Discussion :

[buhlm]

Bonjour à tous !

Je suis très faible en informatique mais je cherche à récupérer des données que j'avais sur un disque dur qui a rencontré un souci...

Actuellement j'ai un gros fichier ".sys" que j'ai réussi a récupérer.

En utilisant le programme "CR hexact" j'ai pu lire certaines inscriptions me confirmant que certaines photos y sont.

J'ai après avoir lu sur le forum que IDA pouvait restructurer les fichiers.

Acutellement j'ai une liste de fichiers en "AmediaO" ou "FILE0" dans le répertoire généré par le logiciel. Ce répertoir s'appelle "strings"

Dans le répertoire "Hexa" j'ai des fichiers comme celui-là :

C.o.n.d.u.c.t.o."
seg000:46E180 72 00 20 00 26 00 20 00-54 00 68 00 65 00 20 00 "r. .&. .T.h.e. ."
seg000:46E190 43 00 6F 00 77 00 62 00-6F 00 79 00 20 00 2D 00 "C.o.w.b.o.y. .-."
seg000:46E1A0 20 00 46 00 65 00 65 00-6C 00 69 00 6E 00 67 00 " .F.e.e.l.i.n.g."
seg000:46E1B0 20 00 54 00 68 00 69 00-73 00 20 00 57 00 61 00 " .T.h.i.s. .W.a."
seg000:46E1C0 79 00 2E 00 6D 00 70 00-33 00 00 00 00 00 00 00 "y...m.p.3......."

Ou là, des photos :

m.a.r.c.h.Ú. ."
seg000:E570 64 00 65 00 20 00 6E 00-6F 00 65 00 6C 00 00 00 "d.e. .n.o.e.l..."
seg000:E580 90 00 00 00 D0 00 00 00-00 04 18 00 00 00 06 00 "É...ð........"
seg000:E590 B0 00 00 00 20 00 00 00-24 00 49 00 33 00 30 00 "¦... ...$.I.3.0."
seg000:E5A0 30 00 00 00 01 00 00 00-00 10 00 00 01 00 00 00 "0...
......
..."
seg000:E5B0 10 00 00 00 A0 00 00 00-A0 00 00 00 01 00 00 00 "...á...á...
..."
seg000:E5C0 48 01 00 00 00 00 03 00-78 00 5A 00 01 00 00 00 "H
.....x.Z.
..."
seg000:E5D0 35 01 00 00 00 00 03 00-5A F2 7E F9 62 96 C7 01 "5
.....Z=~¨bûÃ
"
seg000:E5E0 00 D8 66 58 20 B1 C2 01-EC F9 85 67 50 E0 C7 01 ".ÏfX ¦-
ý¨àgPÓÃ
"
seg000:E5F0 58 4E 74 27 19 6C C8 01-00 E0 0A 00 00 00 66 00 "XNt'l+
.Ó
...f."
seg000:E600 2F D5 0A 00 00 00 00 00-20 00 00 00 00 00 00 00 "/i
..... ......."
seg000:E610 0C 03 50 00 31 00 30 00-31 00 30 00 30 00 37 00 "P.1.0.1.0.0.7."
seg000:E620 30 00 2E 00 4A 00 50 00-47 00 00 00 00 00 00 00 "0...J.P.G.......

Ce qui m'assure que la plupart des fichiers sont là.

Je voulais donc savoir comment faire pour leur rendre leur forme ??? Car je suis vraiment désesperé, j'ai perdu les photos de ma fille avant de pouvoir les sauvegarder !

Merci beaucoup de me lire car je ne sais pas si j'ai été claire vu ma faiblesse dans ce domaine !

[Neitsa]

Bonjour,

je cherche a récuperer des données que j'avais sur un disc dur qui a rencontré un souci...

Actuellement j'ai un gros fichier ".sys" que j'ai réussi a récuperer.

Je suppose que le fichier .sys récupéré est le fichier pagefile.sys ou hibernate.sys. Ces fichiers sont des fichiers dits de "swap" : des fichiers servant au système d'exploitation pour mettre des données mémoire sur le disque dur lorsque la mémoire fait défaut ou que ce qui se trouve en mémoire n'est plus du tout utilisé.

Il est quasiment impossible de faire la corrélation entre un fichier sur le disque dur et un fichier dans le swap. Rien ne garantit une cohérence entre les deux (le taux est tellement faible qu'il est proche de nul).
La représentation en mémoire d'un fichier de plus de 4 ko a toutes les chances de ne pas être continue (les blocs composant le fichier ne se suivent pas) et c'est bien pire dans le swap.

Même si vous trouvez le nom du fichier, rien ne permet de savoir où se trouvent les données qui composent ce fichier (le nom du fichier et ce qui le compose effectivement ne sont pas au même endroit) et ne vous permet même pas de savoir si ces données sont présentes (alors que le nom l'est).

La seule chose qu'il vous reste c'est de retrouver le fichier sur le disque. C'est possible, même après un crash. Les fichiers sont référencés par une table (sous Windows c'est la table des MFT) qui indique leur emplacement. Lorsque que l'on efface un fichier, on efface simplement son emplacement dans la table de référencement, mais jamais les données.

Certains logiciels peuvent ainsi retrouver des données sur un disque dur (à ma connaissance, il en existe même des gratuits) même si elles ont été effacées.

Recherchez sur Google avec ces mot clés : file data recovery software

Attention : plus vous attendez, plus les chances d'effacement sont accrues !

Une fois qu'un emplacement est libre dans la table de référencement, rien n'interdit au système de mettre un nouveau fichier là où se trouvait l'ancien (celui que vous cherchez à récupérer).

Si votre disque dur ne peut même plus tourner (qu'il est tout simplement cassé / grillé) il faudra alors vous tourner vers un laboratoire spécialisé dans le forensic des données. Sachez que le prix sera alors très élevé !

[buhlm]

Bonjour,

Merci beaucoup de cette réponse, j'ai tout compris, ca ne pouvait pas être plus clair

Donc le pauvre fichier.sys que j'ai récuperé se servira a rien, il faut que je restore la table des mft pour avoir acces aux données restantes, sur le dit disc dur.

Quelle misère !

Merci en tout cas, ca me permet de ne plus perdre de temps sur mon fichier.

[buhlm]

PS : Le fichier est bien le "pagefile.sys" c'est exact !