Évitez de supprimer des fichiers corrompus / partiellement écrasés

Récemment, j'ai traité certains ordinateurs infectés par un ransomware, avec des fichiers utilisateur cryptés. Mon travail consistait soit à décrypter ces fichiers (si possible), soit à récupérer autant de fichiers utilisables que possible. Cela incluait également la suppression de fichiers à partir d'images de partitions NTFS.

Bien sûr, je connaissais déjà les outils "avant tout" et "ntfsundelete", et je les utilisais auparavant pour d'autres tâches. Cependant maintenant j'ai un problème avec eux.

Le problème est que ces deux outils tentent de récupérer tous les fichiers possibles, y compris ceux déjà écrasés (partiellement ou complètement). Ce comportement est probablement très utile dans un laboratoire de criminalistique, où même de petites parties d'images, de films et de documents peuvent être traitées comme des preuves. Toutefois, dans mon cas d'utilisation, mes clients ne souhaitent récupérer que des fichiers entièrement restaurés et n'ont pas le temps de les sélectionner parmi des milliers de fichiers corrompus.

(Je sais aussi que ntfsundelete a l'option -p, mais cela ne fonctionne pas suffisamment dans de nombreux cas.)

Ma question est donc la suivante: quelle est la méthode la plus efficace en termes de temps pour effectuer la récupération automatique des fichiers supprimés à partir de partitions NTFS, en évitant de restaurer des fichiers corrompus / écrasés?

data-recovery ntfs forensics Tomasz Klim
la source

Cette question semble être sur la suppression de fichiers et non sur infosec. Le fait que le problème soit dû à un virus ransomware n’est pas pertinent par rapport à ce qui est demandé. Je vote pour migrer cette question à SuperUser.

Neil Smithline

"quelle est la meilleure méthode" - basé sur l'opinion. Veuillez reformuler votre question pour la garder ouverte.

DavidPostill

Il existe de nombreux outils pour récupérer des fichiers à partir de NTFS, certains évaluant les fichiers en fonction de leur "capacité de récupération", tels que "excellent" pour les fichiers non écrasés et moins pour les fichiers susceptibles d'être corrompus. Vous pouvez simplement marquer tous les points avec la note «excellent» et les récupérer uniquement. Vous auriez besoin de trouver un programme qui a cette fonctionnalité.

ntfsundelete a cette fonctionnalité. Le problème est que cela échoue dans de nombreux cas, car il est basé uniquement sur des index NTFS, au lieu d'une véritable validation des données récupérées. Il y a quelques années, j'ai essayé de récupérer des données d'une carte SD à l'aide d'un logiciel Windows spécialement conçu pour la récupération de photos. Des miniatures des photos récupérées étaient alors disponibles pour une vérification manuelle. Une validation en temps réel est donc possible. Ce dont j'ai besoin maintenant, c'est d'un logiciel similaire, qui serait scriptable et permettrait une récupération en bloc rapide et efficace (disque après disque, structure de répertoires complète à la fois).

Tomasz Klim