néanmoins le résultat de la commande dd_rescue, qui indique le nombre d'erreurs.

      Supprimer
  3. dd_rescue (contrairement à ddrescue) permet d'ecrire sur le stdout, et donc s'abstraire d'un partage windows.

    Si c'est bien l'outil utilisé, et que le portable destination est aussi sous linux, vous pouvez utiliser mbuffer (très efficace) pour effectuer la transmission, et en profiter pour demander à ce dernier une somme de contrôle avant (et après) transmission.

    ddrescue, quant à lui permet surtout de sauver les données d'un support à l'agonie. Mais comme cet outil cherche à relire les secteurs defecteux lors d'une seconde passe, il ne peux pas fonctionner sur le stdout.

    RépondreSupprimer
    Réponses
    1. La distribution DEFT ne dispose que de dd_rescue. Mais comme cela convient bien à mon usage, je n'ai pas étudié plus avant ddrescue. Je note mbuffer que je vais regarder de plus près. Merci!

      Supprimer
    2. Il me semble que Dcfldd est aussi disponible avec deft (sinon un package est disponible sous Ubuntu). Dcfldd permet de calculer les Hash lors de l'acquisition et de les stocker dans un fichier ainsi que les erreurs rencontrées. Il est aussi possible d'avoir un statut de la progression

      Supprimer
    3. Il me semble que DEFT a aussi dcfldd en standard
      - calcul des hash lors de l'acquisition des images et sauvegarde dans un fichier texte
      - enregistrement des erreurs rencontrées
      - plusieurs sorties en parallèle
      - possibilité d'avoir un statut de la progression

      sinon il est possible d'installer le package sous ubuntu sudo apt-get install dcfldd

      Supprimer
  4. Merci pour cet article très intéressant.

    Utilisez vous également un bloqueur en écriture ?

    RépondreSupprimer
    Réponses
    1. Oui, sur un scellé travaillé chez moi, et non dans le cas de figure présenté.

      Supprimer
  5. Peut-être une petite optimisation possible : éviter d'utiliser CIFS, et passer par un "protocole plus direct", à base de nc (netcat) par exemple (je ne sais pas ce qui est disponible sous windows à ce niveau).

    RépondreSupprimer
    Réponses
    1. Netcat est standard avec deft et est disponible sous Windows . Cela optimise le flux comparé a un montage cifs

      Supprimer
  6. Quelques commentaires:
    - normalement on ne 'désactive' pas son firewall. On rajoute une règle autorisant le traffic en question :)
    - ifconfig/mount.cifs/dd ne sont pas des outils spécifiques à la distribution DEFT. Ils sont disponibles dans toutes les distributions Linux; en d'autre termes, on peut utiliser un autre live cd, eventuellement muni d'un noyau plus à jour ce qui permet d'éviter certains problèmes de drivers (réseau, paramètre particulier à passer au bootloader ...)
    - je rebondie sur mon commentaire : si vous utiliser dd au lieu de dd_rescue, penser à ajuster le buffer de lecture/écriture ! (Par exemple: dd if=/dev/sda of=/root/zythom/sda.img bs=8M)
    - Je trouve plus pratique d'avoir une clé USB bootable, plutôt qu'un liveCD. Certes beaucoup de machines ne supportent pas le boot par USB, mais je n'ai pas de lecteur CD USB :p

    Encore une astuce pour dd, peut être applicable à dd_rescue: si vous envoyer le signal SIGUSR1 au processus (pkill -USR1 dd), celui ci vous donne des informations comme la quantité de donnée copié, la vitesse ...

    RépondreSupprimer
    Réponses
    1. J'utilise depuis peu un portable sous Windows 8 que je découvre par la même occasion. J'ai perdu une soirée complète à m'arracher les cheveux uniquement à cause du parefeu Norton préinstallé sur mon beau portable tout neuf, avant de comprendre que c'était le parefeu la cause de mes problèmes. D'où zou => désactivé en totalité.

      Je n'utilise pas la commande dd, native sur tous les systèmes GNU/Linux, uniquement parce qu'elle stoppe sur un problème de lecture d'un secteur défectueux.

      La distribution DEFT existe en version clef USB, mais pas dans sa dernière version. Comme j'ai besoin d'être le plus sur possible de reconnaître le maximum de périphériques... De toute manière, j'avais besoin d'un graveur DVD USB.

      Enfin, dd_rescue donne toutes ces informations pendant et à la fin de son exécution.

