suppression de la MFT après formatage - Win 7 - Windows & Software
Marsh Posté le 17-03-2012 à 07:11:37
A mon avis la MFT est sûrement HS, d'où l'analyse cluster par cluster...
Il y a Recuva que j'apprécie bien, et gratuit
Marsh Posté le 17-03-2012 à 08:47:50
Oui mais est-ce vraiment efficace? Recuva reconstitue-t-il bien la MFT même si elle a été récupérée?
Je n'arrive pas à trouver la liste des opérations séquentielles effectuées par windows lors du démarrage de l'opération de formatage standard.... est-ce que la MFT est supprimée sur tout le disque ou seulement la partie relative à l'adressage des fichiers sans que pour autant les pointeurs liées à la structure des répertoires/sous-répertoires soient effacés au niveau des clusters?...
bref je trouve que windows est vraiment légé sur le processus...
Les vendeurs de logiciels de récupération vous laissent comprendre que tout est récupérable, y compris l'arborescence (qui m'est chère... car cela a représenté bcp de travail de tri...). Mais je pense que c'est le cas seulement si la MFT a été endommagée et qu'on la reconstitue partiellement au moyen notamment de la 'MFT miror'... si elle a été supprimée c'est beaucoup plus long et plus aléatoire non??
En fait il faudrait classer les logiciels selon le niveau de profondeur qu'ils atteignent pour reconstituer la MFT.
Selon ce que j'ai vu les plus puissants en la matière sont :
stellar phoenix
getbackdata
testdisk
Seulement même si vous achetez ces logiciels, la source des algorithmes utilisés n'est pas visible.....
Est-ce qu'avec Recuva vous avez pu récupérer l'arborescence des fichiers en répertoires/ sous-repertoires en plus des données dans le cas d'un formatage inopiné?
Merci d'avance
Marsh Posté le 17-03-2012 à 08:51:56
Quand il y a eu formatage, Recuva m'a rarement récupéré l'arborescence... à mon avis il ne cherche pas ou peu à lire la MFT, mais uniquement les noms de fichiers qu'il trouve sur son passage.
Marsh Posté le 17-03-2012 à 08:52:25
Le formatage de Windows écrit principalement une nouvelle table vierge. Donc les fichiers sont là mais évidemment les informations qui y sont associées (nom, dossiers, droits, ...) sont zappés.
Le logiciel permettra de récupérer les données des fichiers vers un autre disque, mais ta bêtise te coûtera de toute manière du temps pour les réorganiser, vérifier s'ils sont corrompu ou non, etc... Il est par ailleurs probable que tu ne puisses pas tout récupérer.
Il faut néanmoins savoir que la MFT existe à deux endroits, NTFS écrit toujours une copie (MFT mirror) et cette dernière peut aussi être utilisée par les logiciels de récupération.
Après acheter un soft, tu peux déjà regarder du côté des gratuits.
Marsh Posté le 17-03-2012 à 09:10:41
Etre_Libre a écrit : A mon avis la MFT est sûrement HS, d'où l'analyse cluster par cluster... |
Apparemment Recuva fait bien un deep scan mais il n'est pas indiqué s'il reconstitue l'arborescence du fichier dans des répertoires. Et si la MFT a été supprimée, que fait-il?
-----------------
Regular recovery process
When you first delete a file, Windows does not overwrite the MFT entry until it needs to reuse it.
Recuva scans the MFT for files marked as deleted. Since MFT entries for deleted files are still complete (including when the file was deleted, how big it is, and where it lives on the hard drive), Recuva can give you a comprehensive list of many files and help you to recover them.
As Windows finds the need to create new files, however, it will eventually reuse and overwrite these MFT entries as well as the spaces on the hard drive where the new files actually live. That's why Recuva can't recover every file - and that's why your best bet is to run Recuva as soon as you realize the file's been deleted.
Deep scan process
The deep scan process uses the MFT to look for files, as well as the contents of the drive. Recuva searches every cluster (block) of the drive to find file headers indicating the start of a file. These headers can tell Recuva the file name and its type (for example, that it's a JPG or a DOC file). As a result, deep scans take a long time. There are thousands of file types and Recuva can identify the most important ones.
If the file is fragmented on the drive, however, Recuva will not be able to piece it back together.
Recuva's two-scan method
Recuva performs two scans whether you use the regular recovery or deep scan process. The first scan analyzes your computer and searches for files that Recuva can recover. The second scan then analyzes those files to assess the chances of their successful recovery.
If you stop the first scan while it's in progress, Recuva will not display any information about the files. If you stop the second scan while it's in progress, you will be able to view the files Recuva has found, but the status information will not be as accurate as a full scan would provide.
