Ces dernières années, nous avons vu un grand nombre d’outils commercialisés comme solutions de récupération de données. Cependant, en testant certains de ces outils, nous avons découvert qu’ils ne sont pas tous adaptés à la tâche. Le principal facteur de différenciation est le type (ou les types) d’algorithmes de récupération de données utilisés dans ces outils. Mais d’abord, examinons ce qui se passe lorsque Windows supprime un fichier.
Contenu
- Pourquoi la récupération de fichiers supprimés est possible
- Récupération de fichiers supprimés en utilisant le système de fichiers
Pourquoi la récupération de fichiers supprimés est possible
Dans Windows (et de nombreux autres systèmes d’exploitation n’utilisant pas de systèmes de fichiers chiffrés ou d’autres conteneurs sécurisés), supprimer un fichier ne signifie pas que son contenu réel est écrasé (l’exception ici serait les disques SSD, qui sont un cas particulier). Au lieu de cela, Windows marque simplement un enregistrement du système de fichiers appartenant à ce fichier comme « supprimé ». Cela libère effectivement l’espace disque qui était utilisé par le fichier supprimé, le rendant disponible dans le pool d’espace libre. Désormais, Windows peut réclamer – et utiliser ! – cet espace pour stocker des informations appartenant à un autre fichier. Utiliser l’espace libéré pour stocker un fichier différent écrasera effectivement le contenu original et rendra la récupération ultérieure du fichier supprimé original impossible.
Cependant, cela ne se produit généralement pas immédiatement. Avec les grands disques durs, Windows optimise ses opérations d’écriture en écrivant de nouvelles données dans les plus grands blocs d’espace libre. Cela aide à éviter la fragmentation et permet aux fichiers de croître sans se fragmenter. En conséquence, l’espace disque appartenant à un fichier supprimé peut rester inutilisé pendant très longtemps. Le contenu original du fichier supprimé sera disponible pour la récupération si vous utilisez le bon outil.
Récupération de fichiers supprimés en utilisant le système de fichiers
La façon dont la plupart des outils de récupération de fichiers et de restauration fonctionnent est en scannant le système de fichiers à la recherche d’enregistrements pointant vers des fichiers supprimés. En analysant ces enregistrements, un outil de récupération peut déterminer quels blocs ou secteurs physiques sur le disque appartiennent au fichier qui a été supprimé, lire les informations de ces blocs et sauvegarder le fichier original.
Ou du moins, c’est ainsi que les outils de récupération de données fonctionnaient auparavant. Aujourd’hui, nous avons la possibilité d’utiliser un autre algorithme en plus (ou à la place) du système de fichiers. Lisez Comment fonctionne le Data Carving pour en savoir plus.
