PhotoRec

PhotoRec
PhotoRec
PhotoRec-logo.png
Testdisk-ubuntu.png
Démonstration de PhotoRec fonctionnant sous Linux
Développeur Christophe Grenier
Première version  1998
Dernière version 6.13 (15 novembre 2011) [+/−]
Écrit en C
Environnement Multiplate-forme
Langue Anglais
Type Récupération de données
Licence GNU GPL
Site web www.cgsecurity.org

PhotoRec est un logiciel libre de récupération de données conçu pour récupérer les fichiers perdus des mémoires des appareils photos numériques (CompactFlash, Memory Stick, Secure Digital, SmartMedia, Microdrive, MMC), disque durs, clé USB et CD-ROMs.

Il récupère les formats de photos les plus courants, notamment JPEG, mais aussi des formats audios (MP3, Ogg...), des formats de documents comme OpenDocument, Microsoft Office, PDF et HTML et des archives (ZIP, RAR...)[1].

PhotoRec n'essaie pas de réparer le support endommagé de l'utilisateur, mais il tente d'en extraire les données et va écrire les fichiers récupérés vers un répertoire du choix de l'utilisateur. PhotoRec peut être utilisé pour de la récupération de données mais également pour la recherche de preuves numériques[2],[3],[4].

PhotoRec est distribué avec TestDisk[5].

PhotoRec est disponible pour plusieurs systèmes d'exploitation :

Sommaire

Principe de fonctionnement de PhotoRec

Les systèmes de fichiers FAT, NTFS, ext2/ext3/ext4 enregistrent les fichiers dans des blocs de données (ou sous Windows en anglais cluster). La taille d'un bloc de données est un nombre constant de secteurs défini lors du formatage du système de fichier. En général, la plupart des systèmes d'exploitation essaient de stocker les données de manière contiguë de façon à minimiser la fragmentation. Le temps de recherche (en anglais seek time) des disques mécaniques est significatif lors des opérations de lecture depuis ou d'écriture vers un disque dur, c'est pourquoi il est important de maintenir la fragmentation à un niveau minimum.

Quand un fichier est supprimé, les méta-informations (nom de fichier, date/heure, taille, emplacement du premier bloc de données...) sur ce fichier sont perdus. Par exemple, sur un système de fichier ext3 ou ext4, le nom des fichiers effacés reste présent, mais l'emplacement du premier bloc de données est perdu. Cela signifie que les données sont toujours présentes sur le système de fichier, mais seulement jusqu'au moment où tout ou partie de ces données seront écrasés par les données d'un nouveau fichier.

Pour récupérer ces fichiers perdus, PhotoRec commence par déterminer la taille des blocs de données. Si le système de fichier n'est pas corrompu, cette information peut être lue depuis le superblock (ext2/ext3/ext4) ou du secteur de boot (FAT, NTFS). Sinon, PhotoRec lit le support, secteur par secteur, à la recherche des dix premiers fichiers à partir des emplacements desquels il calcule la taille des blocs. Une fois la taille des blocs connue, PhotoRec lit le support bloc par bloc (ou cluster par cluster). Les données de chaque bloc sont comparées par rapport à une base de signature. Cette base de signature native au produit n'a cessé de grossir avec chaque nouvelle version depuis la sortie du logiciel. Cette technique de récupération de données est appelé en anglais file carving.

Par exemple, PhotoRec identifie un fichier JPEG lorsqu'un bloc de données commence par :

  • SOI (Start Of Image) + APP0: 0xff, 0xd8,0xff, 0xe0
  • SOI (Start Of Image) + APP1: 0xff, 0xd8,0xff, 0xe1
  • ou SOI (Start Of Image) + Comment: 0xff, 0xd8, 0xff, 0xfe

Si PhotoRec est déjà en train de récupérer un fichier, il arrête sa récupération, vérifie si possible sa cohérence et commence à sauvegarder ce nouveau fichier qu'il a déterminé à partir de la signature qu'il a trouvé.

Si les données ne sont pas fragmentées, le fichier récupéré doit être identique à l'original ou avoir une taille potentiellement plus grande que le fichier original. Dans certains cas, PhotoRec peut apprendre la taille du fichier original à partir de l'entête du fichier, alors le fichier est tronqué à la bonne taille. Si jamais le fichier récupéré était plus petit que la taille déterminée à partir de l'entête, ce fichier est ignoré car invalide. Certains fichiers comme les MP3 sont constitués de flux de données, dans ce cas, PhotoRec analyse les données récupérées et arrête la récupération avec l'arrêt du flux.

