Récemment, j'ai traité certains ordinateurs infectés par un ransomware, avec des fichiers utilisateur cryptés. Mon travail consistait soit à décrypter ces fichiers (si possible), soit à récupérer autant de fichiers utilisables que possible. Cela incluait également la suppression de fichiers à partir d'images de partitions NTFS.
Bien sûr, je connaissais déjà les outils "avant tout" et "ntfsundelete", et je les utilisais auparavant pour d'autres tâches. Cependant maintenant j'ai un problème avec eux.
Le problème est que ces deux outils tentent de récupérer tous les fichiers possibles, y compris ceux déjà écrasés (partiellement ou complètement). Ce comportement est probablement très utile dans un laboratoire de criminalistique, où même de petites parties d'images, de films et de documents peuvent être traitées comme des preuves. Toutefois, dans mon cas d'utilisation, mes clients ne souhaitent récupérer que des fichiers entièrement restaurés et n'ont pas le temps de les sélectionner parmi des milliers de fichiers corrompus.
(Je sais aussi que ntfsundelete a l'option -p, mais cela ne fonctionne pas suffisamment dans de nombreux cas.)
Ma question est donc la suivante: quelle est la méthode la plus efficace en termes de temps pour effectuer la récupération automatique des fichiers supprimés à partir de partitions NTFS, en évitant de restaurer des fichiers corrompus / écrasés?
la source