Particularités de la récupération des données en fonction du système d'exploitation
Un système de fichiers peut être défini comme une méthode d’organisation et de récupération des données sur un support de stockage. Il s’agit du principal instrument sur lequel le système d’exploitation s’appuie pour assurer le suivi des fichiers. Les différents systèmes d’exploitation utilisent des systèmes de fichiers différents, qui non seulement déterminent la manière dont les informations sont gérées sur le disque, mais qui influencent également les chances de récupération des données perdues, car chaque système de fichiers a sa propre série d’étapes qu’il prend lorsqu’il effectue la suppression de fichiers ou le formatage du stockage.
De plus amples informations vous aideront à évaluer les perspectives de récupération des données après une suppression accidentelle de fichiers et un formatage du système de fichiers en fonction du système de fichiers appliqué sur votre stockage.
Systèmes de fichiers de Windows
Les principaux systèmes de fichiers de Windows comprennent FAT (FAT32), exFAT et NTFS. En outre, le système de fichiers ReFS de nouvelle génération est utilisé sur certains serveurs Windows. Il convient de noter que la récupération de données à partir de stockages reposant sur ces types de systèmes de fichiers peut être entravée par la fragmentation des fichiers et n’est possible que jusqu’à ce que les fichiers soient écrasés.
Système de fichiers : FAT/FAT32
Suppression de fichiers : l’enregistrement du répertoire est marqué « inutilisé ». Les clusters sont marqués « libre », ce qui détruit la chaîne de clusters utilisée par le fichier.
Récupération de fichiers non fragmentés : Le nom du fichier, sa taille et sa position sur le disque restent à l’intérieur de l’enregistrement du répertoire, ce qui augmente la possibilité de restauration des fichiers jusqu’à presque 100 %.
Récupération de fichiers fragmentés : le nom du fichier, sa taille et sa position sur le disque restent à l’intérieur de l’enregistrement du répertoire, ce qui augmente la possibilité de restauration des fichiers jusqu’à presque 100 % : La chaîne de clusters de fichiers est détruite, ne laissant aucune information sur les fragments de fichiers. Pourtant, le nom du fichier, sa taille et sa position de départ restent connus. Avec l’heuristique (la méthode d’essai et d’erreur), il est cependant possible de prévoir l’emplacement des fragments sans aucune garantie d’exactitude.
Formatage : le tableau d’attribution des fichiers est détruit. Un nouveau dossier racine est créé.
Récupération des fichiers non fragmentés : Le nom du fichier, sa taille et sa position sur le disque restent à l’intérieur de l’enregistrement du répertoire, ce qui augmente la possibilité de récupération des fichiers jusqu’à presque 100 %.
Récupération de fichiers fragmentés : La chaîne de groupes de fichiers est détruite, ne laissant aucune information sur les fragments de fichiers. Pourtant, le nom du fichier, sa taille et sa position de départ restent connus. Avec l’heuristique (la méthode d’essai et d’erreur), il est cependant possible de prévoir l’emplacement des fragments sans aucune garantie d’exactitude.
Système de fichiers : NTFS
Suppression de fichiers : l’enregistrement du Master File Table est marqué comme « inutilisé ». Le bitmap de l’espace utilisé est mis à jour pour effacer les clusters utilisés. L’entrée de fichier est supprimée de l’enregistrement du répertoire.
Récupération du fichier : Le nom du fichier, sa taille et sa position sur le disque restent à l’intérieur de l’enregistrement de la table des fichiers maîtres, ce qui augmente les chances de récupération des fichiers jusqu’à presque 100 %.
Formatage : l’enregistrement de la table des fichiers maîtres est marqué comme « inutilisé ». La carte de bits de l’espace utilisé est mise à jour pour libérer les clusters utilisés. L’entrée du fichier est supprimée de l’enregistrement du répertoire.
Récupération de fichiers non fragmentés : Le nom du fichier, sa taille et sa position sur le disque restent à l’intérieur de l’enregistrement de la Master File Table, ce qui augmente les chances de récupération des fichiers jusqu’à presque 100 %.
Récupération de fichiers fragmentés : Les informations concernant le nom du fichier, sa taille et la chaîne de fragments restent dans l’enregistrement de la table des fichiers maîtres, ce qui augmente les chances de récupération des fichiers jusqu’à presque 100 %. La possibilité de récupération est plus faible pour les fichiers très fragmentés.
Système de fichiers : ReFS
Suppression de fichiers : la structure des métadonnées est modifiée avec l’opération CoW qui marque la zone libre pour de nouvelles entrées.
Récupération de fichiers : Le système stocke une énorme quantité d’anciennes copies de sauvegarde, ce qui rend possible la récupération des données avec un résultat de récupération pouvant atteindre 100%.
