Recupération de partitions IX : Récupérer une partition efface par mégarde sur un disque basique GPT

  • Article

Travaillons aujourd’hui sur un autre scénario assez simple : Celui de la suppression accidentelle d’une partition.

Supposons que cette partition

clip_image001

soit devenue

clip_image002

Comme d’habitude, on contrôle les secteurs habituels et on voit celui qui pourrait manquer.

Au secteur 0, on a un MBR montrant une partition GPT qui occupe tout le disque

clip_image003

Au secteur 1, on retrouve un GPT Header :

clip_image004

Données:

  • Sector Signature : EFI PART
  • Version 0.1
  • Header Size : 5C
  • CRC32 of the Header : 2153345396
  • Current / Alternate GPT Header : 1 / 266338303
  • First / Last Usable LBA : 34 / 266338270
  • Disk GUID : {04D4F64A-0F7B-49CE-9013-CF4EF9121641}
  • Partition Table Address : 2
  • Partition Count : 128
  • Partition Table Entry Size : 128
  • CRC32 of Partition Table : 1583197318

Et le secteur 266338303 montre la même chose.

clip_image005

Le secteur 2 nous montre une table de partitions ne contenant que la partition MSR (comme quoi, rien n’est perdu), et le secteur 266338271 (Last usable +1) nous montre la même chose.

clip_image006

Allons donc voir si une partition NTFS pourrait trainer sur le disque.

Comme la partition MSR finit au secteur 262177, on devrait en trouver une plus loin, en principe aligné sur 64KB.

C’est au secteur 264192 que nous allons la trouver

clip_image007

Total Sectors : 266072063 (~126.8 GB) : Le secteur de fin devrait se trouver 266336255 ( = 266072063 + 264192 )

Clusters to MFT / MFTMirr : 786432 (LBA 6555648 = 264192 + 8*786432 ) / 2 (LBA 264208 = 264192 + 8*2)

Et ce sont bien des entrées de MFT que l’on trouve à ces secteurs:

clip_image008

clip_image009

Résumons-nous :

  • LBA 0 : La partition GPT
  • LBA 1 et Backup : Les GPT Headers
  • LBA 2 et Backup : Une table de partition ne contenant que la partition MSR
  • LBA 264192 et 266336255 : Encadrent la partition NTFS

En principe, comme pour une partition MBR :

  • Sauvegarder le 1er secteur de la partition NTFS
  • Créer une partition occupant tout le disque sans la formater
  • Ecraser le 1er secteur de la nouvelle partition NTFS par celui précédemment sauvegardé.

clip_image010

Quand vient le moment de formater, ne pas formater.

clip_image011

A ce moment-là, le secteur 264192 a été vidé de son contenu (puisque nous n’avons pas fourni de file system)

En écrasant ce secteur par celui que nous avons sauvegardé, c’est comme si nous formatons la partition.

DskProbe.exe permet d’écraser un secteur du disque.

clip_image012

clip_image013

Après vérification rapide (secteur de fin de partition, MFT, MFTMirr) un rescan du disque fait revenir la partition comme par magie.

Serge Gourraud
55 AA