03 octobre 2008

Récupération d'images et plus encore

Vous êtes un particulier, vous avez perdu dix années de photographies numériques parce que votre petit dernier a malencontreusement effacé deux ou trois répertoires de votre disque dur en faisant le ménage (mais bon, ils étaient gros, et ça fait de la place maintenant...).

Vous êtes un jeune expert et vous hésitez à dépenser 5000 euros dans un logiciel d'analyse inforensique parce que, heu, deux expertises par an, c'est pas beaucoup...

Vous êtes N-TECH (gendarme spécialisé issu du CNFPJ Centre National de Formation de Police Judiciaire de Fontainebleau), et vous avez égaré votre «lot enquêteur».

Vous êtes ESCI (Enquêteur Spécialisé en Criminalité Informatique - Police National), mais vous ne retrouvez plus la clef d'activation de votre logiciel Marina (Moyen Automatique de Recherche d'Images Non Autorisées).

Vous êtes journaliste et vous ne retrouvez pas l'image que vous avez prise et merde-c'est-le-bouclage/j'ai-pas-de-sauvegarde/qui-a-touché-mon-portable...

Ou tout simplement curieux de voir toutes les images cachées au fil du temps dans les recoins de votre ordinateur.

Alors, ce billet est pour vous.

Je suppose que nous sommes dans le cas d'une analyse d'une copie du disque dur. Pour réaliser une telle copie, vous pouvez déjà lire ce billet toujours d'actualité.

En tout cas, votre disque dur doit encore fonctionner et ne pas être crypté (avec bitlocker par exemple) car je n'aborde pas ici l'analyse post-mortem, ni l'analyse de la mémoire vive...

Enfin, il ne s'agit pas d'effectuer une analyse complète des données du disque dur comme vous pouvez vous entrainer à le faire ICI.

Hypothèse: vous avez une image ISO (ou dd) de votre disque dur et vous aimeriez bien en analyser les images.

Il vous faut cet outil: PhotoRec qui est capable de mener à bien cette analyse avec un nombre incroyable de formats d'images.

Il s'agit d'un billet du vendredi, alors ne comptez pas sur moi pour vous écrire un mode d'emploi, surtout que le site de PhotoRec est très complet.

Et vous savez quoi, ce logiciel permet également de récupérer toutes sortes de fichiers: des fichiers cachés sur cédérom, des fichiers GPG et leur clef effacés, et au total plus d'une centaine de format de fichiers!

Ce logiciel travaille bien sur filesystem FAT, NTFS, ext2/ext3, HSF+.

Il fonctionne avec des disques durs, CD-ROM, CompactFlash, Memory Stick, SecureDigital, SmartMedia, Microdrive, MMC, USB Memory Drives...

Bravo à Christophe GRENIER pour ce travail exemplaire!

D'ailleurs, si vous avez quelques pièces anciennes à lui faire passer...

Felix qui potuit rerum cognoscere causas (ou pas)

----------------------
Image crédit Dark Roasted Blend

4 commentaires:

  1. Lorsqu'un collègue et moi avons eu à résoudre les problèmes de personnes qui avaient un disque dur à moitié fichu, nous avons copié les disques secteur par secteur (ce qui est d'ailleurs super long quand les secteurs sont bouzillés, car le disque essaye plusieurs fois chaque piste).

    Une amie me mentionne la récupération d'un disque dur physiquement grillé par un gendarme expert. Là par contre, aucune idée de comment on fait (on ouvre le disque en salle blanche, et après?).

    RépondreSupprimer
  2. @DM:Les pannes matérielles des disques durs concernent en général les pièces mobiles (têtes de lectures, etc).
    La procédure classique dans ces cas là est de disposer d'un deuxième disque dur parfaitement identique (même marque, même modèle, ou compatible) mais en état de marche. Vous ouvrez alors en salle blanche les deux boitiers pour faire l'échange des plateaux. Une fois refermé (pour protéger l'ensemble de la poussière), le boitier est replacé dans un ordinateur pour être copié.
    Cette copie numérique est ensuite recopiée sur un troisième disque (de capacité identique ou supérieure) qui vous est restitué.

    C'est très simple, mais cela demande: une salle blanche, un stock important de disques durs et du savoir faire. Donc c'est très couteux.

    Et je ne vous parle pas de l'analyse magnétique des plateaux qui peut être effectuée si ceux-ci sont fortement endommagés, ou pour trouver des données écrasées par d'autres (très très onéreux). J'en ai entendu parler, mais je doute de pouvoir y recourir...

    RépondreSupprimer
  3. Ah, la vache... Manip en salle blanche, démonter et remonter tout ça avec le plus grand soin pour éviter de bouziller les plateaux...

    En ce qui concerne l'analyse magnétique, j'en ai entendu parler... et j'ai aussi entendu parler des patterns de 0 et 1 à faire inscrire pour soi-disant finir par effacer le disque.

    Quand on a vraiment peur que des indélicats ne fassent les poubelles, autant balancer l'intérieur du disque dur au feu! :-)

    RépondreSupprimer
  4. Merci pour ce billet et faire découvrir photorec.

    Je savais qu'en retournant sur ce blog, je réussirai à mettre la main vers un lien avec ce genre de chose que je cherchai.

    Arthur, qui passe la nuit à analyser son propre disque dur

    (Non, j'ai pas de copie de sauvegarde de ce que je veux récupérer, puisque le logiciel créant mes donnée à l'étrange manie de supprimer la donner avant de se fermer)

    RépondreSupprimer

Lectrice, admiratrice, avocate, magistrate, programmeuse, dessinatrice, chère consœur, femmes de tous les pays, lecteur, j'ai toute confiance en vous pour prendre bien soin de vérifier que votre prose est compatible avec les normes orthographiques et grammaticales en vigueur. Et si vous pouviez éviter les propos insultants ou haineux, je vous en serais reconnaissant.
N'hésitez pas à respecter ces quelques règles qui peuvent même s'appliquer en dehors de ce blog.

Les commentaires sur ce blog sont modérés. Votre message apparaîtra sur le blog dès que le modérateur l'aura approuvé. Merci de votre patience.