Systèmes de fichiers de macOS
Le système MacOS d’Apple utilisait HFS+ comme système de fichiers principal pour les ordinateurs Mac, les iPods, etc., qui a été remplacé dans MacOS High Sierra par le nouveau système APFS.
Il convient de souligner que la récupération des données de HFS+ et APFS n’est possible que jusqu’au moment où les fichiers sont écrasés.
Système de fichiers : HFS+
Suppression de fichiers : le système de fichiers efface les données des enregistrements de métadonnées B-Tree (un B-Tree est une structure de données en arbre qui conserve les données stockées et dans laquelle un nœud peut avoir plus de deux enfants) concernant le fichier et met à jour la carte de l’espace libre.
Récupération de fichiers : le nom, la taille et la position sur le disque d’un fichier sont effacés; cependant, le journal du système de fichiers peut encore contenir ces informations permettant de récupérer de bons fichiers. L’utilisation de IntelliRAW™ augmente les chances de récupérer des informations perdues, cependant, les informations relatives au nom du fichier peuvent être perdues.
Système de fichiers : APFS
Suppression de fichiers : le système de fichiers est optimisé pour le stockage sur Solid State Drive et applique la commande TRIM pour effacer immédiatement les blocs qui contiennent le fichier supprimé par l’utilisateur, ce qui l’aide à accélérer l’écriture ultérieure.
Récupération de fichiers : comme il a déjà été mentionné, la récupération de données écrasées (effacées) est impossible, par conséquent, la mise en œuvre de TRIM a un impact très négatif sur la possibilité de restaurer les fichiers supprimés de l’APFS. En général, les chances de récupérer tous les fichiers sont extrêmement faibles.
Systèmes de fichiers de Linux
Les distributions Linux modernes utilisent Ext2, Ext3, Ext4, XFS, ReiserFS,JFS (JFS2).
Système de fichiers : XFS
Suppression de fichiers : XFS efface une partie des informations sur le nœud de fichier et met à jour l’arbre des blocs libres. Les informations sur le nom du fichier sont déconnectées de l’entrée du répertoire.
Récupération de fichiers non fragmentés : grâce à l’heuristique, il est possible de retrouver le nom et la taille du fichier ainsi que la position arrondie au bloc. Les chances de récupération sont proches de 100% ; alors que les chances de retrouver le nom réel du fichier sont de près de 80%.
Récupération de fichiers fragmentés : le nom du fichier, sa taille et la chaîne de fragments peuvent être récupérés à l’aide des heuristiques. Si les données du fichier ne sont pas endommagées, la possibilité de récupération du fichier est proche de 100 %. Les chances d’obtenir le vrai nom du fichier sont proches de 80%.
Formatage : XFS détruit la carte des clusters utilisés et créer un nouveau répertoire racine. Les groupes d’allocation de fichiers sont également mis à jour.
Récupération de fichiers non fragmentés : les informations sur les fichiers de l’utilisateur restent sur le disque. Les chances de récupération sont proches de 100% ; alors que les chances de retrouver le nom de fichier initial sont proches de 95%.
Récupération de fichiers fragmentés : les perspectives sont les mêmes que pour les fichiers non fragmentés.
Système de fichiers : Ext2
Suppression de fichiers : Ext2 marque le nœud de fichier comme « libre » et met à jour la carte des blocs libres. L’information sur le nom du fichier est déconnectée de l’entrée du répertoire. La référence du nom de fichier au nœud est effacée.
Récupération de fichiers non fragmentés : les informations relatives au début et à la taille du fichier peuvent rester sur le disque. L’analyse des nœuds peut aider à récupérer des fichiers intacts. Dans le même temps, les informations relatives au nom du fichier sont perdues.
Récupération de fichiers fragmentés : les chances sont les mêmes que pour les fichiers non fragmentés.
Formatage : tous les groupes d’allocation ainsi que les nœuds de fichiers sont effacés.
Récupération de fichiers non fragmentés : la récupération complète des fichiers est possible grâce à l’heuristique, mais sans les noms de fichiers originaux.
Récupération de fichiers fragmentés : la récupération de fichiers non endommagés n’est possible qu’à l’aide d’une heuristique. Cependant, les noms de fichiers initiaux seront perdus.
Système de fichiers : Ext3/Ext4
Suppression de fichiers : le système de fichiers efface le nœud de fichier et met à jour la carte des blocs libres. L’information sur le nom du fichier est déconnectée de l’entrée du répertoire, mais elle fait référence au bon nœud.
Récupération de fichiers non fragmentés : les informations relatives au début et à la taille du fichier sont détruites définitivement mais peuvent rester dans le journal du système de fichiers. Le lien entre le nom du fichier et l’emplacement sur le disque est manquant. L’analyse heuristique et l’analyse du journal permettent la récupération des fichiers, en préservant les noms de fichiers originaux.