-----------------
Marsh Posté le 17-03-2012 à 09:24:10
Je crois que tu peux oublier ton arborescence... cette information n'existait que dans la MFT et son miroir... et c'est précisément ce que tu as effacé en formattant. Aucun logiciel ne fera de miracle.
Soit déjà content que tu puisses récupérer les fichiers.
Marsh Posté le 17-03-2012 à 09:33:07
merci requin.. j'ai cependant lu que certains réussissent à récupérer l'arborescence, notamment via getbackdata... sais-tu si la MFT miror est elle aussi supprimée lors d'un formatage?
Par ailleurs j'ai juste lancé le formatage et quelques secondes après arrété le processus...
Marsh Posté le 17-03-2012 à 09:36:22
Requin a écrit : Le formatage de Windows écrit principalement une nouvelle table vierge. Donc les fichiers sont là mais évidemment les informations qui y sont associées (nom, dossiers, droits, ...) sont zappés. |
es-tu sûr que les informations liées à la structure des fichiers est effacée?? normalement pour tout système de fichier les informations qui y sont liées sont stockées sur le cluster au même titre que l'information elle-même, la MFT permettant simplement de naviguer rapidement dans l'arborescence sans avoir à checker ces informations au niveau du cluster ou est stocké le début du fichier....
ref
http://deptinfo.cnam.fr/Enseigneme [...] #Heading11
----------------
11.3. Le système NTFS
Ce système a été créé par Microsoft pour être le système de gestion de fichier de Windows NT. Plusieurs systèmes existaient initialement, comme VFAT ou HPFS de OS/2, mais aucun ne satisfaisait aux critères de fiabilité et de taille d'un système moderne.
En dehors du premier secteur de la partition, qui contient un ensemble minimal d'informations comme la localisation du fichier MFT dont il est question ci-dessous, ce SGF considère que "tout est fichier". Le formatage d'une partition en volume NTFS consiste donc à créer un certain nombre de fichiers qui donnent la structure du volume. Nous ne décrirons que certains de ces fichiers.
Le fichier des descripteurs de fichiers, appelé la Master File Table (MFT), qui commence par son propre descripteur. Il peut commencer n'importe où dans la partition, il est nécessaire de connaître cet endroit a priori, pour pouvoir accéder à son descripteur, ce qui est indiqué dans le premier secteur de la partition. Notons que ce fichier est doublé pour des raisons de sécurité, la copie étant aussi repérée par le secteur 0 de la partition.
Le fichier du volume, contenant en particulier le nom du volume.
Le fichier bitmap décrivant l'état d'allocation du volume.
Le répertoire racine du volume.
Le fichier journal qui a pour but de garantir la fiabilité de la structure.
11.3.1. Les descripteurs de fichiers
Chaque objet externe reçoit, à sa création, un numéro qui est l'indice dans la MFT où est situé son descripteur. La taille de ces descripteurs est fixée à la création du volume et est comprise entre 1 Ko et 4 Ko, ce qui est donc relativement important. Un objet externe, fichier ou répertoire, est constitué d'un certain nombre d'attributs qui peuvent être résidents, c'est-à-dire, rangés dans le descripteur de l'objet externe lui-même, ou non résident et donc à l'extérieur de la MFT dans un espace qui lui est alloué en propre. Voici quelques exemples d'attributs :
Le nom de l'objet externe sous forme d'une suite de au plus 255 caractères Unicode.
Les informations de base habituelles, comme les dates de création, modification ou d'accès.
Les informations de protections de l'objet.
Le ou les contenus des fichiers ou répertoires.
Un même objet externe peut avoir plusieurs attributs "nom", correspondant au principe des liens physiques énoncés au §9.4.3.
Si un fichier est suffisamment petit, tous ses attributs, et donc son contenu se trouvera dans le descripteur. Dans les autres cas, certains attributs (en particulier les données) seront non résidents.
NTFS utilise le principe de l'allocation par zone pour les attributs non résidents d'un objet externe , et la valeur de l'attribut est remplacée dans le descripteur par la suite des descriptions des zones allouées. Le nombre de zones est quelconque, chacune étant de taille quelconque (cf. 8.2.3). La taille du quantum est un nombre entier de secteurs, ce nombre étant une puissance de 2. Le terme de cluster désigne les unités d'allocation. Les clusters sont numérotés sur 64 bits, ce qui implique qu'il n'y a pratiquement pas de limite aux nombres de clusters d'un volume. Comme un descripteur de zone doit localiser le premier cluster de la zone et son nombre de clusters, soit 16 octets, une technique de compression est utilisée, d'une part en prenant son déplacement par rapport au premier cluster de la zone précédente, et en supprimant les octets nuls en tête de ces deux valeurs.
La longueur d'un attribut non résident est mémorisée sur 64 bits, ce qui permet donc des fichiers dont la taille n'est pratiquement limitée que par l'espace disponible sur le volume.