      Supprimer
    2. Ah, les joies de Windows 8, Norton et autre 'craplets' préinstallés :-)

      Par rapport à dd, dd_rescue il semblerait que le 'rescue' ne m'ai pas frappé à la première lecture ...
      A ce propos, avez vous déjà essayé l'outil safecopy[1] ? Il semble être du même genre, mais je ne n'ai jamais eu l'occasion de l'essayer.

      Il est souvent possible de copier une image iso sur une clé USB et booter dessus ensuite. Soit avec dd (quelle suprise! :) ) ou bien avec unetbootin[2].


      [1] http://safecopy.sourceforge.net/
      [2] http://unetbootin.sourceforge.net/

      Supprimer
    3. Je vais vérifier si safecopy est inclus dans DEFT, et me pencher sur la création de clef USB bootable à partir d'ISO.

      Merci !

      Supprimer
    4. Pour créer facilement des clefs usb bootable a partir d'une image iso j'utilise LinuxLive USB Creator (http://www.linuxliveusb.com/). Simple, libre efficace :)

      Supprimer
    5. +1 pour cet outil sous Windows. De plus il permet pour les distributions basées sur Ubuntu (comme DEFT) de créer un volume persistant qui permet de modifier certains paramètres par défaut / stocker des petits scripts / installer d'autres applications mais avec précaution car rien n'est enlevé seulement ajouté.)

      Supprimer
    6. Merci du tuyau ! Je pense que je vais l'essayer et l'adopter :-)

      Supprimer
  7. Dans le cas de l'outil dd, il est possible d'obtenir un gain en vitesse conséquent en jouant sur la taille des blocs lus (option bs=). De mémoire, c'est plus rapide avec un bs=taille du buffer du disque, mais c'est assez variable suivant les machines, et un petit script qui teste différente valeur de bs sur un petit fichier n'est pas superflu.

    Observe-t-on le même phénomène avec dd_rescue, ou c'est outil ne permet-il pas de jouer sur ce paramètre ?

    RépondreSupprimer
    Réponses
    1. Il est difficile de procéder à de telles optimisations à cause du stress lié à l'intervention en milieu hostile inconnu.

      Supprimer
    2. D'après man dd_rescue, le buffer est déjà positionné à une valeur correcte

      Supprimer
  8. Quelques questions au hasard :

    1/ Pourquoi ne pas booter le système à étudier sur une clé USB live, ce qui évite d'avoir à recourir au lecteur de CD ?

    2/ plutôt que l'option "portable + disque externe USB3", pourquoi ne pas prendre un petit NAS compact et pas cher genre Sinology etc, la même chose dans un petit cube (et le disque dedans extractible facilement, ou les infos sauvegardées sur 2 disques en RAID-1, ce qui est plus sûr qu'un simple HD "premier prix" pour une mission ayant nécessité qu'on déplace un expert judiciaire ?

    Moi j'aurais tendance à booter avec une PartedMagic qui reconnaît le réseau dans 99% des cas, inclut Clonezilla, et j'utiliserais Clonezilla pour copier le disque en mode dd + gzip, 3 clics et roule...

    M'enfin, chacun ses outils fétiches ;-)

    RépondreSupprimer
    Réponses
    1. 1) La distribution DEFT existe pour clef USB, mais pas en dernière version... d'où le lecteur cd USB (dont j'avais besoin par ailleurs)

      2) J'ai déjà un portable car j'en ai besoin pour les opérations d'expertise. De plus, dans le cas d'une intervention extérieure, il est fréquent de mettre le disque dur externe sous scellé après y avoir stocké la copie. Impossible de justifier le coût du NAS à mettre sous scellé.

      Enfin, Clonezilla présente des difficultés avec les disques ayant des secteurs défectueux, ce que corrige dd_rescue.

      Supprimer
    2. A priori DEFT est supportée par l'excellentissime Multisystem (http://liveusb.info), donc tu dois pouvoir faire une clé USB bootable à partir de l'ISO avec une facilité déconcertante...
      Je n'aurais jamais eu l'idée de mettre LE NAS sous scellés ; par contre la plupart des bons p'tits NAS permettent le démontage rapide et sans outil (voire hotplug) des braves p'tits disque durs qu'ils contiennent, ce qui doit faire du scellé minimum, non ? (Je suis surpris : mettrait-on le disque sous scellés AVANT d'en exploiter le contenu ?)

