Testdisk et Photorec sont des outils très pratiques pour récupérer des datas effacées. Toutefois les données récupérées sont renommées et l’arborescence complètement supprimée. J’ai eu à récupérer des données sur un disque ntfs, sans aucune idée des extensions importantes mais avec quelques dossiers seulement à récupérer. Il semblait alors plus pertinent d’employer un autre outil : Scrounge NTFS. Je liste ici l’ensemble des commandes utilisées, pour mémoire…

Comme pour chaque tentative de récupération de data, il est intéressant de faire une copie du disque et de travailler sur cette copie plutôt que de travailler directement sur le media. Pour déterminer la lettre correspondant au media, il y a plusieurs commandes possibles, au choix :

  • ls -l /dev/disk/by-label/
  • df -h
  • sudo fdisk -l

Dans mon cas il s’agissait de sdc. Pour la copie, j’utilise alors la commande dd :

  • dd bs=32M if=/dev/sdc of=/dossier/image.dd

Il est nécessaire de récupérer certaines informations à propos du disque avant de lancer la récupération :

  • scrounge-ntfs -l /dossier/image.dd

Start Sector End Sector Cluster Size MFT Offset
===========================================
Drive: /dossier/image.dd
2048 975312896 8 6291456

La commande pour récupérer les données est alors :

  • scrounge-ntfs -m 6291456 -c 8 -o /dossier/de/sortie/ /dossier/image.dd 2048 975312896