Notons que le contenu d'un fichier est un attribut sans nom, mais l'utilisateur peut créer des attributs nommés qui peuvent avoir des contenus séparés dans des espaces distincts. L'implantation de serveur de fichier MacIntosh sur Windows NT utilise ce principe pour séparer la partie ressource et la partie donnée (voir HFS).
11.3.2. Les Répertoires
NTFS utilise une arborescence de répertoire. Le contenu d'un répertoire est organisé en arbre B+, qui se rapprochent des arbres B* vus plus haut, si ce n'est que les données associées aux clés sont réparties dans tous les nœuds au lieu de n'être que dans les feuilles comme sur la figure 11.1. Les entrées d'un répertoire contiennent les informations suivantes, la première étant la clé:
Le nom de l'objet,
Le numéro de l'objet dans la MFT, permettant de localiser son descripteur.
Les dates de création, modification ou d'accès de l'objet,
La taille de l'objet
Le numéro du répertoire parent qui le contient dans la MFT.
En fait seuls les deux premiers sont effectivement nécessaires, puisque les trois derniers se trouvent dans le descripteur de l'objet. Cette duplication a un avantage et un inconvénient. L'avantage est que l'on a accès aux informations essentielles de l'objet sans devoir accéder au descripteur. L'inconvénient est inhérent à la duplication: toute modification de ces informations doit être portée à plusieurs endroits sur le disque, sous peine d'avoir des données incohérentes. Notons qu'il peut paraître surprenant de trouver dans cette entrée le numéro du répertoire qui contient l'entrée! En fait, Toutes ces informations, avec la clé, font partie l'attribut "nom de fichier", présent dans le descripteur du fichier, et en sont une copie. Or, le numéro du répertoire parent d'un fichier permet de remonter l'arborescence des fichiers et répertoires, en retrouvant ainsi le parent de chaque répertoire.Le principe des arbres B implique que des nœuds soient créés ou supprimés au fur et à mesure des adjonctions ou suppressions. La suppression d'un nœud peut ne pas être le dernier nœud physique du répertoire, et il faut prévoir sa réutilisation ultérieure. Ceci se fait en définissant un attribut "bitmap" pour chaque répertoire qui indique quels sont les nœuds libres. S'il n'y en a plus, une allocation d'une nouvelle zone est effectuée, et la table bitmap est mise à jour pour tenir compte des nœuds libres ajoutés.
----------------
-> on voit donc bien qu'il y a duplication de l'information concernant la structure des répertoires : une première information stockée dans la MFT pour le descripteur du fichier permettant de déterminer la fragmentation de celui-ci et identifier les blocs sur lesquels le fichier est stocké; une deuxième information qui est stockée dans les entrées de répertoire (stocké dans le fichier décrivant le répertoire) et qui contient :
Le nom de l'objet,
Le numéro de l'objet dans la MFT, permettant de localiser son descripteur.
Les dates de création, modification ou d'accès de l'objet,
La taille de l'objet
Le numéro du répertoire parent qui le contient dans la MFT.
Donc à mon sens, si l'on peut identifier ces "fichiers" répertoire dans les clusters (en faisant une analyse cluster par cluster, ces fichiers "répertoire" étant identifiés dans un arbre B* specifique), on peutt remonter l'ensemble de l'arborescence!!!
A condition bien sûr que ces informations n'aient pas été effacées au cours du formatage. Or, si le formatage consiste simplement à effacer les pointeurs - description des fichiers dans la table MFT, sans aller jusqu'à effacer les données dans les blocs correspondant à ces fichiers, il reste donc une trace pour reconstituer toute l'arborescence.
C'est pour cela qu'il ne faut absolument pas faire d'opération d'écriture post formatage, car alors les blocs sur lesquels ces informations vitales ont été stockées ont été libérés pour stocker de nouvelles données de fichier, via une MFT toute neuve.
Est-ce que pour vous tout cela a du sens?
Marsh Posté le 17-03-2012 à 10:27:26
en cas de formatage accidentel, tu récupère toute ton arbo avec les outils ad hoc, par contre mieux vaut ne pas stopper le formatage,
a chaque fois que j'ai voulu récupérer des datas chez des personnes qui avaient stoppe brutalement le formatage ca a été la croix et la bannière,
attention a ne RIEN écrire sur ces disques
Marsh Posté le 17-03-2012 à 10:37:13
avec un formatage rapide, TESDISK est capable de recuperer la copie de la MFT et de te la reconstituer.
mais après l’arrêt d'un formatage brusque, je ne sais pas si ça va marcher.
l'idéal ,dans ton cas, c'est par securité , récupérer toutes tes données et tester ensuite TESTDISK (qui est lui aussi capable de récupérer les données mais en les enregistrant sur un autre disque dur et surtout pas sur le même)
Marsh Posté le 17-03-2012 à 10:45:21
et si testsdisk ne passe pas, son compagnon photorec est pas mal du tout
Marsh Posté le 17-03-2012 à 11:00:40
hor92 a écrit : |
Presque certain. Les informations de dossiers sont aussi stockée dans la MFT (à l'exception du root directory).
