Exemples d’incidents et compatibilité
Cas des Fichiers Perdus
Cas FAT 32
Cas NTFS
Cas HFS / HFS +
Récupération à partir d'une image VMware
Corbeille vidée sous Windows ®
Corbeille vidée sous Mac OS X
Fichiers cryptés NTFS
Les fichiers perdus peuvent être retrouvés à l’aide d’un algorithme. Ces fichiers sont typiquement récupérés sur les disques qui ne comportent plus de système de fichiers ou sur les disques pour lesquels la Récupération Fichiers Effacés a échoué. Généralement, ces types de fichiers ne peuvent être récupérés s’ils sont stockés dans des clusters non contigus sur le disque. Une fragmentation lourde du disque nuira à la récupération.
Si la taille de ces fichiers perdus ne peut pas être détectée, une taille par défaut leur sera affectée ; elle sera spécifiée dans le programme. La taille par défaut peut-être trop petite pour le fichier détecté. Par exemple, un fichier bitmap a pu être détecté mais l’image est tronquée. Dans ce cas, la taille du fichier perdu est trop petite et vous pouvez l’ajuster en sélectionnant Redimensionner dans le menu Expert. Vous pouvez spécifier une taille au-dessus de la taille réelle du fichier, puisque la plupart des types de fichier stocke leur propre taille.Un autre problème peut se produire si le fichier récupéré utilise un format de stockage OLE qui est utilisé par les formats de fichier tels que Microsoft ® Word, Excel, PowerPoint, et par de nombreux fournisseurs tiers. Dans ce cas EasyRecovery™ essaie de détecter l'extension correcte et de renommer l'extension (par exemple .DOC, .XLS ou .PPT). Si cela échoue l'extension du fichier restera « .MOF».
Sous Windows ® 2000 et supérieur, chaque fois qu’une entrée (fichier ou dossier) est supprimée de la structure de fichier, le mot de tête du premier cluster 32-bit est effacé par le système d'exploitation. Il s’ensuit que la valeur correcte du cluster de départ pour récupérer cette entrée n'est pas connu. Sans la valeur exacte du cluster de départ, aucun outil de récupération ne peut trouver et restaurer avec succès une entrée supprimée. Pour surmonter ce problème EasyRecovery™ met en œuvre plusieurs solutions. Selon la taille du disque, il génère des valeurs probables des clusters de début du fichier / dossier sélectionné à récupérer. Dans le cas d'un dossier le programme va automatiquement tenter toutes les combinaisons multiples - ce qui peut entraîner des lenteurs durant la lecture - dans le cas d'un fichier il va demander à l'utilisateur de tester chacune des combinaisons multiples.
Le pilote de système de fichiers dans le cas des disques NTFS tente d'optimiser l'espace utilisé par la MFT en la redimensionnant chaque fois que le système est allumé. Une fois que la MFT a été redimensionnée (si réduite), il ne sera plus possible de récupérer toutes les entrées supprimées.
Mac OS X utilise le format HFS / HFS + (Hierarchical File System) pour stocker des données sur le disque dur. Ce système est très différent de la FAT ou NTFS utilisés par Windows ®. Le système de fichiers Mac HFS / HFS + utilise la journalisation pour minimiser la perte de données. Fondamentalement, la journalisation implique le suivi de toutes les modifications effectuées sur les fichiers dans un volume sur le Mac. Normalement, ce fichier journal peut être utilisé par le système pour revenir à un état antérieur des données sur le disque dur. Toutefois, dans certains cas, ce fichier journal peut être corrompu et rétablir le système sera difficile. La récupération complète des chemins d’accès et des noms de fichiers n’est pas toujours possible, mais les données peuvent encore être récupérées. L’utilisation de la récupération de fichiers supprimés avec la sélection BRUT activée récupére une grande quantité de ce type de données perdues et une solution efficace.
Récupération à partir d'une image VMware
EasyRecovery™
Enterprise support la récupération des fichiers VMDK stockées sur les systèmes
des fichiers locaux (VMware Workstation, Fusion, etc.) au format plat ou
clairsemé, hébergé. Toutes les images VDMK <<locales>> sont
supportées.
Remarque: Les fichiers VMDK stockés sur les
systèmes de fichier VMFS ne sont pas actuellement supportés (c'est à
dire des produits VMware vSphere datacenter).
Les
images VMDK sont des disques durs virtuels contenant des systèmes opérationnels
virtuels en cours d'exécution sous un système hôte - généralement Windows ou
Linux. Il y a souvent plusieurs images VMDK crées pour chaque système virtuel
et choisir la correcte image VMDK est critique pour un balayage de récupération
réussie. Pour scanner un fichier VMDK , chargez
l'image VMDK et choisissez le volume correspondant.
Des
raisons pour plusieurs fichiers VMDK:
·
Plusieurs fichiers VMDK appelés "instantanés" (ou "liens
delta"). Si vous créez un instantané dans VMware, il va commencer une
nouvelle VMDK et ne va jamais toucher le VMDK originel. Toutes les
modifications apportées au VMDK originel, seront écrites sur le nouveau VMDK et
le nouveau VMDK va augmenter en taille.
·
Les fichiers multiples VMDK appelés "extensions". Vous pouvez
fractionner les données d'image complète en plusieurs fichiers VMDK.
·
Si l'image utilise plusieurs fichiers VMDK, il va créer un autre fichier
VMDK et celui ci est appelé un fichier
"descripteur". Ce fichier descripteur petit contient une description
avec des liens vers tous les fichiers VMDK qui appartiennent à l'image.
