TestDisk & PhotoRec sont deux utilitaires qui permettent de récupérer des données effaçées sur des supports tels que des cartes mémoires et des clés usb.
Disponibles pour Linux, Mac et Windows.
Pour le téléchargement et la documentation complète: http://www.cgsecurity.org/wiki/Main_Page
Pour une meilleur sécurité, il est préférable d'utiliser ces utilitaires sur une copie du support à analyser.
Pour ce faire, l'utilitaire dd disponible sous Linux fera très bien l'affaire.
Pour connaitre le fichier /dev/xxx correspondant au support à analyser, la commande dmesg sous Linux permet de fournir l'information après avoir, bien sûr, inséré le support dans l'ordinateur.
Ou alors, à l'aide du fichier /proc/partitions:
# cat /proc/partitions
major minor #blocks name
8 0 976762584 sda
8 1 194560 sda1
8 2 1000448 sda2
8 3 1 sda3
8 5 975564800 sda5
253 0 975560704 dm-0
Pour effectuer une image du support:
# dd if=/dev/sdx of=/tmp/image.dd
Attention, avec la commande dd, de ne pas inverser les fichiers des paramètres if et of. Les conséquences sont terribles et irréversibles.
Pour installer TestDisk et PhotoRec sous Linux:
# sudo apt-get update
# sudo apt-get install testdisk
Pour les autres systèmes, il est possible de le télécharger ici: http://www.cgsecurity.org/wiki/TestDisk_Download
Pour analyser l'image du support et rechercher les fichiers effaçés avec l'utilitaire testdisk:
# testdisk /tmp/image.dd
TestDisk permet de restaurer des fichiers à partir d'une liste créée suite à une analyse.
Pour analyser l'image du support et rechercher les fichiers effaçés avec l'utilitaire photorec:
# photorec /tmp/image.dd
PhotoRec permet la restauration de tous les fichiers trouvés. Le nombre de fichiers restaurés est plus important qu'avec l'utilitaire TestDisk.
Plus d'info pour TestDisk: http://www.cgsecurity.org/wiki/TestDisk
Plus d'info pour PhotoRec: http://www.cgsecurity.org/wiki/PhotoRec