Table des matières
Comme avec les outils utilisés il est tout à fait possible qu'une faute de frappe provoque une catastrophe, IL NE FAUT JAMAIS TRAVAILLER DIRECTEMENT SUR LE DISQUE QUI CONTIENT LES DONNEES mais sur une copie (à moins de ne pas avoir le choix...). Comme la catastrophe en question peut également affecter les autres disques, vous ne devriez pas non plus utiliser une machine contenant des données non sauvegardées.
Pour ces raisons, nous présentons ici comment faire de telles copies dans différents cas.
Il est également prudent de toujours garder une trace de ce que vous faites. Pour ce faire, nous rappelons l'existence de l'utilitaire script qui permet d'enregistrer un terminal dans un fichier.
La copie physique du disque se fait avec l'utilitaire dd:
# dd if=disque bs=512 of=image
où disque est le périphérique désignant le disque sur lequel vous voulez récupérer des données, par exemple /dev/hdd, et image le nom du fichier qui contiendra cette copie. La partition où se trouve le fichier image doit bien sûr posséder suffisamment d'espace libre pour contenir la partition que l'on copie (la taille physique de celle-ci et non l'espace occupé par les fichiers qu'elle contenait!). Le bs=512 indique à dd de lire le disque secteur par secteur.
Pour autant que nous sachions, il n'est pas possible de copier ainsi une partition de type NFS, NFS ne permettant qu'un accès aux fichiers et non à l'espace entre ceux-ci.
Pour cette même raison, il n'est pas possible de récupérer des fichiers via NFS à l'aide des méthodes décrites ci-après. L'unique solution semble être d'avoir un accès direct au disque.
Sur un plan "légal", dans le cas d'une enquête devant être valable devant un tribunal, la première chose que devrait faire un examinateur, devant témoins, est de générer une empreinte du disque via une fonction de hachage cryptographique (par exemple le programme md5sum permet de générer des empreintes MD5). Les témoins devraient ensuite signer un papier indiquant l'empreinte du disque et la commande utilisée pour l'obtenir. Toutefois, n'étant pas juriste, je ne peux garantir qu'une telle procédure suffise. Renseignez-vous (auprès d'un avocat? d'un huissier?).