Scénarios:
·
S'il n'y a qu'un seul fichier VMDK (instantanés ou étendues),
EasyRecovery™ Entreprise trouvera le descripteur incorporé dans ce fichier
unique et peut l'utiliser.
·
S'il y a plusieurs fichiers VMDK, le client doit choisir le fichier
descripteur. Selon le point de temps que le client veut récupérer, le
descripteur de capture instantanée correspondant doit être choisi...le plus
tard la capture, les plus récentes les données.
S'il y a plus qu'un fichier VMDK, choisissez le
fichier VMDK petit (descripteur). Selon l'instantané (point dans le temps) que
vous souhaitez récupérer, sélectionnez l'instantané correspondant (ou s'il y a
plusieurs fichiers VMDK pour cet instantané, choisissez le fichier descripteur
appartenant à cet instantané). Plus récente la capture instantanée plus
complète les données.
Corbeille vidée sous Windows ®
Quand un fichier est envoyé à la Corbeille sous le système d'exploitation NTFS, le nom du fichier n'est plus préservé. Les fichiers seront renommés en « lettre de lecteur D de fichiers supprimés # »'.
Lors de la récupération des fichiers qui ont été supprimés de la corbeille (dossier "RECYCLER ') recherchez des « D » suivis de la lettre de lecteur du fichier original, suivi d'un numéro. Par exemple, un fichier supprimé à partir du lecteur E: peut être nommé «DE10.DOC», un fichier supprimé à partir du disque C: peut être nommé «DC.XLS». Les extensions de fichier seront conservées ainsi que les données supprimées. Cette règle ne s'applique pas aux fichiers qui ont été supprimés depuis l'invite de commande ou à partir d'applications, ils conservent leur nom de fichier.
Quand un fichier est supprimé sous le système d'exploitation Mac OS X, le fichier est déplacé vers la corbeille. Une fois que le fichier a été supprimé de la corbeille, le nom est complètement rayé du système de fichiers HFS +. La seule façon de récupérer les données est de chercher les bits et les octets bruts du fichier en utilisant l'algorithme de recherche de fichiers de signature. Par conséquent, il est très important de s'assurer que, lors du scan d'un volume Mac pour les données supprimées, l'option analyse BRUT est toujours sélectionnée.
Lorsque vous enregistrez des fichiers cryptés, assurez-vous que vous utilisez un système d'exploitation Windows ® NT qui supporte le cryptage (Windows ® 2000/XP) et enregistrez les données récupérées sur un disque NTFS. Sinon, le fichier crypté ne peut pas être déchiffré et sera sauvegardé sous un format compressé crypté brut en utilisant l'extension « .$ EFS ». Les fichiers avec cette extension peuvent être importés plus tard sur un disque NTFS en utilisant l'outil supplémentaire d’EasyRecovery™ « efsimport.exe ».
Si vous avez récupéré un fichier crypté à partir d’un utilisateur dont le compte n'est plus disponible ou qui a perdu sa clé privée (par exemple, en raison d’une panne du système), vous pouvez utiliser l'une des solutions suivantes pour lire à nouveau les données:
- Utilisez les licences d’importation Windows ® NT pour importer la licence de l'utilisateur pour lire le fichier. Cela suppose que vous avez exporté la licence de l'utilisateur au préalable.
- Récupérez le fichier en tant que agent de récupération (les fichiers cryptés sont cryptés à l’aide de la clé de l'utilisateur et de la clé d’un agent de récupération, une personne déléguée dont le compte est configuré comme un agent de récupération). L'agent de récupération peut se mettre sur l’appareil avec le fichier crypté et charger sa licence de récupération et une clé privée et effectuer la récupération de l’appareil.
REMARQUE: Dans une petite entreprise ou pour un particulier où il n'y a pas d'agents de récupération, la récupération peut être effectuée sur un ordinateur autonome utilisant lui-même le compte administrateur local, qui est configuré comme l'agent de récupération par défaut.
- Sauvegardez vos fichiers cryptés (en utilisant Microsoft Backup) dans un fichier .Bkf et envoyez le fichier .Bkf à l'ordinateur de l'agent de récupération. L'agent de récupération doit restaurer les fichiers sur un système sécurisé, les décrypter et les renvoyer à l'utilisateur.
Reportez-vous à votre manuel du système d’exploitation Windows ® pour obtenir plus d'informations sur le décryptage chiffré (la récupération de chiffrement) des fichiers qui ont été sauvegardés sur un disque NTFS.
EasyRecovery™ est compatible avec tous les systèmes de fichiers Windows ® et Mac OS X. Il peut y avoir quelques problèmes avec la façon dont EasyRecovery™ accède au disque et certains antivirus, adware, et outils anti-spyware peuvent signaler une erreur. Pour une meilleure utilisation, désactivez ou désinstallez tous les antivirus, les logiciels publicitaires et les outils anti-spyware avant d'exécuter EasyRecovery™.
EasyRecovery™ est également compatible avec les systèmes de fichiers ISO9660 et EXT2 / 3 ainsi que les disques qui ne possèdent pas de systèmes de fichiers (BRUT).
EasyRecovery™ ne peut pas récupérer les données depuis les disques et les périphériques endommagés physiquement. Ceux-ci peuvent parfois être envoyés à notre laboratoire pour récupération. Pour plus d'informations à ce sujet, veuillez nous contacter.
EasyRecovery ™ est une
marque de Kroll Ontrack Inc
Microsoft et Windows sont des marques déposées de Microsoft Corporation. Toutes
les autres marques sont la propriété de leurs propriétaires respectifs.