Manipulations dangereuses Testdisk Topic is solved

Comment utiliser TestDisk pour récupérer une partition perdue
Locked
Message
Author
mtth23
Posts: 4
Joined: 09 Feb 2022, 20:27

Manipulations dangereuses Testdisk

#1 Post by mtth23 »

Bonjour à vous la communauté cgsecurity.org, les forums sont mon dernier recours.

J'ai eu à récupérer des documents formaté sur le disque dur d'un PC Windows, j'ai donc utilisé l'outil Testdisk, qui est vraiment miraculeux. Un des rares outil de nos jours qui va droit à l'essentiel et qui fonctionne à merveille, j'ai donc réussi à récupérer mes données.
Le souci est que j'ai touché à un paramétrage "Write" concernant la réparation de la table des partitions du disque et que je l'ai malencontreusement "formatée".

Actuellement,
Le disque contient toujours toutes les données, un scan sfc /scannow détecte une installation de Windows avec des fichiers corrompus mais ne peut le réparer en mode WinPE. Je pense que toutes les données sont présentes sur le disque, je ne l'ai pas utilisé depuis cette fâcheuse manipulation. Le souci étant que les données sont présentes mais que la table des partitions (si j'ai bien compris faisant office de sommaire) n'est plus présente pour faire le lien entre les données et leur emplacement sur le disque.

Actuellement lorsque j'exécute une recherche approfondie avec Testdisk je trouve beaucoup de partitions Linux "corrompues" sans système de fichiers exploitable, c'est du moins le message que m'affiche la fonction "p" de Testdisk pour chacune des partitions trouvées.

Voir photo ci-jointe :
photo1.png
photo1.png (77.85 KiB) Viewed 18517 times
photo2.png
photo2.png (36.57 KiB) Viewed 18515 times

Je voulais ainsi vous demander si vous aviez une idée quant à la manière de récupérer cette table de partitions et de ce fait mon Windows et ses données, si toutefois vous avez du temps et du savoir à m'accorder pour résoudre mon problème.

Merci de m'avoir lu.
Last edited by mtth23 on 10 Feb 2022, 10:23, edited 3 times in total.

recuperation
Posts: 2720
Joined: 04 Jan 2019, 09:48
Location: Hannover, Deutschland (Germany, Allemagne)

Re: Manipulations dangereuses Testdisk

#2 Post by recuperation »

mtth23 wrote: 09 Feb 2022, 20:32 Bonjour à vous la communauté cgsecurity.org, les forums sont mon dernier recours.

J'ai eu à récupérer des documents formaté sur le disque dur d'un PC Windows, j'ai donc utilisé l'outil Testdisk, qui est vraiment miraculeux. Un des rares outil de nos jours qui va droit à l'essentiel et qui fonctionne à merveille, j'ai donc réussi à récupérer mes données.
Le souci est que j'ai touché à un paramétrage "Write" concernant la réparation de la table des partitions du disque et que je l'ai malencontreusement "formatée".
Pourquoi est-ce que vous avez écrit "formatée" entre guillemets? Est-ce que vous avez seulement effectué la fonction "write" en Testdisk ou est-ce que vous avez formaté votre disque après?
Actuellement,
Le disque contient toujours toutes les données, un scan sfc /scannow détecte une installation de Windows avec des fichiers corrompus mais ne peut le réparer en mode WinPE. Je pense que toutes les données sont présentes sur le disque, je ne l'ai pas utilisé depuis cette fâcheuse manipulation. Le souci étant que les données sont présentes mais que la table des partitions (si j'ai bien compris faisant office de sommaire) n'est plus présente pour faire le lien entre les données et leur emplacement sur le disque.
Même si avez écrit une fausse table vous devriez normalement retrouver les partitions par une recherche approfondie. Le seul problème peut se passer avec une table de type MBR. Ce type de table de partition forçe Testdisk d'écrire un secteur de table de partition entre deux partitions. Si vous avez une liste de plusiers partitions ou une couvre le territoire de l'autre, vous risquez d'écrire des secteurs au mauvais endroit - dans les partitions au lieu de l'espace entre les partitions.
Actuellement lorsque j'exécute une recherche approfondie avec Testdisk je trouve beaucoup de partitions Linux "corrompues" sans système de fichiers exploitable, c'est du moins le message que m'affiche la fonction "p" de Testdisk pour chacune des partitions trouvées.
Et les autres partitions qui ne sont pas considéré comme partitions Linux?

Voir photo ci-jointe : https://photos.app.goo.gl/sQresvXsoFmv6iBf6

Je voulais ainsi vous demander si vous aviez une idée quant à la manière de récupérer cette table de partitions et de ce fait mon Windows et ses données, si toutefois vous avez du temps et du savoir à m'accorder pour résoudre mon problème.

