TestDisk

TestDisk permet d'analyser les supports de stockage (disque dur, SSD, clé USB…) à la recherche de partitions effacées ou endommagées. Il recherche un index permettant de retrouver une partition formatée à tort. Ayant retrouvé cet index, il reconstitue le système de fichiers.
Il est fourni avec PhotoRec, un outil permettant d'analyser une partition pour retrouver puis récupérer des fichiers effacés.

On peut compléter la récupération de TestDisk en corrigeant la structure du système de fichiers avec fsck.

TestDisk est distribué sous Licence GPLv2 et fonctionne sous Windows, GNU/Linux, macOS, Solaris et BSD.

• Disposer des permissions administrateur.
• Savoir ce qu'est un système de fichiers, une partition, et connaître leurs règles de dénomination sous Linux.

Il existe plusieurs méthodes, au choix, pour installer TestDisk sur Ubuntu :

• la plus simple est de l'installer depuis les dépôts officiels APT d'Ubuntu
• des binaires isolés sont aussi proposés sur son site officiel.

TestDisk est disponible dans les dépôts officiels APT d'Ubuntu.

Pour obtenir cette application il suffit donc d'installer le paquet testdisk.

TestDisk est aussi distribué par ses développeurs pour Linux sur son site officiel.

Pour l'utiliser de cette manière (sans l'installer) on peut donc :

1. Télécharger le fichier Linux x86_64 de la version de TestDisk & PhotoRec désirée (on recommande généralement la dernière version stable - donc pas bêta).
2. Extraire l'archive tar.bz2 téléchargée.
3. Testdisk est directement utilisable en lançant l'exécutable testdisk_static situé dans le répertoire extrait.

Dans 99% des cas, TestDisk sera utilisé pour récupérer des données sur un autre support physique. Prévoyez dès maintenant le montage de ce support afin de le retrouver facilement. Si c'est un support externe, les partitions sont souvent montées automatiquement. Si c'est un disque interne, la partition sera à monter. Pour identifier les partitions, utilisez cette commande :

lsblk -e2,7,11 -o MOUNTPOINT,SIZE,NAME,FSTYPE,LABEL

Un conseil, créez-y immédiatement un répertoire facilement identifiable.

mkdir /media/<Nom Utilisateur>/<Point De Montage>/RecuperationFaiteParTesdisk

Vous pouvez maintenant lancer le logiciel. Dans un terminal, saisissez la commande :

sudo testdisk

Puis appuyez sur la touche Entrée ↵ pour accepter la création d’un fichier de log qui est proposée par la première grille affichée.

Et si vous utilisez la version du site officiel extraite dans votre dossier personnel :

sudo ./testdisk*/testdisk_static

Une description du fonctionnement d'une version plus récente est disponible sur la documentation officielle.

En règle générale:

TestDisk peut récupérer les partitions qui ont étés supprimées en réécrivant la table de partition.

On peut aller jusqu'au deeper search et sauver ce qu'on trouve sur un support de stockage tiers.

• Celui-ci ne doit évidemment pas être le support à analyser, et d'une manière générale il ne faut surtout pas écrire sur un stockage dont on cherche à récupérer les données : lorsqu'on réécrit dessus, les données sont définitivement détruites !
• Celui-ci ne doit pas non plus être la clé live USB (si c'est ce qu'on utilise), qui ne persiste pas les données et dont la taille serait insuffisante.

Puis avec les flèches haut et bas, on choisit le disque dur sur lequel se trouve la partition formatée à tort.

On choisit si besoin l'action Proceed en bas avec les flèches ← et → (elle est sélectionnée par défaut) puis on valide avec Entrée ↵.

Sur l'écran suivant, on détermine la table de partition (qu'on suppose avoir été utilisée). Notez qu'on peut ainsi récupérer différents systèmes de fichiers, dont ceux de supports Xbox, macOS ou Solaris.
Les tables de partitions utilisées sur PC sont Intel (aussi appelée MBR ou MS-DOS), surtout utilisée avec l'ancien matériel, et désormais on utilise le plus souvent EFI GPT (aussi appelée GUID).

