Dans le cas où il y a des partitions qui ont encore une structure logique sur votre [image] disque et dont vous connaissez l'emplacement, vous pouvez à partir de cette image créer une image de la partition, qui pourra alors être, si nécessaire, montée via, pour les utilisateurs de Linux, le "loopback device" (pour plus de détails, en particulier si à l'évocation de 'loopback device' vous vous demandez ce qu'une pseudo-interface réseau vient faire dans cette histoire, faites un 'man losetup'), ou un système équivalent (vnconfig pour OpenBSD par exemple). Si votre disque a encore une table des partitions ou si vous avez réussi à restaurer celle-ci, vous pouvez utiliser 'fdisk' ou 'sfdisk' pour connaître les emplacements en question; il faut alors copier l'image du disque entre ce qui correspond au secteur de début de la partition et son secteur de fin. Voici un exemple où l'on crée une copie de la première partition d'un disque:
# sfdisk -l -V -uS -i disque.img Disque disque.img : impossible d'obtenir la taille Disque disque.img : impossible d'obtenir la géométrie Disque disque.img : 0 cylindres, 0 têtes, 0 secteurs/piste Avertissement : La première partition semble avoir été créée pour C/T/S=*/255/63 (au lieu de 0/0/0). Cette liste est basée sur cette géométrie. Unités = secteurs de 512 octets, à partir de 1 Périphérique Amorce Début Fin Nb secteurs Id Système disque.img1 * 64 20482875 20482812 c Win95 FAT32 (LBA) disque.img2 20482876 36869175 16386300 1c Win95 FAT32 caché (LBA) début : (c,t,s) (1023,254,63) attendus (1023,0,1) trouvés disque.img3 36869176 80405325 43536150 f Win95 Etdue (LBA) début : (c,t,s) (1023,254,63) attendus (1023,0,1) trouvés disque.img4 1 - 0 0 Vide disque.img5 36869239 80405325 43536087 b Win95 FAT32 début : (c,t,s) (1023,254,63) attendus (1023,1,1) trouvés Avertissement : la partition 1 va au delà de la fin du disque. # dd if=disque.img of=part1.img bs=512 skip=63 count=20482812 20482812+0 enregistrements lus. 20482812+0 enregistrements écrits.
Consultez les pages man de dd et sfdisk pour plus de détails sur les paramètres utilisés.
S'il n'y a que peu de place sur le disque de la machine d'examen, on peut également utiliser cette technique pour examiner le disque à autopsier partition par partition (la copie de partition est alors plus facile à faire : il suffit de faire comme pour celle d'un disque en ajoutant le numéro de la partition à la fin du nom du disque (par exemple /dev/hda2 pour la deuxième partition du disque /dev/hda).). Dans ce cas, il ne faut pas négliger d'examiner l'espace résiduel du disque (où ne se trouve aucune partition), en particulier au début, la première partition ne commençant fréquemment qu'au soixante-quatrième secteur du disque...