Citation : The Master File Table (MFT) contains metadata about every file, directory, and metafile on an NTFS volume. It includes filenames, locations, size, and permissions. Its structure supports algorithms which minimize disk fragmentation. A directory entry consists of a filename and a "file ID" which is the record number representing the file in the Master File Table. The file ID also contains a reuse count to detect stale references. While this strongly resembles the W_FID of Files-11, other NTFS structures radically differ. |
(source : Wikipedia)
Marsh Posté le 17-03-2012 à 11:14:17
la MFT n'est pas effacée, c'est le pointeur vers celle-ci qui n'existe plus.
sachant qu'elle n'a pas un emplacement et une taille fixe ca serait difficile.
la preuve en est la possibilité de récupérer les infos a partir de la MFT pour le logiciels de récupération de donnée. Comment pourraient ils si elle n'existe plus ?
Marsh Posté le 17-03-2012 à 12:19:40
Merci gougoul pour ta réponse, effectivement les logiciels de récupération indiquent qu'ils peuvent réparer la MFT mais ils ne précisent pas si dans le cas d'un formatage ils peuvent récupérer la MFT (ils le laisse entendre sans pour autant le dire explicitement..).
La question de je me pose : lors du formatage, windows créée-t-il une autre partition neuve avec sa propre MFT ou écrase-t-il la MFT existante pour remettre à 0 la partition déja existante??? windows n'est pas très bavard sur ce sujet...
Lorsque tu dis que le pointeur vers la MFT est effacé, tu veux dire le pointeur qui identifie la MFT dans le MBR associé à l'ancienne partition? car la MFT est en soi une table de pointeurs qui contient la description des fichiers et répertoires....
Donc si on efface cette table des pointeurs vers les fichiers et répertoires, comment est-il possible de récupérer les fichiers alors qu'ils sont perdus? normalement les logiciels les plus puissants font une analyse par cluster, ce qui est extrèmement long... comment font-ils pour reconstituer les fichiers si les pointeurs vers les différents blocs qui y sont liés ont été effacés de la MFT? il doit y avoir une trace des pointeurs, description des fichiers quelque part sinon je n'arrive pas à imaginer comment les outils peuvent extrapoler une reconstitution (sinon à considérer que les données de chaque fichier sont toutes situées à peu près au même endroit/bloc). Cette trace doit à mon sens être positionnée sur le cluster ou de manière contigue à la donnée stockée sur le bloc.
Je lis ceci sur le support windows :
http://support.microsoft.com/kb/174619/fr
-----------
NTFS utilise des entrées MFT pour définir les fichiers auxquels ils correspondent. Toutes les informations d'un fichier, y compris sa taille, date et d'heure sont, autorisations et contenu des données sont soit stockées dans les écritures MFT ou dans l'espace extérieur à la table MFT mais décrit par les entrées MFT.
(Les entrées de répertoire, externes à la table MFT également faire certaines informations redondantes concernant les fichiers. Mais une description complète de toutes les structures NTFS n'est pas abordée dans cet article.) Lorsque des fichiers sont ajoutés à un volume NTFS, plus grand nombre d'entrées est ajoutées à la table MFT et donc la MFT augmente en taille. Lorsque les fichiers sont supprimés à partir d'un volume NTFS, leurs entrées MFT sont marquées comme libres et peuvent être réutilisées, mais la table MFT ne réduit pas. Par conséquent, espace utilisé par ces entrées n'est pas récupéré à partir du disque.
En raison de l'importance de la table MFT en NTFS et l'impact possible sur les performances si ce fichier devient très fragmenté, NTFS est un effort particulier pour conserver ce fichier contigu. NTFS réserve 12,5 pour cent du volume pour une utilisation exclusive de la table MFT tant qu'et, à moins que le reste du volume est totalement épuisé. Par conséquent, l'espace pour les fichiers et répertoires n'est pas alloué depuis cette zone MFT jusqu'à ce que tous les autres de l'espace est alloué tout d'abord.
--------------
Pensez-vous que l'on puisse demander à microsoft une réponse claire sur ce sujet? cela ferait avancer grandement le débat sur l'utilité de ces logiciels de récupération dont certains (pro) sont très cher (jusqu'à 500$!!) pour récupérer ses fichiers et l'arborescence de ceux-ci dans le système de répertoires windows.