On laisse ensuite Analyse sélectionné :

TestDisk présente sur l'écran suivant le partitionnement actuel du support.

On peut ensuite lancer Quick Search (flèches du clavier ← → si nécessaire puis touche Entrée ↵).

Cette opération prend moins d'une seconde.

On est invité sur l'écran suivant à sélectionner des partitions parmi celles détectées par cette recherche rapide :
on sélectionne ou désélectionne les partitions grâce aux touches flèches ↑ ↓ et à la barre d'espace ␣.

Les partitions sélectionnées sont surlignées en vert.

Une fois les partitions choisies, ont appuies sur Entrée ↵.

Sur l'écran suivant on a le choix entre

• Write qui permet de simplement écrire les partitions retrouvées,
• ou Deeper search (recherche approfondie), à utiliser si on n'est pas satisfait des partitions retrouvées.

On peut alors redémarrer l'ordinateur.

Soit on appuie sur Entrée ↵ pour arrêter la recherche car nous avons reconnu notre partition (inutile d'attendre qu'il analyse tout le disque).

Soit on laisse toute la recherche se faire lorsque le cas est plus complexe.

TestDisk liste les partitions effacées qu'il a découvertes.

Ici, une autre partition en FAT32 (sûrement une partition encore plus ancienne) et la partition en NTFS ; on voit même le nom (label) de l'ancienne partition.

Pour récupérer cette partition, il faut appuyer sur les flèches ← et →.
En effet, on remarque au début de la ligne un D ce qui signifie Deleted (effacée) on va changer ça. On peu choisir soit :

• L = logical
• E = extended
• P = primary
• * = primaire et bootable

Dans ce cas, c'est primary bootable à noter que le choix n'est donné que entre primary :

et primary bootable :

Lorsque la table de partition n'est pas réécrite car trop détruite par exemple, il peut être nécessaire de lancer une recherche approfondie (deeper search), toujours en sauvegardant les données récupérées sur un autre support physique.

Laisser tourner car cela prend beaucoup de temps.

Cette recherche retourne une liste :

Il faut maintenant aller scanner les partitions à la recherche des données perdues.

Le fait de connaître préventivement l'implantation ancienne peut éviter de rechercher dans certaines partitions. Sinon elles sont toutes à faire dans l'ordre qu'on le sent. Il faut se positionner sur la ligne choisie et presser la touche P qui permet de visualiser le contenu.

Dans la grille ci-dessus, Les répertoires et fichiers logiquement supprimés ont été masquées (touche H) sinon ils seraient affichés en rouge.

On navigue dans les répertoires grâce aux touches flèches ↑ ↓ et en pressant la touche Entrée ↵ sur les répertoires à ouvrir. On peut aussi descendre dans la hiérarchie. (Ici, on est descendu dans un répertoire.) On remonte d'un cran par la touche Q. On décide ici de récupérer trois répertoires qui ont été sélectionnés en appuyant sur le caractère :. Ils sont maintenant affichés en vert.
C'est le moment de les copier sur un autre support en pressant Maj+C.

C'est le moment de bien naviguer pour sélectionner le répertoire de réception de ce qui va être copié. Une explication plus détaillée est disponible sur le forum dans cette discussion.

Ne pas oublier que la copie des données ne doit pas se faire sur le même support et que celui-ci doit être de taille adéquate par rapport à ce qui a été sélectionné.
Au besoin, diminuer la sélection en prenant seulement un répertoire. Puis lorsque la copie sera faite, sélectionner les autres répertoires à destination d'un autre support.

il ne reste plus qu'à sélectionner le répertoire .., lancer la copie avec la touche C puis patienter.

Une fois l'opération terminée on peut vérifier l'intégrité des données récupérées sur le support de destination.

sur le forum : https://forum.ubuntu-fr.org/viewtopic.php?pid=21830722#p21830722

Lancer une récupération de fichiers sur un support défectueux, ce n'est pas le pied. D'abord parce que ce n'est pas fiable, ça plante tout le temps et ensuite parce que cela risque d'endommager encore plus le matériel.

