Forensic ... part I
Le mieux est évidement de faire des sauvegardes régulières mais il arrive tout de même de faire une grosse boulette comme supprimer un répertoire contenant le travail que vous venez d'effectuer ... et si vous avez la mauvaise habitude de faire une suppression sans passer par la case "Corbeille", les ennuis commencent ! En particulier avec un système de fichier de type Ext3.
Les outils
Nous allons avoir besoin de différents outils de récupération de données. Certains utilisent les inodes du système de fichier pour retrouver les fichiers effacés, d'autres font du "file carving". C'est à dire qu'ils lisent le disque block par block en recherchant des motifs identifiables : un fichier jpeg commence toujours par une séquence identifiable et se termine par une séquence, elle aussi identifiable.
Parmi les outils intéressants et performants ils y a :
- The SleuthKit et Autopsy (analyse des inodes)
- Foremost (file carving)
- Photorec (file carving)
Le disque ou la partition où sont stockées les données à récupérer ne doit plus être monté en écriture pour éviter que les blocks où se trouvent vos précieuses données soient écrasés. Nous allons donc utiliser une distribution Live pour démarrer le PC. Pour avoir une petite liste des distributions proposant des outils de récupération de données, allez faire un tour sur distrowatch et faite une recherche des distributions orientées "Forensic".
la suite au prochain numéro ....
Les outils
Nous allons avoir besoin de différents outils de récupération de données. Certains utilisent les inodes du système de fichier pour retrouver les fichiers effacés, d'autres font du "file carving". C'est à dire qu'ils lisent le disque block par block en recherchant des motifs identifiables : un fichier jpeg commence toujours par une séquence identifiable et se termine par une séquence, elle aussi identifiable.
Parmi les outils intéressants et performants ils y a :
- The SleuthKit et Autopsy (analyse des inodes)
- Foremost (file carving)
- Photorec (file carving)
Le disque ou la partition où sont stockées les données à récupérer ne doit plus être monté en écriture pour éviter que les blocks où se trouvent vos précieuses données soient écrasés. Nous allons donc utiliser une distribution Live pour démarrer le PC. Pour avoir une petite liste des distributions proposant des outils de récupération de données, allez faire un tour sur distrowatch et faite une recherche des distributions orientées "Forensic".
la suite au prochain numéro ....
tags :