      Supprimer
    3. Dans le cas d'une assistance à huissier de justice par exemple, en contrefaçon, l'objectif est de collecter des éléments de preuve, telles que contenues dans des copies de disques durs. Une fois cette collecte effectuée, les copies sont mises sous scellés. Ensuite, dans le cadre d'une procédure cette fois contradictoire, les scellés sont confiés à un expert judiciaire (pas nécessairement le même que celui qui a constitué les scellés) avec pour mission d'examiner les éventuelles preuves collectées.

      En gros, on fait une photo en urgence de tout ce qui traine, puis on prend le temps de faire le tri. Entre les deux, les données collectées sont mises sous scellés.

      Supprimer
    4. Je confirme que DEFT 7.2 marche impec en clé USB avec Multisystem (je suis en train de jouer avec ;-) et son manuel lui-même suggère de créer une clé USB avec unetbootin - très bien aussi, mais qui par contre ne permet de mettre qu'une seule distro par clé, contrairement à Multisystem qui n'est limité que par la taille de la clé (là, j'ai près de 40 distros Linux live différentes sur une clé de 32 Go)

      Supprimer
  9. Par curiosité, pourquoi utiliser un switch ? Un simple câble entre les deux PCs ne suffirait pas ?

    RépondreSupprimer
    Réponses
    1. Il n'est pas rare de faire des copies de plusieurs disques en même temps, et je n'ai qu'un pc portable pour éviter l'envol des coûts.

      Supprimer
  10. avec dd_rescue j'ia peur de ca
    http://lwn.net/Articles/430000/

    RépondreSupprimer
  11. On peut toujours ce personnalisé un live-cd et le faire démarrer en pxe(netboot). Plus chiant à faire le montage initiale je l'admet(un peut moins sur les distribution gnu/linux). Mais une fois prêt tellement plus simple. un simple ajout de la mac adresse de la machine cible dans le fichier du serveur dhcp. Un démarrage en pxe. et nous avons tout les outils nécessaire sur la machine cible pour faire la copie.
    Avantage
    -plus de cd à transporter.
    -mise à jour de la dernière version du live-cd facile à faire.
    -possibilité d'avoir plusieurs type de live-cd de différent distribution.
    -peut tout faire à partir de la machine qui copie(selon configuration du live-cd).

    (C'est mon opinion personnel bien-sur.)

    RépondreSupprimer
  12. Une méthode qui marche à tous les coups, mais pour un *coût* raisonnable (avant-dernière phrase).

    RépondreSupprimer
  13. Maitre Capello (ou presque)30 janvier 2013 10:19

    Petite coquille en fin d'article!
    "Cette procédure ne fonctionnera pas...
    (...)
    ...à un coup raisonnable."

    Ce coût frappera à coup sûr notre portefeuille! :)

    J'en profite pour vous féliciter pour votre blog que je lis régulièrement avec plaisir, même si je ne suis ni informaticien (au sens large) ni expert judiciaire (ni même papa :) )
    Bonne continuation!

    RépondreSupprimer
  14. un copieur de disque bon marché :
    http://www.logicube.com/shop/forensic-quest/

    RépondreSupprimer
  15. Lorsque je copie une image disque, je la passe à la volée a un soft de compression avec un taux faible.
    dd_rescue /dev/sda /root/toto/hd.dd
    deviendrait (tester avec dd mais pas dd_rescue)
    dd_rescue /dev/sda | gzip -c -1 > /root/toto/hd.dd

    Plus le disque contient d'espace vide et plus le transfert doit être accéléré.
    A tester....

    RépondreSupprimer
    Réponses
    1. Vous oubliez que l'image obtenue sera analysée par un confrère, avec des outils d'investigation qui ne supportent pas nécessairement le fait que l'image soit compressée.
      Il est possible bien sur de compresser l'image avant envoi, puis de la décompresser à la réception... mais toutes ces manipulations supplémentaires sont malvenues dans un environnement de stress, à mon avis.
      Mais je trouve l'idée intéressante, il y a quelque chose à creuser par là ;-)

      Supprimer
  16. Difficile de se rendre compte du niveau d'hostilité, mais j'ai d'autres idées encore pires ;)

    Pourquoi par exemple ne pas relier les PCs directement à travers un câble ethernet croisé de catégorie 5e ou 6 ? Comme celui-ci par exemple: http://www.materiel.net/cable-reseau/cable-ethernet-croise-5m-653.html

    On peut aussi tester les paramètres de BS pour le dd avec la commande time sur les 10 premiers mégas.
    time dd bs=512 count=10M /dev/sda /root/toto/hd.dd
    time dd bs=1k count=10M /dev/sda /root/toto/hd.dd
    time dd bs=1M count=10M /dev/sda /root/toto/hd.dd
    Personnellement j'ai tendance à mettre une valeur de 1M sans me poser de question mais je ne sauvegarde pas sur le réseau...

