Essayer de récupérer le disque dur à partir d'un ordinateur de bureau

1

J'ai le disque dur d'un ami qui s'est écrasé à cause d'un virus, du moins pense-t-il.

La C:\partition du disque dur apparaît comme non formatée / brute, tout D:\va bien et ne présente aucun problème. Le disque dur provient d’une machine Windows 7 et est actuellement assis dans une station d’accueil USB, c’est un lecteur WD Caviar Blue SATA.

Utilisation de Partition Find and Mount Je peux monter le lecteur et parcourir tous les répertoires non protégés par le profil utilisateur. Le profil utilisateur est défini de sorte que le fichier qu'il contient ne soit pas accessible.

Que puis-je faire pour résoudre ce problème? Je préférerais réparer la partition afin que le disque dur puisse être réinséré dans sa machine et fonctionne comme il se doit. Toutefois, si cela n’est pas possible, existe-t-il un moyen de contourner ce cryptage et d’accéder aux données?

hard-drive partitioning data-recovery David A. Moody
la source
La partition utilisateur utilise le cryptage EFS? Ou est-ce juste un problème d'autorisations? C'est une distinction très importante car elle contrôle ce que vous devez faire. La cause la plus probable de votre problème est de simples autorisations. Vous pouvez les contourner en montant simplement le lecteur sous Linux. Si les sous-dossiers de l'utilisateur ont été cryptés par EFS, vous devrez effectuer un travail un peu plus difficile.
OmnipotentEntity
Je ne peux pas répondre à cette question, je ne sais pas comment fonctionne le cryptage et le propriétaire n'a aucune idée de rien. Tout ce que je peux vous dire, c'est qu'il s'agit de Win7 sur une partition NTFS et que le profil de l'utilisateur a été protégé afin que les fichiers ne puissent pas être visualisés par d'autres utilisateurs.
David A. Moody
1
Si c'est tout, il vous suffit de contourner les autorisations. Pour ce faire, le moyen le plus simple consiste à monter la partition sous Linux.
OmnipotentEntity
Certes, cela me donnerait probablement accès aux fichiers, si le lecteur peut être monté. J'ai essayé de le monter sur mon Mac et cela ne fonctionnerait pas. Seules les fonctions Partition Find et Mount ont donné accès à tous les types d'accès. J'utilise GetDataBack for NTFS pour récupérer les données. Cela fait plus de 24 heures que l'opération est en cours et l'analyse n'est toujours pas terminée. Ce que je veux vraiment, c'est pouvoir réparer le lecteur pour qu'il fonctionne et que Windows démarre.
David A. Moody

Réponses:

0

Ok, on dirait que vous avez un MFT corrompu. Sur la plupart des disques durs, la première partition NTFS commence sur le secteur 63 ou le secteur 2048. En raison d'un problème de virus, je ne peux pas vous garantir que les données de ces décalages ressembleront exactement à celles-ci.

Ce que vous recherchez, c'est la chaîne "NTFS" située au 4ème octet au début d'un secteur.

Émettez ce qui suit à partir d'un shell root sous linux:

hexdump -C /dev/sd{your drive letter} | less

Ensuite, tapez directement ce qui suit:

/NTFS<Enter>

<Enter>appuie sur la touche Entrée à la lettre.

Vous devriez voir que vous êtes passé à la première instance de NTFS, qui devrait ressembler à ceci:

