Récupération de données à partir d'un lecteur SSD

5

Je ne suis nulle part près d'un pirate informatique ou d'un gars de la sécurité. Je suis juste un père de deux jeunes enfants qui aime voyager. Je ne sais pas si je peux demander ici, mais vous parlez de choses qui me dépassent la tête, mais je pensais que vous pourriez avoir une idée.

Il y a quelques mois, mon Macbook Air 2010 était vraiment très lent. J'ai donc décidé de créer une copie de sécurité de mon système à l'aide de Time Machine et de Time Capsule. Je n'ai pas utilisé ma sauvegarde de Time Machine pour recommencer, car je voulais que tout soit frais et nouveau. Mais ce que je ne savais pas à ce moment-là, c'est que Time Machine continuerait à créer une sauvegarde de mon système avec le même nom. Donc, toutes mes photos de voyage / enfants, mes vidéos, les documents de mon ancien système avaient disparu J'ai continué à utiliser mon MacBook Air pendant quelques mois avant de réaliser que tout était parti dans ma capsule témoin. Maintenant que j’ai un nouveau MacBook Pro, j’ai retiré mon ancien disque SSD de mon ancien MacBook Air et j’ai acheté un boîtier Envoy afin que je puisse l’utiliser comme disque externe pour tenter de récupérer mes fichiers. Je ne sais pas du tout si un coffre-fort anti-incendie a été activé sur ce lecteur. Je ne connais pas non plus TRIM. Tout ce que je sais, c'est que je peux parcourir mes anciens fichiers système en utilisant cette configuration. Lorsque j'utilise l'un des logiciels de récupération de données que je peux trouver sur Internet, je ne trouve que les fichiers qui ont été "créés" après le formatage et le redémarrage de mon système, mais rien auparavant.

Existe-t-il un moyen pour un non-doctorant ou un maître russe de récupérer ces fichiers?

Merci beaucoup!

Jonathan

ssd Jonathan Brunelle
la source
1
Si le lecteur prend en charge TRIM (une fonctionnalité SSD permettant de mettre en file d'attente des blocs de données pour qu'ils soient réellement effacés), il est fort probable que le formatage ou une autre activité active TRIM sur l'intégralité du lecteur. En supposant que le micrologiciel SSD ne soit pas particulièrement bogué, cela garantit que toutes les données ont été perdues.
" Je peux parcourir mes anciens fichiers système en utilisant cette configuration "- alors vous avez une solution de travail?
Bergi
4
Êtes-vous sûr que vous utilisez Time Capsule de la bonne façon? Bien sûr, il continue de faire des sauvegardes, mais vous devriez pouvoir remonter dans le temps et voir les sauvegardes plus anciennes.
nl-x
3
D'accord. Ouvrez Time Machine et vous verrez une liste des dates de sauvegarde. Retournez à "il y a quelques mois" et restaurez-le.
Hobbes

Réponses:

9

Votre meilleure chance de récupération est via un service de récupération de disque professionnel. Si les données peuvent être récupérées, ce sont elles qui le font. Bien sûr, ces services sont très coûteux (ne soyez pas surpris par une citation à quatre chiffres, car la tâche nécessite beaucoup de travail), mais si les fichiers en valent la peine, et si vous avez les ressources, réfléchissez-y.

Si vous voulez jouer avec vous-même, la première chose à faire est d'acheter un Matériel Bloqueur d'écriture USB, peut-être quelque chose comme celui-ci si cela fonctionne avec votre SSD , pour vous assurer de ne pas écraser accidentellement ou intentionnellement aucune des données de votre disque SSD lorsque vous commencez vos explorations.

Ensuite, vérifiez Le Sleuth Kit (TSK) et Autopsie . Le kit Sleuth est un kit d’analyse médico-légale gratuit qui inclut des outils d’analyse de disque, y compris la possibilité de récupérer des fichiers supprimés. L'autopsie est une interface graphique de TSK et d'autres outils. Elle comprend des modules permettant d'exécuter des tâches telles que l'affichage d'images.