    RépondreSupprimer
    Réponses
    1. Pas de problème avec un câble croisé, sauf si vous avez plusieurs machines à copier. Et puis, un switch giga coûte aujourd'hui quelques dizaines d'euros...

      Supprimer
  17. 2 petites questions :
    % mkdir /root/toto <------
    % mount -t cifs //192.168.63.1/partage -o username=zythom /root/toto

    La fonction mkdir sur "/root" fonctionne-t-elle sur un liveCD DEFT ? Ca m'étonne car le support est le CD qui est en read only ?!

    Pourquoi utiliser un deuxieme PC et le réseau ? Pour utiliser la prise USB3 ? en tout cas si le PC à copier a de l'USB3 ou alors a une carte réseau 100 mégabit et de l'USB2, pas la peine d'utiliser le réseau; Monter directement le disque USB sur la session DEFT et lancer la commande dd*. Ou y a-t-il un autre intérêt au réseau ?



    RépondreSupprimer
    Réponses
    1. Un livecd fonctionne en utilisant une partie de la mémoire vive comme un disque dur. La commande mkdir /root/toto vous permet donc de créer un répertoire "toto" dans le répertoire /root, mais ce répertoire disparaitra à l'extinction de l'ordinateur.

      Il y a encore relativement peu de PC avec des prises USB3, d'où l’intérêt d'amener son propre pc pour la prise d'image. Et n'oubliez pas qu'une prise USB2 est 10 fois moins rapide. Quand il s'agit de copier 1To, on passe de 3h à 30h, ce qui rend l'intervention impossible dans des conditions normales.

      De plus le réseau prend encore plus de sens lorsque vous avez plusieurs machines à copier.

      Supprimer
  18. Bonjour,
    Que pensez-vous de ceci :
    http://www.tech2tech.fr/materiels/le-nouveau-zalman-zm-ve400-celui-qui-monte-vos-iso/

    C'est un disque dur qui peut émuler les fichiers ISO (dont DEFT biensur)

    Il peut :
    ° N'émuler qu'un ISO,
    ° émuler l'ISO et afficher le disque dur externe,
    ° Afficher uniquement le disque dur externe

    Il a un système de bloqueur d'écriture sur le disque externe
    et il peut être crypté en AES 256bits.

    Concernant le fait de bloquer le disque dur cible en écriture, comment procédez-vous si sur le disque dur il y a un système de cryptage comme celui du zalman (hardware)? De même, comment faites-vous si la personne a un système de lancement par clé USB ou autre (le disque ne se lance que si une clé spécifique est inséré dans le PC) ?

    Continuez votre blog, il est vraiment très bien !

    RépondreSupprimer
    Réponses
    1. Je ne connais pas, mais si quelqu'un m'offre ce type de bijou technologique, je suis toujours preneur ;-)

      Concernant la prise d'image d'un disque dur chiffré, comme toujours en la matière: à l'impossible, nul n'est tenu. Si le chiffrage n'est pas cassable, si le propriétaire ne coopère pas et si les mots de passe ne sont pas trouvé ailleurs, je ne peux rien faire.

      Ou plutôt si, je détaille sur mon rapport les circonstances rencontrées et leurs conséquences. C'est tout.

      Supprimer
    2. Je viens de voir chez Korben un billet sur ce produit où il indique que cela ne coûte que 40 euros... A voir donc ;-)

      Supprimer
    3. A vrai dire, ce n'est qu'un boitier externe, donc n'importe quel disque dur de 2,5" marche dessus normalement.

      "(en fait, j'en ai plusieurs en stock car parfois je suis amené à les mettre eux-mêmes sous scellés, mais c'est une autre histoire)."
      Après une enquête et le jugement rendu, on vous rend votre disque dur formaté ? en l'état ? ou on vous le rembourse ?