Voir plus haut mon message qui confirme la duplication des infos relatives à l'arborescence des répertoires ;
********************
--------------------------
11.3.2. Les Répertoires
NTFS utilise une arborescence de répertoire. Le contenu d'un répertoire est organisé en arbre B+, qui se rapprochent des arbres B* vus plus haut, si ce n'est que les données associées aux clés sont réparties dans tous les nœuds au lieu de n'être que dans les feuilles comme sur la figure 11.1. Les entrées d'un répertoire contiennent les informations suivantes, la première étant la clé:
Le nom de l'objet,
Le numéro de l'objet dans la MFT, permettant de localiser son descripteur.
Les dates de création, modification ou d'accès de l'objet,
La taille de l'objet
Le numéro du répertoire parent qui le contient dans la MFT.
En fait seuls les deux premiers sont effectivement nécessaires, puisque les trois derniers se trouvent dans le descripteur de l'objet. Cette duplication a un avantage et un inconvénient. L'avantage est que l'on a accès aux informations essentielles de l'objet sans devoir accéder au descripteur. L'inconvénient est inhérent à la duplication: toute modification de ces informations doit être portée à plusieurs endroits sur le disque, sous peine d'avoir des données incohérentes. Notons qu'il peut paraître surprenant de trouver dans cette entrée le numéro du répertoire qui contient l'entrée! En fait, Toutes ces informations, avec la clé, font partie l'attribut "nom de fichier", présent dans le descripteur du fichier, et en sont une copie. Or, le numéro du répertoire parent d'un fichier permet de remonter l'arborescence des fichiers et répertoires, en retrouvant ainsi le parent de chaque répertoire.Le principe des arbres B implique que des nœuds soient créés ou supprimés au fur et à mesure des adjonctions ou suppressions. La suppression d'un nœud peut ne pas être le dernier nœud physique du répertoire, et il faut prévoir sa réutilisation ultérieure. Ceci se fait en définissant un attribut "bitmap" pour chaque répertoire qui indique quels sont les nœuds libres. S'il n'y en a plus, une allocation d'une nouvelle zone est effectuée, et la table bitmap est mise à jour pour tenir compte des nœuds libres ajoutés.
----------------
-> on voit donc bien qu'il y a duplication de l'information concernant la structure des répertoires : une première information stockée dans la MFT pour le descripteur du fichier permettant de déterminer la fragmentation de celui-ci et identifier les blocs sur lesquels le fichier est stocké; une deuxième information qui est stockée dans les entrées de répertoire (stocké dans le fichier décrivant le répertoire) et qui contient :
Le nom de l'objet,
Le numéro de l'objet dans la MFT, permettant de localiser son descripteur.
Les dates de création, modification ou d'accès de l'objet,
La taille de l'objet
Le numéro du répertoire parent qui le contient dans la MFT.
Donc à mon sens, si l'on peut identifier ces "fichiers" répertoire dans les clusters (en faisant une analyse cluster par cluster, ces fichiers "répertoire" étant identifiés dans un arbre B* specifique), on peutt remonter l'ensemble de l'arborescence!!!
A condition bien sûr que ces informations n'aient pas été effacées au cours du formatage. Or, si le formatage consiste simplement à effacer les pointeurs - description des fichiers dans la table MFT, sans aller jusqu'à effacer les données dans les blocs correspondant à ces fichiers, il reste donc une trace pour reconstituer toute l'arborescence.
C'est pour cela qu'il ne faut absolument pas faire d'opération d'écriture post formatage, car alors les blocs sur lesquels ces informations vitales ont été stockées ont été libérés pour stocker de nouvelles données de fichier, via une MFT toute neuve.
Est-ce que pour vous tout cela a du sens?
********************
Qu'en pensez-vous?
Marsh Posté le 17-03-2012 à 12:20:58
eric011 a écrit : avec un formatage rapide, TESDISK est capable de recuperer la copie de la MFT et de te la reconstituer. |
merci eric, j'ai juste fait un stop depuis la console windows, je n'ai pas stoppé le pc en fait, donc normalement l'arret du formatage a du être bien répêrcuté par wiindows, non?? sinon windows est vraiment trop léger sur ces sujets...
Marsh Posté le 17-03-2012 à 12:29:08
UBCD te fournit une version live avec un linux très intéressante pour Testdisk
edit
comme je le dis plus haut la MFT n'est pas écrasée
Marsh Posté le 17-03-2012 à 12:47:09
gougoul07 a écrit : UBCD te fournit une version live avec un linux très intéressante pour Testdisk |
Merci eric, UBCD??? tu as le lien?? j'ai déjà testdisk et j'ai vu que sur mon disque il y a effectivement deux partitions, comme si finalement en commencant un formatage une nouvelle partition ets créée, à moins que ce ne soit que la partition étendue standard de mon disque....