Merci de m'avoir lu.
Monsieur, vous m'avez présenté l'état actuel de vos partitions. L'ancien état je ne le connaît pas.
Veuillez répondre aux question 12 et 13, s.v.p.:
viewtopic.php?t=11884
Je n'ai pas encore traduit le questionnaire.

Téléchargez votre image sur ce site en passant par "Attachments" du côté gauche en bas de l'écran.

mtth23
Posts: 4
Joined: 09 Feb 2022, 20:27

Re: Manipulations dangereuses Testdisk

#3 Post by mtth23 »

Bonjour, merci pour votre réponse.

J'ai écrit "formatée" car en appuyant sur "Write" je ne pensais pas que l'action serait semblable à un formatage rapide, à savoir un disque d'un premier abord vide (mais je peux encore récupérer des fichiers avec PhotoRec (bien que je veuille récupérer les fichiers systèmes afin de retrouver mon Windows).)

Effectivement, maintenant que vous le dîtes, on constate que certaines partitions démarrent et finissent au même endroit. Elle semble donc effectivement se chevaucher.
Selon le guide Testdisk pas à pas, il est indiqué que lorsque cela se produit cela signifie qu'il y a une seule de ces partitions chevauchées qui est la bonne. Or, dans mon cas, je ne parviens à lire de données sur aucune des partitions Linux.

Concernant les autres partitions non considérées comme Linux :
- La partition principale "Nouveau nom" ne contient rien (à première vue).
- La partition "Réservé système" contient des fichiers EFI

Voir photos :
Contenu de la partition "Nouveau nom" :
T4.jpg
T4.jpg (35.19 KiB) Viewed 18506 times
Contenu de la partition "Réservé Système" :
T3.jpg
T3.jpg (53.97 KiB) Viewed 18507 times
Pour répondre à vos questions :
12. Quel a été le schéma de partitionnement utilisé sur le disque défaillant (MBR (ancien style de table de partition), GPT, Superfloppy) ?
Je n'ai pas de précision exacte concernant le type de disque (erreur de ma part), je sais juste que c'était un OS Windows 10 datant de 2015. J'aurais donc tendance à dire "GPT" étant donné qu'il s'agisse d'un Windows moderne. Cependant la commande "gdisk" sur Linux m'a rapporté que le disque était en MBR.

13. Combien y avait-il de partitions sur le disque défectueux, quelle était leur taille, quel était leur système de fichiers ?
Concernant les partitions je ne suis malheureusement pas très précis je m'en excuse. Comme je vous l'ai dit plus haut, ce disque a été utilisé pour un OS Windows 10, il a logiquement été partitionné en 3 partitions (une partition EFI, une partition de récupération, une partition Windows). Aujourd'hui il me reste la partition EFI, ainsi que la partition Windows, elle en revanche est vide.

Pensez-vous qu'une récupération est possible ?

recuperation
Posts: 2720
Joined: 04 Jan 2019, 09:48
Location: Hannover, Deutschland (Germany, Allemagne)

Re: Manipulations dangereuses Testdisk

#4 Post by recuperation »

mtth23 wrote: 10 Feb 2022, 10:17 Pensez-vous qu'une récupération est possible ?
Je ne sais pas.

En vous servant de la fonction "list files" (touche "p") vous allez dans la partition qui contient les données que vous voulez sauver. Là, le menu vous donne la possibilité de copier le contenu. Vous mettez vous fichiers personels sour un autre disque. Si cela ne fonctionne pas, vous pouvez utiliser Photorec ou un logiciel commercial.

mtth23
Posts: 4
Joined: 09 Feb 2022, 20:27

Re: Manipulations dangereuses Testdisk

#5 Post by mtth23 »

Très bien, je vous remercie de votre réponse.
Comme je vous l'ai expliqué un peu plus haut, les données que j'avais à récupérer (images, vidéos) ont déjà été récupérées grâce à Testdisk (à un moment où le disque était en meilleure santé).
Ici, ma démarche aurait été de revenir en arrière quant à mes actions sur le disque effectuées avec Testdisk afin de pouvoir réexécuter mon Windows comme avant.
Je pense que l'on arrive dans les limites des fonctionnalités de Testdisk (qui est un super outil pour récupérer des données mais pas pour rétablir un disque !) et qu'il faille s'adresser à un professionnel de la récupération (salle blanche, etc...) mais le jeu n'en vaut pas la chandelle.

Je vous remercie toutefois pour votre aide.

Locked