Forensics : PhotoRec pour la récupération de fichiers effacés
2 avril 2021
TestDisk/PhotoRec est une suite logicielle Open Source dont l’objet est respectivement la récupération de partitions et de fichiers effacés. Les deux logiciels s’exécutent indifféremment sur Windows, Linux et Mac OS X. Il fait partie des outils Forensics utilisés par les experts judiciaires.
Utilisation de PhotoRec
Comme Recuva ou RecoveRx, PhotoRec vous offre la possibilité de récupérer vos fichiers effacés sur des systèmes de fichiers NTFS, FAT, EXT2, EXT3, EXT4, ReiserFS, HFS.
Pour ma part, je préfère sous Windows l’emploi de la commande photorec_win.exe, qui permet un mode d’utilisation plus avancé.
Le choix du média
Choisissez le lecteur avec les flèches de direction et tapez la lettre P pour Proceed.
Le choix de la partition
Je fais, ci-dessous, le choix de la partition plutôt du disque entier. Pour lancer la recherche, je tape ensuite la lettre S pour Search.
Choix du système de fichiers
PhotoRec a détecté le bon format pour ce qui est du système de fichiers. Je valide sur Other.
Choix de l’espace à analyser
J’ai choisi d’extraire la totalité – Whole – des fichiers.
Choix du répertoire de destination
Choisissez un répertoire de récupération placé sur un lecteur de votre machine autre que celui sur lequel porte votre analyse.
Option de récupération d’un système de fichiers FAT
Le choix de la la taille des blocs
Je vous ai mis à disposition un script PowerShell afin de récupérer la taille des blocs des systèmes de fichiers. Choisissez, en conséquence, la taille des blocs du système de fichiers à partir duquel vous souhaitez récupérer vos fichiers.
Informations sur la récupération
Créer une image de votre disque
PhotoRec vous propose de faire une image de votre partition au format dd.
Le résultat final