Récupération de fichiers fragmentés : En général, les informations concernant les 12 premiers blocs du fichier sont manquantes. Il ne reste également aucune information sur le nom et la taille du fichier. Les chances de récupérer des fichiers supprimés sont assez faibles, cependant, les informations sur les fichiers supprimés le plus récemment peuvent rester dans le journal du système de fichiers, ce qui augmente les chances de récupérer un fichier dont le nom initial peut atteindre 100%.
Formatage : tous les groupes d’allocation ainsi que les nœuds de fichiers sont effacés. Selon le pilote, le journal du système de fichiers peut encore contenir des informations sur certains fichiers récemment créés.
Récupération de fichiers non fragmentés : la récupération de fichiers non endommagés n’est possible qu’en appliquant une analyse heuristique et journalistique avancée; cependant, dans la plupart des cas, les noms de fichiers initiaux ne peuvent être récupérés.
Récupération de fichiers fragmentés : seules l’analyse heuristique et l’analyse de journal avancées permettent la récupération complète des fichiers ; cependant, dans la plupart des cas, les noms de fichiers initiaux sont perdus.
Système de fichiers : ReiserFS
Suppression de fichiers : le système met à jour l’arbre S+ pour exclure le fichier et renouvelle la carte de l’espace libre.
Récupération de fichiers non fragmentés : le nœud de l’arborescence S+ peut rester sur le disque (une copie dans le journal du système de fichiers et une ancienne copie, créée avec le copy-on-write). Dans ce cas, les chances de récupération des fichiers peuvent atteindre 100 %.
Récupération de fichiers fragmentés : les mêmes que pour les fichiers non fragmentés.
Formatage : le système de fichiers crée un nouvel arbre S+ par rapport à l’arbre existant.
Récupération de fichiers non fragmentés : le nœud de l’arborescence S+ peut rester sur le disque (une copie dans le journal du système de fichiers et une ancienne copie, créée avec le copy-on-write). Dans ce cas, la possibilité de récupération des fichiers est proche de 100%.
Récupération de fichiers fragmentés : les chances sont les mêmes que pour les fichiers non fragmentés.
Système de fichiers : JFS (JFS2)
Suppression de fichiers : JFS met à jour le compteur d’utilisation des objets et efface l’inode dans la carte d’utilisation des inodes. Le répertoire est construit de nouveau pour refléter les changements.
Récupération de fichiers non fragmentés : l’inode du fichier reste sur le disque, ce qui augmente les chances de récupération des fichiers jusqu’à presque 100 %. Il est cependant peu probable que le nom du fichier soit récupéré.
Récupération de fichiers fragmentés : les perspectives sont les mêmes que pour les fichiers non fragmentés.
Systèmes de fichiers de BSD, Solaris, Unix
Ces systèmes de fichiers utilisent couramment l’UFS et l’UFS2.
Système de fichiers : UFS/UFS2
Suppression de fichiers : UFS efface le nœud de fichier et met à jour la carte des blocs libres. L’information sur le nom du fichier est déconnectée de l’entrée du répertoire.
Récupération des fichiers non fragmentés : les informations relatives au début et à la taille du fichier sont détruites de manière permanente. Le lien entre le nom du fichier et l’emplacement sur le disque est manquant. Les méthodes heuristiques permettent de récupérer de bons fichiers dont le type est connu. En même temps, vous rencontrerez rarement des fichiers non fragmentés sur UFS en raison des spécificités de son algorithme Soft Updates.
Récupération de fichiers fragmentés : les informations sur les 12 premiers blocs du fichier manquent. Il n’y a pas non plus d’informations sur le nom et la taille du fichier. Les chances de récupérer des fichiers supprimés sont assez faibles, mais c’est possible.
Formatage : tous les groupes d’allocation ainsi que les nœuds de fichiers sont effacés.
Récupération de fichiers non fragmentés : la récupération totale des fichiers est possible grâce à l’heuristique, bien que les noms de fichiers initiaux soient perdus.
Récupération de fichiers fragmentés : la récupération de fichiers non endommagés n’est possible qu’à l’aide d’une heuristique. Cependant, les résultats ne contiendront pas les noms de fichiers initiaux.
Systèmes de fichiers fragmentés
Recoveo propose la récupération de données à partir de systèmes de fichiers en cluster, tels que Apple Xsan (système de fichiers CentraVision, système de fichiers StorNext), RedHat Linux Global File System (GFS), VMware ESX Server Virtual Machine File System (VMFS). Si vous avez besoin de récupérer des données à partir de l’un des systèmes de fichiers mentionnés, contactez-nous et demandez un service de récupération à distance.
Articles connexes :
Articles connexes