00012000  eb 52 90 4e 54 46 53 20  20 20 20 00 02 08 00 00  |.R.NTFS    .....|
00012010  00 00 00 00 00 f8 00 00  3f 00 ff 00 3f 00 00 00  |........?...?...|
00012020  00 00 00 00 80 00 80 00  d8 a6 3f 01 00 00 00 00  |..........?.....|
00012030  00 00 0c 00 00 00 00 00  6d fa 13 00 00 00 00 00  |........m.......|
00012040  f6 00 00 00 01 00 00 00  ad 86 66 60 c8 66 60 7e  |..........f`.f`~|
00012050  00 00 00 00 fa 33 c0 8e  d0 bc 00 7c fb b8 c0 07  |.....3.....|....|
00012060  8e d8 e8 16 00 b8 00 0d  8e c0 33 db c6 06 0e 00  |..........3.....|
00012070  10 e8 53 00 68 00 0d 68  6a 02 cb 8a 16 24 00 b4  |..S.h..hj....$..|
00012080  08 cd 13 73 05 b9 ff ff  8a f1 66 0f b6 c6 40 66  |...s......f...@f|
00012090  0f b6 d1 80 e2 3f f7 e2  86 cd c0 ed 06 41 66 0f  |.....?.......Af.|
000120a0  b7 c9 66 f7 e1 66 a3 20  00 c3 b4 41 bb aa 55 8a  |..f..f. ...A..U.| 
000120b0  16 24 00 cd 13 72 0f 81  fb 55 aa 75 09 f6 c1 01  |.$...r...U.u....|
000120c0  74 04 fe 06 14 00 c3 66  60 1e 06 66 a1 10 00 66  |t......f`..f...f|
000120d0  03 06 1c 00 66 3b 06 20  00 0f 82 3a 00 1e 66 6a  |....f;. ...:..fj| 
000120e0  00 66 50 06 53 66 68 10  00 01 00 80 3e 14 00 00  |.fP.Sfh.....>...|
000120f0  0f 85 0c 00 e8 b3 ff 80  3e 14 00 00 0f 84 61 00  |........>.....a.|
00012100  b4 42 8a 16 24 00 16 1f  8b f4 cd 13 66 58 5b 07  |.B..$.......fX[.|
00012110  66 58 66 58 1f eb 2d 66  33 d2 66 0f b7 0e 18 00  |fXfX..-f3.f.....|
00012120  66 f7 f1 fe c2 8a ca 66  8b d0 66 c1 ea 10 f7 36  |f......f..f....6|
00012130  1a 00 86 d6 8a 16 24 00  8a e8 c0 e4 06 0a cc b8  |......$.........|
00012140  01 02 cd 13 0f 82 19 00  8c c0 05 20 00 8e c0 66  |........... ...f|
00012150  ff 06 10 00 ff 0e 0e 00  0f 85 6f ff 07 1f 66 61  |..........o...fa|
00012160  c3 a0 f8 01 e8 09 00 a0  fb 01 e8 03 00 fb eb fe  |................|
00012170  b4 01 8b f0 ac 3c 00 74  09 b4 0e bb 07 00 cd 10  |.....<.t........|
00012180  eb f2 c3 0d 0a 41 20 64  69 73 6b 20 72 65 61 64  |.....A disk read|
00012190  20 65 72 72 6f 72 20 6f  63 63 75 72 72 65 64 00  | error occurred.|
000121a0  0d 0a 4e 54 4c 44 52 20  69 73 20 6d 69 73 73 69  |..NTLDR is missi|
000121b0  6e 67 00 0d 0a 4e 54 4c  44 52 20 69 73 20 63 6f  |ng...NTLDR is co|
000121c0  6d 70 72 65 73 73 65 64  00 0d 0a 50 72 65 73 73  |mpressed...Press|
000121d0  20 43 74 72 6c 2b 41 6c  74 2b 44 65 6c 20 74 6f  | Ctrl+Alt+Del to|
000121e0  20 72 65 73 74 61 72 74  0d 0a 00 00 00 00 00 00  | restart........|
000121f0  00 00 00 00 00 00 00 00  83 a0 b3 c9 00 00 55 aa  |..............U.|

Les seules choses garanties par spec comme étant identiques sont la marque de fin 55 aaà la fin du secteur et la chaîne d’identification NTFS "NTFS" suivie de 4 espaces.

Les 3 premiers octets sont normalement spécifiés comme étant une instruction de saut x86; ils commenceront donc normalement par eb 52les octets hexadécimaux. Le reste de ce secteur est constitué des informations sur la partition (au début) et du code (vers la fin, si votre ordinateur est infecté par un virus, cela a probablement été modifié.)

Ce que vous devez faire est de convertir le décalage hexadécimal que moins vous donne (dans ce cas 12000) en décimal, puis divisez par 512 pour obtenir le numéro de secteur.

Encore une fois, les valeurs les plus normales pour le secteur où NTFS démarre sont 63et 2048. Cela correspond à 00007e00et 00100000pour les décalages d'octets.

Une fois que vous avez trouvé votre décalage de secteur, vous pouvez monter le bouclage de partition via Linux en lançant ce qui suit à partir d'un shell root:

mount -o loop,offset=$[512*63] /dev/sd{whatever drive it is} /mnt/point

63est le numéro de secteur réel et /mnt/pointest un répertoire qui existe ( /mnt/pointexiste par défaut dans certaines distributions).

Si vous ne savez pas quel lecteur est lequel, vous pouvez le savoir en effectuant une action en fdisk -ltant que root.

Si votre répertoire n’existe pas, vous pouvez le créer en utilisant mkdir -p /full/path/to/directory

Alternativement, vous pouvez utiliser testdiskpour reconstruire votre MFT ou simplement copier des fichiers d’une partition NTFS. Il se trouve ici et le téléchargement est gratuit, et il figure déjà dans le gestionnaire de paquets de certaines des distributions Linux les plus populaires.

http://www.cgsecurity.org/wiki/TestDisk

OmnipotentEntity
la source