<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en" dir="ltr">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
<meta name="keywords" content="Menu Analyse FR,Exécuter TestDisk" />
<link rel="shortcut icon" href="favicon.ico" />
<link rel="search" type="application/opensearchdescription+xml" href="opensearch_desc.php" title="CGSecurity (English)" />
<link rel="copyright" href="http://www.gnu.org/copyleft/fdl.html" />
<title>Menu Analyse FR - CGSecurity</title>
<style type="text/css" media="screen, projection">/*<![CDATA[*/
@import "shared.css_97.css";
@import "main.css_97.css";
/*]]>*/</style>
<link rel="stylesheet" type="text/css" media="print" href="commonprint.css_97.css" />
<!--[if lt IE 5.5000]><style type="text/css">@import "ie50fixes.css_97.css";</style><![endif]-->
<!--[if IE 5.5000]><style type="text/css">@import "ie55fixes.css_97.css";</style><![endif]-->
<!--[if IE 6]><style type="text/css">@import "ie60fixes.css_97.css";</style><![endif]-->
<!--[if IE 7]><style type="text/css">@import "ie70fixes.css_97.css";</style><![endif]-->
<!--[if lt IE 7]><script type="text/javascript" src="iefixes.js_97"></script>
<meta http-equiv="imagetoolbar" content="no" /><![endif]-->
<script type= "text/javascript">/*<![CDATA[*/
var skin = "monobook";
var stylepath = "/mw/skins";
var wgArticlePath = "/wiki/$1";
var wgScriptPath = "/mw";
var wgScript = "/mw/index.php";
var wgServer = "http://www.cgsecurity.org";
var wgCanonicalNamespace = "";
var wgCanonicalSpecialPageName = false;
var wgNamespaceNumber = 0;
var wgPageName = "Menu_Analyse_FR";
var wgTitle = "Menu Analyse FR";
var wgAction = "view";
var wgRestrictionEdit = [];
var wgRestrictionMove = [];
var wgArticleId = "1381";
var wgIsArticle = true;
var wgUserName = null;
var wgUserGroups = null;
var wgUserLanguage = "en";
var wgContentLanguage = "en";
var wgBreakFrames = false;
var wgCurRevisionId = "3997";
/*]]>*/</script>
<script type="text/javascript" src="wikibits.js_97"><!-- wikibits js --></script>
<script type="text/javascript" src="http://www.cgsecurity.org/mw/index.php?title=-&action=raw&gen=js&useskin=monobook"><!-- site js --></script>
<style type="text/css">/*<![CDATA[*/
@import "Common.css";
@import "Monobook.css";
@import "dyn.css";
/*]]>*/</style>
<!-- Head Scripts -->
<script type="text/javascript" src="ajax.js_97"></script>
</head>
<body class="mediawiki ns-0 ltr page-Menu_Analyse_FR">
<div id="globalWrapper">
<div id="column-content">
<div id="content">
<a name="top" id="top"></a>
<h1 class="firstHeading">Menu Analyse FR</h1>
<div id="bodyContent">
<h3 id="siteSub">From CGSecurity</h3>
<div id="contentSub"></div>
<div id="jump-to-nav">Jump to: <a href="#column-one">navigation</a>, <a href="#searchInput">search</a></div> <!-- start content -->
<table id="toc" class="toc" summary="Contents"><tr><td><div id="toctitle"><h2>Contents</h2></div>
<ul>
<li class="toclevel-1"><a href="#Analyse"><span class="tocnumber">1</span> <span class="toctext">Analyse</span></a></li>
<li class="toclevel-1"><a href="#Contr.C3.B4les_des_partitions"><span class="tocnumber">2</span> <span class="toctext">Contrôles des partitions</span></a></li>
<li class="toclevel-1"><a href="#Contr.C3.B4les_de_syst.C3.A8me_de_fichiers"><span class="tocnumber">3</span> <span class="toctext">Contrôles de système de fichiers</span></a></li>
<li class="toclevel-1"><a href="#R.C3.A9tablissement_de_partition"><span class="tocnumber">4</span> <span class="toctext">Rétablissement de partition</span></a></li>
</ul>
</td></tr></table><script type="text/javascript"> if (window.showTocToggle) { var tocShowText = "show"; var tocHideText = "hide"; showTocToggle(); } </script>
<a name="Analyse"></a><h3> <span class="mw-headline"> <b>Analyse</b></span></h3>
<pre>
TestDisk 6.2-WIP, Data Recovery Utility, November 2005
Christophe GRENIER <grenier@cgsecurity.org>
http://www.cgsecurity.org
Disk /dev/sda - 120 GB / 111 GiB - CHS 14593 255 63
Current partition structure:
Partition Start End Size in sectors
1 * FAT32 0 1 1 1010 254 63 16241652 [NO NAME]
2 P Linux 1011 0 1 1023 254 63 208845 [/boot]
3 E extended LBA 1024 0 1 14592 254 63 217985985
5 L Linux RAID 1024 1 1 3573 254 63 40965687 [md0]
X extended 3574 0 1 4210 254 63 10233405
6 L Linux RAID 3574 1 1 4210 254 63 10233342 [md1]
X extended 4211 0 1 14592 254 63 166786830
7 L Linux 4211 1 1 14592 254 63 166786767
*=Primary bootable P=Primary L=Logical E=Extended D=Deleted
[Proceed ] [ Save ]
Try to locate partition
</pre>
<p>Cette fonctionnalité analyse la structure actuelle des partitions d'un disque dur puis recherche les partitions, rendant possible la récupération des partitions perdues.