Marsh Posté le 17-03-2012 à 12:58:42
http://www.ultimatebootcd.com/
Marsh Posté le 17-03-2012 à 13:41:21
faut-il installer linux pour y avoir accès? et par ailleurs quelle est la diffférence avec la version testdisk que je peux lancer sous windows?
Marsh Posté le 17-03-2012 à 13:48:29
gougoul07 a écrit : en cas de formatage accidentel, tu récupère toute ton arbo avec les outils ad hoc, par contre mieux vaut ne pas stopper le formatage, |
Merci GouGoul, j'ai fait un arrêt "standard" du formatage via la console windows, et je n'ai rien écrit dessus après (tout juste un accès via testdisk sans rien toucher et un teste avec easyrecovery pro gratuit.. qui m'a trouvé une liste de fichiers mais sans les noms et structures de répertoires... mais je ne suis pas allé jusqu'au bout de l'analyse, j'ai stoppé le processus avant la fin...) penses-tu que cela soit OK?
Quand tu dis que ca a été dur, quelle en est la raison?
Marsh Posté le 17-03-2012 à 14:03:42
c'est justement qu'on ne trouve plus la structure,
gardes testdisk pour tes tests
Marsh Posté le 17-03-2012 à 14:04:12
hor92 a écrit : |
c'est un cd bootable
Marsh Posté le 17-03-2012 à 14:13:55
gougoul07 a écrit : c'est justement qu'on ne trouve plus la structure, |
oui la structure n'est plus visible depuis la MFT remise à 0 mais avec un outil comme getback data et le fait que les informations liées à la hiérarchie des répertoires ainsi que la description des répertoires sont dupliquées au niveau des blocs pour chaque fichier de type 'répertoire", cela doit pouvoir se faire non?
Testdisque sinon reste un bon outil pour visualiser ce qui se passe mais n'a pas la même puissance de recherche non?
Sinon je me demande si le fichier journal de stransactions windows ne garde pas en tête les opérations de formatage de la MFT? cela permet peut être aussi de revenir en arrière non? étant donné que lorsque l'on écrit sur la MFT une trace est gardée du descripteur qui a été touché...
Marsh Posté le 17-03-2012 à 19:23:26
en fait , j'ai fait simplement l'essai un jour avec un disque dur que je n'utilisais plus:
j'ai fait un formatage rapide du disque dur (je ne me souviens plus s'il y a avait 1 ou 2 partitions)
j'ai lancé TESTDISK en faisant la recherche profonde pour trouver trace d'ancienne partition.
il m'a trouvé une MFT de copie que je lui ai demandé de reinscrire et en -10 sec, j'avais a nouveau ma(mes?)partitions avec toutes me données dessus.
de toutes façons ,tu ne risque rien à lancer TESTDISK et voir si il trouve quelque chose; tant que tu n'ecris rien ou n'approuve rien, il ne toucheras pas à ton DD.
S'il t'affiche qu'il retrouve ta MFT et qu'il peut la réécrire ....y a plus de questions à se poser.
TESTDISK peut aussi retrouver et lire le fichiers innacessible et si tu le veux ,te les recopier sur un autre support; teste cette fonction! si tu vois qu'il retrouve tous tes dossiers et fichiers, c'est que le mal n'est pas si important.
par contre, trouve un bon tuto en français de TESTDISK, car tout n'est pas toujours très clair à comprendre!
Marsh Posté le 17-03-2012 à 19:35:57
eric011 a écrit : en fait , j'ai fait simplement l'essai un jour avec un disque dur que je n'utilisais plus: |
effectivement tres puissant!! pour ma part j'ai pas essayé testdisk jusqu'au bout mais la mon probleme c'est que j'ai lancé un formatage standard sans prendre l'option "rapide" mais j'ai arrété tres rapidement de manière standard le formatage a partir de la console de gestion de dique windows.
Eric, tu me donnes une idée, je vais essayer de faire de meme avec un vieux disque, si j'en trouve un, en lancant le meme processus et en arrétant le formatage.... a moins que quelqu'un ait déja fait l'essai...
Pour remettre en place la partition avec la MFT de copie, comment as-tu procédé? tu as choisis la partition retrouvée (qui était au statut "D" ) et tu la réactivée, tu as fais un 'MFT repair' et puis that's all??
