Image disque beaucoup plus grande que partition réelle ?

Comment utiliser TestDisk pour récupérer une partition perdue
Locked
Message
Author
zenix
Posts: 1
Joined: 15 Jun 2018, 14:39

Image disque beaucoup plus grande que partition réelle ?

#1 Post by zenix »

Bonjour,

Tout d'abord un grand merci à l'auteur de testdisk pour avoir produit et rendu disponible gratuitement ce formidable outil qui m'a sauvé la vie de nombreuses fois!

Ma question:

Je suis en train de faire une image d'une partition NTFS avec testdisk mais elle me parait anormalement grande: la partition fais environ 150Go et l'image qui en est à 80% fait déjà 196Go! Pas mal de secteurs sont corrompus ("Sense Key : Medium Error") mais de grosses portions semblent lisibles donc ça vaut le coup de faire l'image et de travailler ensuite dessus (la MFT est morte donc il va falloir reconstruire mais certaines données sont bel et bien là).
Comme la récupération est en cours je ne peux pas tester pourquoi l'image est si grande, et sachant l'histoire de ce disque je ne veux pas interrompre le processus car pas sûr d'avoir une deuxième chance.
testdisk voit bien les secteurs en 512o (et pas en 1024 ou 4096) donc c'est ok:
Disk /dev/sda - 250 GB / 232 GiB - CHS 30401 255 63, sector size=512 - WDC WD2500AAJS-07M0A0, S/N:WD-WCAV2H026169, FW:01.03E01

De même, la taille de la partition trouvée semble bonne:
Disk /dev/sda - 250 GB / 232 GiB - WDC WD2500AAJS-07M0A0
3 P HPFS - NTFS 11532 137 62 30272 39 39 301051904

(301051904*512 = environ 150Go)

Je m'inquiète un peu et j'ai peur que l'image ne soit pas exploitable.
Avez vous une idée?
Par avance, merci.

PS: Pour plus d'info sur le contexte rocambolesque de cette récup:

Un ami m'a appelé au secours suite au cryptage de ses données par un ransonware (et oui, un de plus).
Évidement, le disque de sauvegarde USB inutilement branché en permanence a subi le même sort.. Cryptage AES non réversible sans la clé, VSS Windows effacé par la vérole: toutes les données de sa petite entreprise sur 10 ans sont passées à la trappe. Une catastrophe pour lui!
Mais dans son malheur, il a de la chance: j'ai vu au boot que son serveur vieillissant était quand même équipé de 2 disques de 250 Go montés en RAID1. Ça ne change rien à priori sauf que coup de bol, le RAID est dégradé et un disque est HS. Son vendeur/réparateur "local" n'avait pas remarqué cette défaillance et impossible de savoir depuis quand, mais sûrement pas plus de 6 mois. J'ai donc décidé de tenter une "réparation" du disque HS avec l’électronique et la mécanique du disque crypté, car ce sont exactement les même modèles (des WD Blue de 250Go)! Une fois le disque ouvert, j'ai pu remplacer l’électro aimant des têtes de lecture qui refusait de fonctionner et j'ai également substitué le PCB externe qui semblait avoir pris un gros coup de chaud par endroit.. et ça a marché!! Bien sur comme prévu le disque est un gruyère, la MFT est cramée mais une prospection rapide des secteurs en direct me confirme que des données non cryptés sont bien là. D'où ma décision de faire en priorité une image pour ensuite travailler plus sereinement.
TLDR; je sais..

User avatar
cgrenier
Site Admin
Posts: 5432
Joined: 18 Feb 2012, 15:08
Location: Le Perreux Sur Marne, France
Contact:

Re: Image disque beaucoup plus grande que partition réelle ?

#2 Post by cgrenier »

Je ne comprends pas pourquoi l'image serait plus grand que la partition source...
Il faudrait mieux faire une image de la partition avec ddrescue qu'avec testdisk. Il gére mieux les zones de secteurs défectueux.

Locked