</p>
<a name="Contr.C3.B4les_des_partitions"></a><h2> <span class="mw-headline">Contrôles des partitions</span></h2>
<p>TestDisk gère plusieurs types de partitionnement:
- Intel
- Mac
- None (par exemple, support de petite capacité sans partitionnement)
- Sun
- XBox.
L'analyse de TestDisk vérifie rapidement le partitionnement, c'est à dire le découpage logique du disque.
</p><p>La structure d'une partition Intel est composée de la table MBR (Master Boot Record) et de partitions étendues. Le MBR se limite à 4 entrées. L'une de ces 4 entrées peut être une partition étendue comportant plusieurs partitions logiques.
Chacune de ces partitions logiques est contenue dans une partition étendue (conteneur). Le MBR et chaque partition étendue doivent se terminer par les deux octets 0x55 et 0xAA dans cet ordre là; Ce qui compose le mot hexa décimal 0xAA55 (en effet, les CPU des systèmes x86 sont des "little-endian".)
Une entrée de partition se compose de:
</p>
<ul><li> début de la partition sous forme CHS
</li><li> fin de la partion sous forme CHS
</li><li> système de fichiers
</li><li> position logique de la partition
</li><li> taille de la partition en secteurs
</li><li> flag boot
</li></ul>
<p>Seule une partition primaire doit avoir le flag boot activé.
Le stockage des informations CHS est limité à un maximum de 1024 cylindres(0-1023).
C'est pour ça qu'on retrouve la fameuse limitation de 8 Giga octets (1024*255*63 = 16450560 secteurs = 8422686720 octets).
</p><p>Les logiciels d'exploitation et les BIOS modernes emploient le mode de LBA pour accéder aux données, mais le code exécutable contenu dans le secteur d'initialisation des FAT12/16/32 fait toujours référence à la géométrie sous forme CHS. TestDisk vérifie que chaque valeur est dans les limites autorisées: c'est à dire, aucune valeur de secteur n'est inférieure à 1, ni supérieure au nombre de secteurs par tête. Les entrées de partition sont lues en utilisant le début logique et la taille logique exprimés en secteurs, alors TestDisk vérifie si ces valeurs logiques correspondent aux informations stockées sous forme CHS. TestDisk vérifie également que la table des partitions ne comporte pas de partition se terminant après la fin du disque, et qu'aucune partition ne se chevauche.
</p><p>Une table des partitions SUN (Sun Label) peut avoir jusqu'à 8 entrées de partition. L'entrée numéro 2 est réservée et désigne le disque entier.
</p>
<a name="Contr.C3.B4les_de_syst.C3.A8me_de_fichiers"></a><h2> <span class="mw-headline"> Contrôles de système de fichiers</span></h2>
<p>Pour chaque partition, TestDisk lance quelques contrôles de base spécifiques au type de système de fichiers, il contrôle le secteur de boot ou superblock de chaque système de fichiers. ext2/ext3/reiserfs/jfs ont le même type de système de fichiers: 0x83, TestDisk doit vérifier chacun de ces systèmes de fichiers. Les contrôles sont identiques que à utilisés quand TestDisk recherche des partitions:
- présence de valeur magique ou de signature (c-à-d, 0xAA55 à offset 0x1FE d'un secteur de démarrage FAT ou NTFS).
