Re: Exploitation de fichier VMDK récupérés par Photorec
Posted: 05 May 2019, 18:07
Vous devez exporter le contenu de votre fichier vdmk dans un fichier comme si c'était un disque dur réel.
TestDisk & PhotoRec forum
https://forum.cgsecurity.org/phpBB3/
Code: Select all
ddrecue /dev/sdb /mnt/usb/vmdk.img /home/user/ddrescue.log
Est-ce que vous avez seulement monté votre fichier vmdk comme appareil "sdb"?
J'espère que le fichier de description .vmdk fonctionne.alexdaums wrote: ↑05 May 2019, 19:34 En fait je suis vraiment désolé mais j'ai effectivement un peut de mal à suivre.
Je vais essayer de faire une chronologie de ce que j'ai déjà fait en espérant que ça puisse vous aider à comprendre ma démarche et voir si je ne saute pas une étape dans ce que vous me demandez.
Etape 1:
J'ai fais une erreur et effacé une machine virtuelle de mon serveur esxi (serveur pour les tests).
Etape 2:
J'ai desuite après l'étape 1 rien fait de plus et démarré sur un live cd ubuntu 18.04.
J'ai analysé le datastore en vmfs de mon esxi avec photorec qui a récupéré un certains nombre de fichier .vmdk.
L'un de ces fichiers fait 2To ... j'en déduit que vu sa taille c'est le vmdk qui m'interresse.
Etape 3:
J'ai transféré le fichier vmdk de photorec à nouveau sur mon esx.
Ce fichier vmdk étant la récupération de mon ancien fichier-flat.vmdk j'ai du reconstruire un fichier de description .Vmdk pour pouvoir l'attacher à une machine virtuelle debian.
Etape 4:
La VM debian démarre avec le disque /dev/sdb qui est le fichier vmdk qui m'interresse mais le système ne vois pas de partition dessus. il y en avait bien une avant en ext4 de mémoire car ça fait quelques année que ça fonctionnait.
Etape 5:
J'ai essayé d'analyser sdb avec testdisk mais au bout d'une journée (vu la taille) j'ai plus de 100 lignes avec des bouts de partition qu'il trouve mais pas une partition exploitable.
Etape 6:
Comme vous pouvez le voir je suis un peut perdu...
Cordialement,
Il correspondait à ça au départ avant que je fasse un "rm -r" après est ce que photorec l'a gardé dans le bon état ... j'espère.recuperation wrote: ↑05 May 2019, 20:25 J'espère que le fichier de description .vmdk fonctionne.
J'ai pu suivre toutes les étapes.
J'essaie de révenir à ma proposition avant.
Ce qu'il faut présenter a testdisk et photorec c'est un fichier de la manière suivante:
Byte 0 => Sector 0, Byte 0
Byte 1 => Sector 0, Byte 1
Byte 2 => Sector 0, Byte 2
...
Byte 511 => Sector 0, Byte 511
Byte 512 => Sector 1, Byte 0
Byte 513 => Sector 1, Byte 1
....
Byte 1023 => Sector 1, Byte 511
Byte 1024 => Sector 2, Byte 0
Byte 1025 => Sector 2, Byte 1
...
Votre fichier "2To" récupére en étape 2 doit correspondre au format mentioné ci-dessus.
Mon disque était je pense un type 4 vu qu'il était sur un ESXi ... je pense que c'est équivalent au type 2 mais créé sur système de fichier VMFS et non plus classique comme ntfs sur windows ou ext sous linux avec vmware workstation. C'etait un thick provisioning ... allocation complète.recuperation wrote: ↑05 May 2019, 20:25 Selon
https://www.vmware.com/support/develope ... anager.pdf
page 9
il y a 7 variations de formats internes d'un fichier .vmdk.
[...
-t [0|1|2|3|4|5|6] Specifies the virtual disk type. This option is required when you create or convert
a virtual disk. Choose one of the following types:
0 – create a growable virtual disk contained in a single file (monolithic sparse).
1 – create a growable virtual disk split into 2GB files (split sparse).
2 – create a preallocated virtual disk contained in a single file (monolithic flat).
3 – create a preallocated virtual disk split into 2GB files (split flat).
4 – create a preallocated virtual disk compatible with ESX server (VMFS flat).
5 – create a compressed disk optimized for streaming.
6 – create a thin provisioned virtual disk for ESX/ESXi 3.5 and later.
...]
Si testdisk comprend quelque chose, c'est probablement type 2.
J'assume que type 2 correspond à ma description du format au début.
Soit vous convertez le fichier en type 2, soit vous avez un pilote
comme
https://www.vmware.com/pdf/VMwareDiskMount.pdf
pour présenter le fichier vmdk comme un disque dur "réel".
J'essayerais de faire ce test avec tesdisk et un disque "neuf" ... par contre la commande vmware-mount ne fonctionne pas car c'est une commande vmware-workstation et non Esx.recuperation wrote: ↑05 May 2019, 20:25 [...
2 You can mount a flat‐file representation of an entire virtual disk.
The command syntax for mounting a flat‐file representation is:
vmware-mount -f /path/to/disk /mount/point
...]
Je pense que testdisk a besoin de "flat-file"!
Pour vérifier le processus créez un noveau fichier *.vmdk. Formatez-le, sauvez m'importe quel fichier "alex.txt" sur le fichier et essayez de le présenter à testdisk par le logiciel Vmware mount. Avec testdisk vous devez trouver une structure intacte qui contient le fichier "alex.txt".
Si vous n'arrivez pas avec ce *.vmdk intacte -
Je vous tiens au courant dès que j'ai eu le temps de faire le test.recuperation wrote: ↑05 May 2019, 20:49 J'arrive plus a modifier mon text complet, seulement la partie première!
"J'assume que le mot "flat-file" represente cela, une énumeration de disque dur, secteur-par-secteur."
A inserer avant
Votre fichier "2To" (2To = 2 Terabyte?) récupére en étape 2 devrait correspondre au format mentioné ci-dessus.
Si vous arrivez de monter des fichiers vmdk intacts à testdisk de manière que vous retrouvez votre fichier "alex.txt" dedans, vous essayez de refaire ce processus avec votre grand fichier vmdk.