Lorsque le support subit une défaillance matériel, l'outil de récupération à privilégier est ddrescue.

astuce de YannUbuntu

• sélectionner le disque où se trouve la partition à réparer,
• [Proceed],
• choisir le type de partition (généralement [Intel]),
• [Advanced],
• sélectionner la partition à réparer avec [Boot], ça va afficher quelque chose comme ceci:

                        Boot sector
                        Status: Bad
                        Backup boot sector
                        Status: OK
                        Sectors are not identical.
           A valid NTFS Boot sector must be present in order to access
           any data; even if the partition is not bootable.
         [  List  ]  [Backup BS]  [Rebuild BS]  [  Dump  ]

• Vérifier que vous avez bien "Status ok" en-dessous de "Backup boot sector"
• enfin sélectionnez [Backup BS].

1. Suivre les premières étapes du chapitre Utilisation pour réparation :
   1. Sélection du disque
   2. Choix du type de partition à récupérer
   3. à l'étape suivante Analyse, choisir MBR Code au lieu de analyse.
2. Accepter l'écriture du MBR dans le premier secteur, puis confirmer l'écrasement.
3. Lancer éventuellement GParted afin de s'assurer que le drapeau (flag) de démarrage (boot) est bien positionné sur la partition désirée.

Il est possible de lancer testdisk pour récupérer les données d'une partition chiffrée LUKS si cette partition peut être préventivement montée. Sinon, on récupère seulement la structure de boot.

Voici l'écran montrant ce qui est récupérable : uniquement la structure de boot ! (PhotoRec ne fera pas mieux)

======================================================================
TestDisk 7.1, Data Recovery Utility, July 2019
Christophe GRENIER <grenier@cgsecurity.org>
https://www.cgsecurity.org
     Linux filesys. data      1054720    4554751    3500032
Directory /
 
>drwxr-xr-x     0     0      4096  2-Dec-2022 16:28 .
 drwxr-xr-x     0     0      4096  2-Dec-2022 16:28 ..
 drwx------     0     0     16384  2-Dec-2022 15:52 lost+found
 drwxr-xr-x     0     0      4096  2-Dec-2022 15:55 efi
 drwxr-xr-x     0     0      4096  2-Dec-2022 16:29 grub
 -rw-------     0     0   6250707 12-Jul-2022 10:51 System.map-5.15.0-43-generic
 -rw-r--r--     0     0    261694 12-Jul-2022 10:51 config-5.15.0-43-generic
 lrwxrwxrwx     0     0        28  2-Dec-2022 16:26 initrd.img
 lrwxrwxrwx     0     0        28  2-Dec-2022 15:55 initrd.img.old
 -rw-r--r--     0     0    182800  6-Feb-2022 21:35 memtest86+.bin
 -rw-r--r--     0     0    184476  6-Feb-2022 21:35 memtest86+.elf
 -rw-r--r--     0     0    184980  6-Feb-2022 21:35 memtest86+_multiboot.bin
 lrwxrwxrwx     0     0        25  2-Dec-2022 16:26 vmlinuz
 lrwxrwxrwx     0     0        25  2-Dec-2022 16:26 vmlinuz.old
                                                   Next
Use Right to change directory, h to hide deleted files
=============================================================

Pour supprimer cette application, il suffit de supprimer son paquet. La configuration de l'application sera conservée ou supprimée selon la méthode de désinstallation que vous choisirez.

Ou supprimer simplement le répertoire contenant les binaires isolés si c'est la méthode que vous avez choisie.

• Site officiel
• GitHub
• Problème de disque / partition
• TestDisk, étape par étape : mode d'emploi simple et détaillé sur le site officiel.
• Récupérer les données d’un disque-dur non reconnu : tutoriel étape par étape sur le blog de benji1000.
• Un outil pour conversion LBA/CHS

• Testdisk ne sait pas reconstituer une partition chiffrée
• Récupération d'une table de partition détruite accidentellement

Contributeurs : toth_o, krodelabestiole.