- valeurs cohérentes (c'est à dire, la valeur free_blocks_count est inférieure à blocks_count pour ext2)
Cette phase est très rapide car les contrôles sont minimaux.
</p>
<a name="R.C3.A9tablissement_de_partition"></a><h2> <span class="mw-headline"> Rétablissement de partition</span></h2>
<p>Dans la deuxième étape, TestDisk recherche 'les partitions perdues' sans se servir des résultats de l'étape précédente. C'est un des avantages les plus importants de TestDisk.
TestDisk retrouve les partitions et scanne tous les cylindres appropriés pour ces partitions. Une partition primaire commence au début d'un cylindre (tête=0, secteur=1), tandis qu'une partition logique commence un peu plus loin (tête=1, secteur=1). Pour chaque adresse possible de début de partition, TestDisk peut rechercher la présence d'une en-tête de système de fichiers (secteur de démarrage FAT ou NTFS, superblock EXT2/EXT3, label de disque BSD...), ce qui confirme la présence d'un type connu de partition. Ainsi, la taille d'une partition est déterminée directement à partir de sa structure sur le disque. Chaque partition découverte par TestDisk est ajoutée à une liste de partitions trouvées.
</p><p>Pour détecter une partition FAT32, TestDisk recherche l'indicateur 0xAA55 et la signature <code>FAT32</code>, il lance également les contrôles correspondants au système de fichiers FAT :
- la signature doit être de la forme <code>0x<b>eb</b> 0xXX 0x<b>90</b></code> ou <br /><code>0x<b>e9</b> 0xXX 0xXX</code><br />
où <code>0xXX</code> peut être n'importe quel octet, et...<br />
</p>
<pre> 0x<b>eb</b>: A Short Jump, displacement relative to next instruction (only 8 bit).<br />
0x<b>90</b>: NOP (do nothing).<br />
0x<b>e9</b>: A Near Jump, displacement relative to next instruction (32 or 16 bit).
</pre>
<p>- la taille du secteur est 512
- la taille du cluster doit être 1, 2, 4, 8, 16, 32, 64 ou 128
- il doit y avoir 2 copies FAT
- le média doit être 0xF8 (aucune autre valeur n'est vue, c'est un dispositif obsolète)
- Si vous suivez les directives de MS, la signature <code>FAT32</code> est sans signification mais votre système de fichiers doit l'avoir.
</p>
<pre> Suivant le nombre du clusters, TestDisk détermine le type de FAT (le nombre de cluster est supérieur ou égale à 65525 pour une partition FAT32).
</pre>
<p>Quelques contrôles spécifiques à FAT32 sont faits:
- le nombre de clusters racine doit être entre 2 et le nombre maximum de clusters,
- quelques valeurs obsolètes (nombre d'entrées de répertoire, taille de partition 16-bits) doivent être mises à à 0,
- La version FAT32 (non utilisée) doit être 0.0<br />
Pour détecter une partition NTFS, TestDisk recherche l'indicateur 0xAA55 et la signature <code>NTFS</code>, il vérifie également que quelques valeurs spécifiques aux partitions FAT sont toutes à zéro (0): Le nombre de secteurs réservés, nombre de FATs, nombre d'entrées de répertoire, la taille du système de fichiers 16-bits, la taille du systeme de fichiers 32-bits, secteurs par FAT.
Le nombre de secteurs par cluster doit être supérieur à zéro.
</p><p>Pour les systèmes de fichiers FAT et NTFS, la taille de la partition sera lue dans le secteur de démarrage lui-même.
</p>
<pre>
TestDisk 6.9-WIP, Data Recovery Utility, December 2007
Christophe GRENIER <grenier@cgsecurity.org>
http://www.cgsecurity.org
Disk /dev/sda - 120 GB / 111 GiB - CHS 14593 255 63
Analyse cylinder 1011/14592: 00%
FAT32 0 1 1 1010 254 63 16241652 [NO NAME]
Stop
</pre>
<p>Une fois l'analyse terminée, TestDisk génère le rapport des partitions trouvées.