Merci encore
Marsh Posté le 17-03-2012 à 19:48:43
eric011 a écrit : en fait , j'ai fait simplement l'essai un jour avec un disque dur que je n'utilisais plus: |
c'est bien ce que je dis depuis le debut, merci
Marsh Posté le 17-03-2012 à 19:49:26
hor92 a écrit : |
oui comme dit plus haut ! j'ai tjrs eu du mal a recupere les donnees dans ce cas la
Marsh Posté le 17-03-2012 à 23:35:51
aie, je n'avais pas compris que le formatage 'standard' c’était sans l'option 'rapide'...dans ce cas, si tous les premiers secteurs ont été effacés
je ne me souviens plus des options utilisés mais j'avais suivi un tuto qui explique bien les diverses options, exemple à l'appui.maintenant, pour retrouver ce tuto, ça va être compliqué.
c'est là: http://www.cgsecurity.org/wiki/Tes [...] _par_Etape
bon courage!
Marsh Posté le 18-03-2012 à 09:55:28
gougoul07 a écrit : |
oui la il s'agit d'un formatage rapide.. et était-ce avec XP ou vista?? apparemment le formatage n'opère pas de la même façon (profondeur et opérations executées). J'ai eu ce post sur un forum :
--------------
http://forum.hardware.fr/hfr/Hardw [...] 4045_1.htm
Bonjour,
Je voulais formater ma partition système ce matin. Je lance donc le formatage normal (pas le rapide) (en rebootant par le cd de windows xp pro) et c'est parti. C'est long. Tant mieux, ça me laisse le temps de réfléchir et, à 36% du processus, ça me monte : je formate le disque dur externe (qui etait resté brancher) au lieu du dd interne, alors que c'est celui où j'avais mis toutes mes sauvegardes (no comment....) et bien sur, celui que je voulais préserver. En panique, je coupe l'ordinateur pour arrêter le formatage. Je redémarre windows et je regarde dans les dommages du dd externe formaté à 36%. Surprise : apparemment, rien n'a été supprimé! Il y a 900go de sauvegarde donc il est dur pour moi de tout vérifier, mais a première vue, rien n'a été supprimé.
******
Il ne faut pas oublier une chose, Windows XP ne réécris pas chaque secteur du disque lors du formatage complet. La seule différence entre le formatage rapide et le complet, c'est que lors du complet il va vérifier chaque secteur du disque et voir s'il y en a de défectueux ou non.
Si vous avez un disque vierge chez vous faites le test sous windows XP. S'il n'est pas formaté, formatez le en rapide ou normal. Mettez quelques fichiers dessus. Puis lancer un formatage normal (long), à 5 ou 10% arrêtez le formatage (vous pouvez le faire à 98% si vous voulez aussi). Et la vous pourrez constater que tout vos fichiers sont toujours présent et accessible ! (je viens de le faire).
Apparemment ce n'est qu'à la fin du formatage que Windows XP efface la table d'allocation des fichiers.
Donc même après un formatage complet sous Windows XP, la grande majorité des programmes de récupération de fichier seront capable de récupéré tous les fichiers (oui ça fait peur).
Donc si vous revendez un disque, ne vous contentez pas de faire un formatage complet sous Windows XP, mais faut aussi utiliser un programme d'effacement (Eraser par exemple). Je crois que le formatage sous Windows Vista/7 est différent.
******
Marsh Posté le 18-03-2012 à 09:57:36
eric011 a écrit : aie, je n'avais pas compris que le formatage 'standard' c’était sans l'option 'rapide'...dans ce cas, si tous les premiers secteurs ont été effacés |
merci eric pour ce lien.
En quoi l'écrasement des premiers secteurs est-il rédibitoire? je crois que les premiers secteurs correspondent à la création de la partition (le MBR) masi pour autant l'ancienne partition reste visible sur les autres secteurs de part la duplication des informations au niveau des clusters non?
Marsh Posté le 18-03-2012 à 11:44:40
oui, tu as surement raison, j'ai un peu confondu MBR et MFT sur ce coup.
alors ou en es-tu dans ta récupération?? ça a marché?
Marsh Posté le 18-03-2012 à 12:33:07
eric011 a écrit : oui, tu as surement raison, j'ai un peu confondu MBR et MFT sur ce coup. |
je fais tourner plusieurs outils du marché avant de m'attaquer à testdisk.
Simplement sous testdisk j'avais vu 2 partitions identiques ce qui m'a laissé pensé que c'est rattrapable, l'une d'entre elle étant sûrement la partition primaire qui a commencé a etre effacée... reste à retrouver les partitions logiques.. mais je préfère commencer par les outils du marché avant de faire par moi même (j'ai peur de faire une bétise...) j'ai donc donné mon DD a un specialiste micro qui connait tous les outils en version 'pro'.
Il est étrange que microsoft n'indique pas clairement ce que réalise le formatage complete par rapport au rapide (description complete).... est-ce que quelqu'un aurait un topic publié sur ce sujet de la part de microsoft?? j'ai cherché dans les tuto mais j'ai rien trouvé....