Quand un fichier est récupéré avec succès, PhotoRec vérifie à nouveau les blocs de données précédents pour voir si la signature d'un fichier n'avait pas été trouvée mais que le fichier n'avait pas pu être récupéré avec succès (par exemple, le fichier était trop petit), et il essaie de nouveau. De cette façon, certains fichiers fragmentés sont récupérés avec succès[6].

Popularité

TestDisk et PhotoRec ont été téléchargés plus de 150 000 fois en juillet 2008 depuis le site web principal. En fait, ces utilitaires sont mêmes plus populaires car ils se retrouvent dans divers Live CDs Linux :

  • Recovery Is Possible, un dérivé Slackware
  • Knoppix STD
  • GParted Live CD
  • Iloog
  • Parted Magic
  • PLD Live CD et PLD RescueCD, basé sur la distribution Linux PLD
  • Slax-LFI, une distribution dérivé de Slax
  • SystemRescueCd
  • Trinity Rescue Kit
  • Ubuntu Rescue Remix, un dérivé de Ubuntu

Ils sont aussi disponibles pour de nombreuses Distribution Linux :

Liens externes

Références

  1. (en) Formats de fichiers récupérés par PhotoRec
  2. (en) Jack Wiles, Kevin Cardwell, Anthony Reyes (2007). The best damn cybercrime and digital forensics book period, p. 220. Syngress Publishing Inc. ISBN 978-1-59749-228-7.
  3. (en) Cameron H. Malin, Eoghan Casey, James M. Aquilina (2008). Malware Forensics: Investigating and Analyzing Malicious Code, p. xxviii. Syngress Publishing Inc. ISBN 978-1-59749-268-3.
  4. (en) Nathan Clarke (2010), Computer Forensics: A Pocket Guide, p. 67. IT Governance Publishing. ISBN 978-1849280396.
  5. (en) Scott Mueller, Brian Knittel (2008). Upgrading and Repairing Microsoft Windows, Second Edition, page 685. Pearson Education Inc. ISBN 978-0789736956.
  6. (en) Comment fonctionne PhotoRec (Description venant du site web de l'auteur)
  7. TestDisk dans ALT Linux
  8. ArchLinux Extra Repository
  9. TestDisk pour Debian
  10. TestDisk dans Fedora
  11. TestDisk dans Red Hat Epel
  12. TestDisk dans les ports FreeBSD
  13. TestDisk dans Gentoo
  14. TestDisk dans Gentoo Portage
  15. TestDisk dans Source Mage
  16. TestDisk dans Ubuntu

Wikimedia Foundation. 2010.

Contenu soumis à la licence CC-BY-SA. Source : Article PhotoRec de Wikipédia en français (auteurs)

Игры ⚽ Поможем написать реферат

Regardez d'autres dictionnaires:

  • PhotoRec — Тип Восстановление данных Разработчик Christophe Grenier Написана на C Операционная система Кроссплатформенное Последняя вер …   Википедия

  • PhotoRec — unter Linux Basisdaten …   Deutsch Wikipedia

  • PhotoRec — Infobox Software name = PhotoRec caption = Demonstration of PhotoRec running in Linux collapsible = yes developer = Christophe Grenier latest release version = 6.10 latest release date = release date|2008|07|17 latest preview version = latest… …   Wikipedia

  • TestDisk — Infobox Software name = TestDisk developer = Christophe Grenier latest release version = 6.10 latest release date = release date|2008|07|17 platform = Multiplatform interface = CLI genre = Data recovery license = GNU General Public License… …   Wikipedia

  • Хронология компьютерных вирусов и червей — Здесь приведён хронологический список появления некоторых известных компьютерных вирусов и червей, а также событий, оказавших серьёзное влияние на их развитие. Содержание 1 2012 2 2011 3 2010 4 2009 …   Википедия

  • TestDisk — Тип Восстановление данных Разработчик Christophe Grenier …   Википедия

  • TestDisk — Menú para seleccionar el tipo de partición …   Wikipedia Español

  • SystemRescueCD — Infobox OS name = SystemRescueCd caption = the Live CD of SystemRescueCD developer = family = Linux source model = Free software latest release version = 1.1.0 latest release date = release date|2008|09|08 kernel type = Monolithic kernel license …   Wikipedia

  • Recovery Is Possible — (RIP) is a small, specialized Linux distribution that includes a large number of system maintenance and recovery applications on a live CD. The disc is mainly oriented towards the experienced Linux user, and thus does not contain automated… …   Wikipedia

  • Knoppix STD — (Security Tools Distribution) is a Live CD Linux distribution based on Knoppix that focuses on computer security tools. It includes GPL licensed tools in the following categories: authentication, password cracking, encryption, forensics,… …   Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”