</p>
<pre>
TestDisk 6.9-WIP, Data Recovery Utility, December 2007
Christophe GRENIER <grenier@cgsecurity.org>
http://www.cgsecurity.org
Disk /dev/sda - 120 GB / 111 GiB - CHS 14593 255 63
Partition Start End Size in sectors
* FAT32 0 1 1 1010 254 63 16241652 [NO NAME]
P Linux 1011 0 1 1023 254 63 208845 [/boot]
D Linux 1024 1 1 3573 254 63 40965687
D Linux RAID 1024 1 1 3573 254 63 40965687 [md0]
D Linux 3574 1 1 4210 254 63 10233342
D Linux RAID 3574 1 1 4210 254 63 10233342 [md1]
L Linux 4211 1 1 14592 254 63 166786767
Structure: Ok. Use Up/Down Arrow keys to select partition.
Use LEFT/RIGHT Arrow keys to CHANGE partition characteristics:
*=Primary bootable P=Primary L=Logical E=Extended D=Deleted
Keys A: add partition, L: load backup, T: change type, P: list files,
ENTER: to continue
FAT32, 8315 MB / 7930 MiB
</pre>
<p>Vous pouvez lister les fichiers de partitions NTFS, FAT, EXT2/EXT3 et Reiser FS en appuyant sur la touche <b>P</b>, le listing du répertoire FAT est limitée à 10 clusters, quelques dossiers peuvent ne pas apparaître mais cela n'affecte pas la récupération.
</p>
<pre>
TestDisk 6.9-WIP, Data Recovery Utility, December 2005
Christophe GRENIER <grenier@cgsecurity.org>
http://www.cgsecurity.org
* FAT32 0 1 1 1010 254 63 16241652 [NO NAME]
Use right arrow to change directory, q to quit
Directory /
-rwxr-xr-x 0 0 805306368 20-Jul-2005 10:35 PAGEFILE.SYS
drwxr-xr-x 0 0 0 14-Feb-2005 22:41 WINDOWS
-r-xr-xr-x 0 0 4952 28-Aug-2001 15:00 Bootfont.bin
-r-xr-xr-x 0 0 251712 3-Aug-2004 22:59 NTLDR
-r-xr-xr-x 0 0 47564 3-Aug-2004 22:38 NTDETECT.COM
-rwxr-xr-x 0 0 212 14-Feb-2005 22:51 BOOT.INI
drwxr-xr-x 0 0 0 14-Feb-2005 22:47 Documents and Settings
dr-xr-xr-x 0 0 0 14-Feb-2005 22:55 Program Files
-rwxr-xr-x 0 0 0 14-Feb-2005 22:56 CONFIG.SYS
-rwxr-xr-x 0 0 0 14-Feb-2005 22:56 AUTOEXEC.BAT
-r-xr-xr-x 0 0 0 14-Feb-2005 22:56 IO.SYS
-r-xr-xr-x 0 0 0 14-Feb-2005 22:56 MSDOS.SYS
drwxr-xr-x 0 0 0 14-Feb-2005 23:02 System Volume Information
-rwxr-xr-x 0 0 536399872 20-Jul-2005 10:36 HIBERFIL.SYS
</pre>
<p>En utilisant la liste de partitions trouvées, vous pouvez éditer la table de partition.
</p><p>Il y a trois sortes de modification:
</p>
<ol><li> Vous pouvez changer le type de partition avec *T*
</li><li> Vous pouvez ajouter une nouvelle partition avec *A*.
</li><li> Vous pouvez changer le statut de la partition choisie en utilisant les touches de déplacement du curseur (gauche/droite). Les statuts disponibles sont <b>P</b>rimary, <b>*</b> bootable (primaire amorçable), <b>L</b>ogical (logique), <b>D</b>eleted (effacée).
</li></ol>
<p>Lors de vos modifications, observez le statut de la structure de la table de partition. cela sera soit <code>Ok</code> soit <code>Bad</code>.
</p><p><b>Structure: Ok</b> va apparaître si tout est correct, c'est à dire, aucune partition primaire entre deux partitions étendues, seulement une ou aucune partition amorçable, aucune partition n'utilise le même espace disque.
</p><p>Quand vous êtes satisfait de la modification de la table de partition, appuyez sur ENTREE. Si vous avez fait une modification, TestDisk vous donne le choix d'écrire ces données sur la table de partition, ou de lancer une analyse plus approfondie.
</p>
<ul><li><b>Quit</b>
</li></ul>
<p>Quitte le programme de TestDisk sans sauvegarder aucun changement (à moins d'avoir appuyé sur la touche ENTREE lorsque <b>Write</b> était 'en surbrillance').