Par contre runtime software, l'éditeur de getbackdata prévient les utilisateurs qu'en cas de fromatage complet terminé pour vista et windows7, l'outil ne permet plus de récupérer les données (ce qui ne veut pas dire que plus rien n'est possible, d'autres outils existent chez les entreprises spécialisées en recup de données). Apparemment donc le formatage a été "amélioré" pour ces versions... ce qui rend encore plus dangereux cette opération...
http://runtime3.org/blog/?p=140
----------
A warning about formatting your drive in Vista and Windows 7
We just want to warn people about formatting their drives in Windows Vista and Windows 7. If you uncheck the option for quick format, the operating system does a full destructive format, making data recovery impossible once it is finished.
So unless you are giving your drive away, or selling it, do not do a full format if there is a chance you will need the data on the drive, as the data will no longer be there, or recoverable.
Be sure you have the option for quick format selected.
----------
cependant il semble que tant que le formatage n'est pas terminé, la MFT n'est pas complètement reformatée car les données restantes ne sont pas effacées... ce que j'essaie de comprendre c'est comment l'algo de windows fonctionne : il déroule la MFT pour détruire chaque donnée puis efface le pointeur du descripteur de la donnée dans la MFT?? ou plus simplement il crée une nouvelle partition avec une MFT toute neuve et détruit secteur par secteur les données sans se préoccuper de l'ancienne MFT? dans le deuxième cas, il reste donc tjs une copie cachée de la partition avec sa MFT au statut "deleted" tant que l'on ne réécrit pas dessus... dans le premier cas, les données détruites le sont irrémédiablement mais il est possible de récupérer toutes les données non détruites avec la MFT partiellement effacée... et dans ce cas un "MFT repair" dans testdisk est suffisant..
Qu'en pensez-vous?
Marsh Posté le 24-05-2013 à 11:10:02
Coucou, ca en est ou ton histoire?
j'ai fait moi aussi une fausse manip et je suis dans la woomfa...
j'ai permuté deux câbles Esata avec la machine allumée...(j'en pleure encore d'avoir fait ca)
entre un DD3TO et un DAS lian-li EX-50 avec un Raid5 de DD2TO soit 8TO...
au redémarrage, j'ai eu FDisk je crois qui m'a dit j'ai un problème , je regarde ce que je peux faire...et j'ai vu qu'il indiquait effacer pas mal de chose... en fait il a renommé le 8TO par le 3TO et fait un mix dans la table, me laissant 2TO de données et faisant disparaitre le reste
Depuis je suis dans la mouise, si vous aviez des pistes...
Merci 1000 fois par avance !
Marsh Posté le 24-05-2013 à 22:27:39
gougoul07 a écrit : et si testsdisk ne passe pas, son compagnon photorec est pas mal du tout |
+1
Oui, créé par le même développeur que testsdisk....
Photorec et le seul log qui m'a toujours tout retrouvé, pour en avoir essayé un dizaine, c'est
le seul que j'ai trouvé puissant et fiable... bon il marche sous Dos mais en suivant le tuto sur wiki,
c'est un jeu d'enfant.
Marsh Posté le 17-03-2012 à 00:07:27
Bonjour à tous, je cherche à savoir ce que fait le formatage windows 7 en mode standard.
A priori il supprime la MFT et en crée une toute neuve puis efface les données sur les clusters.
Ayant commencé par erreur un formatage de mon disque dur extrene (1TB) j'ai stoppé le processus au bout de quelques secondes mais je me retrouve avec un DD non lisible "voulez vous formater ce disque dur?".
Je me pose la question suivante ; les logiciels de récupérations (get back data, phoenix, ...) peuvent-ils reconstituer une MFT supprimée? et si oui comment?? (j'imagine que des copies de la MFT existent sur le disque.... a tout le moins la MFT miror.. mais n'est-elle pas elle aussi supprimée lors de la création d'une nouvelle MFT vierge?) bref je me demande si ces logiciels sont vraiment utiles si l'on souhaite récupérer les noms de fichers et leur hiérarchie/arborescence dans windows (qui a plus de valeur que le fichier lui meme quand une grande quantité de données sont stockées).
Apparemment getbackdata fait une analyse cluster par cluster et donc permet de reconstituer au fil de l'eau la MFT (car les morceaux de fichiers sont identifiés dans les clusters, ainsi que leur hiérarchie d'accès -répertoires - ainsi que leur nom et que les répertoires windows sont eux-aussi considérés comme des fichiers).
Qu'en pensez-vous? faut-il vraiment acheter ces logiciels ou faut-il s'adresser à une société spécialisée? et dans ce cas est-ce que la société spécialisée ne fait finalement que dérouler ces logiciels sans faire d'autres manipulations?
Message édité par hor92 le 17-03-2012 à 00:08:47