Le truc pour utiliser Autopsy est de comprendre le langage de ses étapes. N'oubliez jamais que l'outil est destiné aux enquêteurs des forces de l'ordre qui recherchent des preuves d'activités criminelles, telles que pornographie juvénile, drogues, listes de contacts, anciens courriels, fichiers récemment modifiés, outils de piratage, etc. parlent leur propre langue. Bien sûr, rien de tout cela ne s'applique à vous, mais cela aide de voir les étapes à travers leurs yeux.

Lisez la documentation, mais la première chose dont vous aurez besoin est de créer un cas. C'est juste un fichier pour suivre tout ce que vous faites. Le boîtier aura alors besoin d'une "source de données" - il vous suffit de choisir "lecteur local", puis votre disque SSD bloqué en écriture.

Vous dites ensuite à Autopsy d '"ingérer" la source de données, qui est l'endroit où elle exécute de nombreux outils sur le disque pour déterminer le contenu de celle-ci. La plupart des éléments liés à l'application de la loi ne vous concernent pas. Par conséquent, lorsque vous intégrez la source de données, désactivez les modules d'intégration pour les éléments qui ne s'appliquent évidemment pas, tels que "hachages", "machines virtuelles", "analyseurs de courrier électronique". , etc.

L'autopsie commencera alors à traiter le disque. Il fonctionne en arrière-plan et peut prendre beaucoup de temps; plus le disque est grand, plus cela prend de temps. Vous pouvez consulter les fichiers dès qu'il commence à vous les montrer, mais une fois que vous confirmez que cela fonctionne, vous pouvez également vous retirer et laisser le travail se terminer.

Vous serez probablement plus intéressé par l'utilisation de l'outil manuel appelé le module de galerie d'images. Ceci est une visionneuse rapide qui vous permettra de parcourir toutes les images trouvées. Lorsque vous trouvez les fichiers que vous souhaitez enregistrer, vous pouvez cliquer dessus avec le bouton droit de la souris et les exporter en tant que fichiers locaux.

N'oubliez pas que l'outil est destiné à rechercher des fichiers masqués ou supprimés. Si vous avez peut-être des images sur le lecteur (peut-être dans l'historique de votre navigateur) que vous ne voudriez pas partager avec d'autres membres de votre famille, effectuez la récupération du lecteur en privé!

Bonne chance!

John Deters
la source
Les bloqueurs d'écriture matériels sont utiles pour empêcher le système d'exploitation de perturber par inadvertance les données, mais n'empêcheront pas un SSD qui a marqué certains blocs pour l'effacement avec TRIM de terminer sa tâche lors de sa prochaine mise sous tension. Il y a une petite chance que les données soient marquées pour TRIM mais le ramasse-miettes n'a pas encore réussi à le faire. Allumer le lecteur, même avec un bloqueur d'écriture, est la pire chose à faire.
1
OP déclare qu'il a été utiliser activement le disque pendant plusieurs mois avant de décider d'essayer de récupérer quelque chose. Je crois que les chances que même les services professionnels puissent tout récupérer à ce stade sont inexistantes.
Vasily Alexeev
Merci beaucoup pour votre réponse. Je vais essayer:)
1

Bien que je DOIS seconder la réponse de John pour renvoyer le travail aussi délicat à des spécialistes en récupération de données appropriés, veuillez AUSSI parler à Apple ! Ils peuvent peut-être creuser plus profondément votre sauvegarde et récupérer les fichiers sauvegardés à l'origine pour vous. S'ils le peuvent, ce sera certainement à la fois plus rapide et moins coûteux que la voie de récupération des données, et les fichiers restaurés seront également reproduits avec précision (avec la récupération des données, il se peut que vous manquiez des bits de données ici et là, ce qui pourrait se traduire par quelque chose de laid. bloque certaines photos sur des fichiers carrément illisibles).

Je ne sais pas comment Time Capsule fonctionne (je ne suis pas un utilisateur de Mac moi-même), mais en général, avec des sauvegardes, vous devriez pouvoir récupérer des versions plus anciennes de fichiers - ou des fichiers supprimés. Le laps de temps peut signifier qu'ils ont vidé certaines données, je ne sais pas.

