Forensics : PhotoRec pour la récupération de fichiers effacés

TestDisk/PhotoRec est une suite logicielle Open Source dont l’objet est respectivement la récupération de partitions et de fichiers effacés. Les deux logiciels s’exécutent indifféremment sur Windows, Linux et Mac OS X. Il fait partie des outils Forensics utilisés par les experts judiciaires.

Utilisation de PhotoRec

Comme Recuva ou RecoveRx, PhotoRec vous offre la possibilité de récupérer vos fichiers effacés sur des systèmes de fichiers NTFS, FAT, EXT2, EXT3, EXT4, ReiserFS, HFS.

Pour ma part, je préfère sous Windows l’emploi de la commande photorec_win.exe, qui permet un mode d’utilisation plus avancé.

Le choix du média

Choisissez le lecteur avec les flèches de direction et tapez la lettre P pour Proceed.

PhotoRec > Select a media

Le choix de la partition

Je fais, ci-dessous, le choix de la partition plutôt du disque entier. Pour lancer la recherche, je tape ensuite la lettre S pour Search.

PhotoRec > Select Partition

Choix du système de fichiers

PhotoRec a détecté le bon format pour ce qui est du système de fichiers. Je valide sur Other.

PhotoRec > Select FileSystem Format

Choix de l’espace à analyser

J’ai choisi d’extraire la totalité – Whole – des fichiers.

PhotoRec > Select Content

Choix du répertoire de destination

Choisissez un répertoire de récupération placé sur un lecteur de votre machine autre que celui sur lequel porte votre analyse.

PhotoRec > Select Destination

Option de récupération d’un système de fichiers FAT

PhotoRec > Unformat FAT filesystem

Le choix de la la taille des blocs

Je vous ai mis à disposition un script PowerShell afin de récupérer la taille des blocs des systèmes de fichiers. Choisissez, en conséquence, la taille des blocs du système de fichiers à partir duquel vous souhaitez récupérer vos fichiers.

PhotoRec > Select Block Size

Informations sur la récupération

PhotoRec > Bruteforce

Créer une image de votre disque

PhotoRec vous propose de faire une image de votre partition au format dd.

PhotoRec > Create dd image

Le résultat final

PhotoRec > recup_dir+image_remaining.dd

Sécurité  / Forensics