</p><p><br />
</p>
<ul><li><b>Deeper Search</b>
</li></ul>
<p>Le premier balayage rapide <b>Quick Search</b> peut avoir manqué quelques partitions. <b>Deeper Search</b> va rechercher également le secteur d'amorçage de sauvegarde FAT32, celui des partitions NTFS et le superblock de sauvegarde EXT2/EXT3 pour détecter plus de partitions, il scannera chaque cylindre.
</p><p><br />
</p>
<ul><li><b>Write</b>
</li></ul>
<p>Écrit les changements qui ont été faits dans la mémoire tampon de TestDisk sur le disque dur. Si vous n'êtes pas sûr des changements (surtout pour la table de partition MBR), alors n'utilisez pas cette fonction!
</p>
<ul><li><b>Extd Part</b>
</li></ul>
<p>S'il y a une partition logique, cette option vous laisse décider si la partition étendue doit utiliser tout l'espace disque disponible ou seulement l'espace minimum exigé.
</p>
<pre>
TestDisk 6.9-WIP, Data Recovery Utility, December 2007
Christophe GRENIER <grenier@cgsecurity.org>
http://www.cgsecurity.org
Disk /dev/sda - 120 GB / 111 GiB - CHS 14593 255 63
Partition Start End Size in sectors
1 * FAT32 0 1 1 1010 254 63 16241652 [NO NAME]
2 P Linux 1011 0 1 1023 254 63 208845 [/boot]
3 E extended LBA 1024 0 1 14592 254 63 217985985
5 L Linux RAID 1024 1 1 3573 254 63 40965687 [md0]
6 L Linux RAID 3574 1 1 4210 254 63 10233342 [md1]
7 L Linux 4211 1 1 14592 254 63 166786767
[ Quit ] [Deeper Search] [ Write ]
Return to main menu
</pre>
<p>Ici, TestDisk vous demande de confirmer la bonne opération; ainsi vous avez le choix final de ce que TestDisk fera réellement.
</p>
<pre>
TestDisk 6.9-WIP, Data Recovery Utility, December 2007
Christophe GRENIER <grenier@cgsecurity.org>
http://www.cgsecurity.org
Write partition table, confirm ? (Y/N)
</pre>
<p>Retour à <a href="executer_testdisk.html" title="Exécuter TestDisk">Exécuter TestDisk </a>
</p>
<!-- Saved in parser cache with key cg_mw-mw_:pcache:idhash:1381-0!1!0!!en!2!edit=0 and timestamp 20071203110335 -->
<div id="catlinks"><p class='catlinks'><a href="http://www.cgsecurity.org/wiki/Special:Categories" title="Special:Categories">Category</a>: <span dir='ltr'><a href="http://www.cgsecurity.org/wiki/Category:Data_Recovery" title="Category:Data Recovery">Data Recovery</a></span></p></div> <!-- end content -->
<div class="visualClear"></div>
</div>
</div>
</div>
<div id="column-one">
<div class="portlet" id="p-logo">
<a style="background-image: url(logo.png);" href="http://www.cgsecurity.org/" title="Visit the Main Page [z]" accesskey="z"></a>
</div>
<script type="text/javascript"> if (window.isMSIE55) fixalpha(); </script>
<div class='portlet' id='p-Data_Recovery'>
<h5>Data Recovery</h5>
<div class='pBody'>
<ul>
<li id="n-TestDisk"><a href="testdisk.html">TestDisk</a></li>
<li id="n-PhotoRec"><a href="photorec.html">PhotoRec</a></li>
<li id="n-Download"><a href="testdisk_download.html">download</a></li>
</ul>
</div>
</div>
</div><!-- end of the left (by default at least) column -->
<div class="visualClear"></div>
<div id="footer">
<div id="f-copyrightico"><a href="http://www.gnu.org/copyleft/fdl.html"><img src="gnu_fdl.png" alt='GNU Free Documentation License 1.2' /></a></div>
<ul id="f-list">
<li id="lastmod"> This page was last modified 10:01, 3 December 2007.</li>
<li id="copyright">Content is available under <a href="http://www.gnu.org/copyleft/fdl.html" class="external " title="http://www.gnu.org/copyleft/fdl.html" rel="nofollow">GNU Free Documentation License 1.2</a>.</li>
</ul>
</div>
<script type="text/javascript">if (window.runOnloadHook) runOnloadHook();</script>
</div>
</body><!-- Cached 20071203110335 -->
</html>