Vous pouvez également envisager d’ajuster vos paramètres de sauvegarde (dans la mesure du possible) de sorte qu’il ne supprime «jamais» les fichiers de votre sauvegarde s’ils sont supprimés de votre système local (après tout, c’est le but d’une sauvegarde, non?).

KlaymenDK
la source
Apple ne fait pas de récupération de données. Il n'y a aucune raison pour qu'ils aient accès à de meilleurs outils que quiconque. Machine à remonter le temps Est-ce que conservez les anciennes versions des fichiers et l'interface permet de les récupérer très facilement. Si le demandeur de la question dit que les fichiers ont disparu, c'est parce que les données ont été écrasées par des sauvegardes plus récentes.
MJeffryes
Je n’avais pas l’intention de laisser entendre que Apple propose des services de récupération (de stockage client), mais simplement qu’ils ont peut-être un meilleur accès. aux sauvegardes qu'ils stockent . Apparemment non...
KlaymenDK
1
Oui, les anciennes sauvegardes semblent avoir disparu depuis que j'ai commis l'erreur de donner le même nom à mon nouveau système. Lorsque Time Machine a créé une nouvelle sauvegarde sur Time Capsule, il a écrasé les sauvegardes existantes :(
:( Vous avez ma sympathie sincère, ainsi que mes voeux de bonne chance. Cela semble vraiment être une "fonctionnalité" malheureuse de Time Capsule.
KlaymenDK
0

Ce qui se produit habituellement, c’est que Time Machine commence une nouvelle sauvegarde et que votre autre sauvegarde est inutilisée, car Time Machine ne pense pas que l’ordinateur réinstallé est identique à "l'autre" ordinateur pour lequel il dispose d’une sauvegarde.

Vous pourrez peut-être voir l’autre sauvegarde facilement, en maintenant option en cliquant sur l’icône Time Machine dans la barre de menus. Sélectionnez "Parcourir d'autres disques de sauvegarde". Il peut ne pas proposer de disque, auquel cas vous devez d'abord accéder au lecteur Time Capsule.

Si vous n'avez pas d'icône de barre de menus pour Time Machine, vous pouvez l'activer via le panneau Time Machine des Préférences Système.

N'oubliez pas que les opérations sur une Time Capsule peuvent être extrêmement lentes. Vous voudrez peut-être activer la barre d'état du Finder (via le menu Affichage) afin de pouvoir voir le cône en bas à droite.

Pour accéder au lecteur Time Capsule lui-même, consultez la barre latérale du Finder. Il doit apparaître sous le nom de Time Capsule lui-même sous Partagé, ce qui conduit généralement à un volume nommé "Données". Il ne la sélectionne pas toujours lorsque vous double-cliquez, alors regardez dans la barre latérale si aucune action ne s'affiche après quelques minutes.

Une fois que vous l'avez ouvert, vous verrez les regroupements des différentes sauvegardes. Chaque ordinateur sauvegardé sur Time Capsule aura son propre fichier, de même que les ordinateurs ayant démarré un nouveau jeu de sauvegarde après un effacement. Je ne recommande pas d'ouvrir un fichier de sauvegarde Time Capsule via le Finder, car il est lent et que la copie directe de fichiers peut entraîner des problèmes pour les sauvegardes futures.

Que vous trouviez ou ne trouviez pas un autre jeu de sauvegarde, un autre problème pouvant survenir est que votre dossier personnel actuel n'a peut-être pas été créé avec les mêmes détails spécifiques que lors de la première utilisation. te le montrer. Entrez Time Machine via l’icône de la barre de menus Time Machine, accédez au disque dur Macintosh puis au dossier Utilisateurs. Ensuite, jetez un coup d'œil à la chronologie à droite, survolez une ligne pour afficher la date de cette sauvegarde. Si vous trouvez une sauvegarde de la bonne époque, vous pourrez alors restaurer les éléments.

Je sais que vous devez traiter beaucoup d’informations, mais n'hésitez pas à poser toutes les questions qui se posent.


la source
Ainsi, je peux remonter dans le temps jusqu'en septembre 2015, même si j'utilise cette capsule temporelle depuis 2010 ... C'est en septembre 2015 que j'ai décidé de tout redémarrer.
Jonathan Brunelle