Udostępnij za pośrednictwem


Récupération de partitions V - Récupération d'une partition NTFS sur un disque MBR basique

Pour faire reparaitre une partition disparue, nous avons besoin de peu de chose pour faire cette recuperation:

  • Le NTFS Boot Sector de backup
  • Savoir retrouver la MFT pour être certain de récupérer la bonne partition

Nous allons voir comment récupérer une partition qui a disparu suite à une opération manuelle malencontreuse.

clip_image002

Windows étant un petit paresseux, nous savons que quand on supprime une partition, seule l’entrée dans la table de partition est supprimée.

Vérification: 

clip_image003

Dans les architectures récentes, les partitions NTFS commencent le plus souvent au secteur 2048 (les anciennes démarraient au secteur 63).

Si ce n’est pas le cas, il faut chercher sur le disque. Certains éditeurs hexa permettent de le faire, dskprobe le permet.

Dans notre cas, le secteur 2048 est bien un secteur d’amorçage NTFS :

clip_image004

Nous pouvons identifier facilement :

  • Le OEM ID String "NTFS"
  • Bytes par secteurs : 512
  • Secteurs par cluster : 8
  • Partition Size en secteurs : FF E7 DF 0F 00 00 00 00 --> FDFE7FF = 266332159 secteurs (à peu près 127 GB : 266332159*512/1024/1024/1024)

Donc le NTFS Boot Sector de backup devrait se trouver au secteur 266334207 ( = 2048 + 266332159 )

Allons voir :

clip_image005

Vérifions que nous retrouvons bien la MFT

  • Clusters to MFT : 00 00 0C 00 00 00 00 00 = 0xC0000 = 786432 clusters = 6291456 secteurs. En ajoutant 2048 ça fait:  6293504
  • Clusters to MFTMirr : 02 00 00 00 00 00 00 00 = 0x2 = 2 clusters = 16 secteurs. En ajoutant 2048 ça fait:  2064

Le secteur 6293504 ressemble bien au premier metafichier de la MFT

clip_image006

Le metafichier $Volume nous fournit bien le bon nom de volume (à vérifier avec l’administrateur)

clip_image007

Donc en résumer, même si la partition a été supprimée, les données sont toujours présentes :

  • La partition est encadrée par les NTFS Boot Sector de début et de fin
  • Le NTFS Boot Sector pointe vers une MFT qui semble valide

Ce qui reste à faire est donc la chose suivante :

  1. Enregistrer le contenu du secteur 2048 avec l’outil de votre choix (dskprobe permet de le faire)
  2. Recréer une nouvelle partition dans le gestionnaire de disque ou diskpart : Ne pas la formater.
  1. Si on formate la partition, on réécrit la MFT et toute les références au contenu de la partition. Gardons en tête que Windows est un petit paresseux : La MFT sera refaite, mais les données sur le disque seront toujours présentes jusqu’à ce qu’elles soient écrasées. Certains outils pourront encore vous aider mais il faudra y mettre le prix.
  2. En créant cette nouvelle partition
    1. Une nouvelle entrée est créée dans la table de partition
    2. Le secteur 2048 a été vidé
  • La dernière opération consiste en réécrire le secteur sauvegardé sur le 2048 et replacer le FileSystem à l’offset 01C2 : écrire 07

Un rescan devrait faire reparaitre le disque.

Ces étapes en image :

1. Sauvegarde du contenu du secteur 2048 avec dskprobe2.exe

clip_image009

clip_image011

2. Création de la partition sans la formater

clip_image013

Suivant … Suivant … Jusqu’à l’option de formatage : Choisir l’option "Do not format this volume"

clip_image015

Nous obtenons une partition RAW :

clip_image017

3. Ecraser le NTFS Boot sector par celui sauvegarder

Dans DskProbe se placer sur le secteur 2048 du disque, et ouvrir le fichier que nous venons de sauvegarder

clip_image019

clip_image021

Ecrire le fichier sur le secteur 2048

clip_image023

Vérifier qu’on écrit bien 1 secteur sur le secteur 2048 et cliquer sur "Write"

clip_image025

Retourner au secteur 0 et remplacer le "06" à l’offset 1C2 par "07" : bien presser la touche 0 et la touche 7.

clip_image027

Puis faire un Write

clip_image029

Un Rescan Disk dans le Disk Manager fait reparaitre le disque

Serge Gourraud
55 AA

Comments

  • Anonymous
    January 07, 2015
    Il arrive que les structures qui décrivent les partitions sur les disques soient perdues ou corrompues