      Supprimer
    4. Je viens de passer commande sur Amazon ;-)

      Lorsque je place l'un de mes disques durs sous scellé, j'en demande le remboursement dans ma note de frais et honoraires. Cela me permet de sortir complètement et rapidement de la procédure.

      Le remboursement des frais engagés peut par contre prendre assez longtemps (jusqu'à deux ans dans mon cas).

      Supprimer
    5. Ce qui semble être un avantage dans le cas d'un remboursement de disque dur, histoire d'acheter un remplacement ayant plus de capacité :D

      Supprimer
  19. Le mode opératoire est particulièrement pertinent et permet effectivement d'atteindre des débits de copie intéressants à moindre frais. Toutefois, je ne suis pas sûr (cela demande à être testé) qu'il soit possible de détecter et copier les zones HPA (Host Protected Area) et DCO (Device Configuration Overlay). Le HPA ne pose en général pas de problème à une distribution Linux orientée forensic mais ce n'est pas le cas du DCO...
    Il devrait alors être nécessaire d'utiliser un utilitaire permettant exécuter des commandes DCO pour désactiver/réactiver la zone avant puis après la réalisation de l'image. Par exemple, HDAT2 fait ça: http://www.hdat2.com/

    RépondreSupprimer
  20. bonjour,

    Un boitier externe mixte eSATA /USB 3.0 démonté pour n'avoir que la partie connectique permet de se connecter en direct sur le disque dur à cloner en changeant les câbles d'origine pour avoir une plus grande longueur, sans avoir à démonter le disque mais juste à ouvrir le PC. Il existe ensuite toute une panoplie d'adaptateurs qui permettent de connecter quasiment tout HDD au circuit imprimé
    Un portable avec 2 emplacements de HDD (un système et l'autre pour la ou les images) permettrait de cloner la source. Une fois la copie sur le 2è HDD, vous avez tous le temps en atelier de refaire le transfert.
    A défaut d'avoir un 2ème HDD, le gravage en direct est aussi également possible.
    Je ne connaissait pas DEFT, j'utilise Hiren's Boot CD.

    Je ne sais si ma démarche est pertinente, mais le matériel nécessaire devient alors nettement plus pratique à transporter.

    RépondreSupprimer
  21. L'article n'evoque pas la partie extraction de la mémoire , c'est une chose que vous traitez a part ou vous ne travaillez que sur le disque dur ?

    RépondreSupprimer
  22. bonjour, tout dabord merci à vous et votre blog, j'ai beaucoup amélioré mes connaissance au fil de lecture des différents billets et de tests. la question que j'ai à poser aujourd'hui n'est peut etre pas à poser ici, vous n'ètes pas là pour répondre aux questions que les gens peuvent se poser, mais autant demander à quelqu'un qui sait ^^.
    j'ai tenté de faire une prise d'image ( je ne possède pas de bloqueur d'écriture, trop onnéreux de ce que j'en ai vu) avec dd_rescue, sur un disque en NTFS, dont la mft est illisible ( d'aprés le logiciel recuva)
    impossible aussi d'y faire un chkdsk, la seule option dispo est d'après windows de formater la partition, et sous gnu/linux elle ne se monte pas non plus(ntfsfix me dit de faire un chkdsk ^^). voici l'erreur en sortie de dd_rescue .

    $ dd_rescue /dev/sdg /run/media/user/23137BBA24C304A0/hd.dd

    dd_rescue: (warning): read /dev/sdg (21904.0kiB): Input/output error!
    dd_rescue: (warning): Bad block reading /dev/sdg: 5476

    d'après un test smart, aucun secteur n'est deffectueux. aije oublié une étape?.l'image en sortie sera t-elle quand meme valide?
    esceque je formate la partition pour après pouvoir faire une image stable et tenter une récup?

    peut-on me diriger vers une documentation plus poussée pour que je puisse comprendre et parvenir à récupérer des données. ou m'aiguiller sur la bonne piste .

    cordialement.

    RépondreSupprimer
    Réponses
    1. Votre disque dur possède probablement des secteurs défectueux que le test smart ne détecte pas.
      Le mieux est de mettre le disque dur de côté, maintenant que vous en avez fait une image fidèle (hors secteurs illisibles). Et de travailler à récupérer les données de cette image.
      PhotoRec lira très bien votre fichier hd.dd
      Bon courage.

      Supprimer

Les commentaires sur ce blog sont modérés. Votre message apparaîtra sur le blog dès que le modérateur l'aura approuvé. Merci de votre patience.