Médecine légale :-)

Bonsoir, ou plutôt bonjour,

je suis en train de tenter de récupérer des données d'une partition ntfs
(windows XP Pro) qui a méchamment planté. J'emploie les outils de
«médecine légale» gnu/linux notamment ntfsnclone (beaucoup plus rapide que
dd : 16h (**)) et dd.

Après une première tentative :
ntfsclone --rescue qui a produit un fichier de la taille de la partition
mais qui a fini avec un statut 1 (mauvais signe, non ?), le fichier produit
étant inexploitable(*), je recommence avec dd, histoire de travailler sur
*tout* ce que j'aurai pu récupérer seulement, ça semble bien parti pour
mettre plus d'une semaine à copier tout, et ça remplit les journaux systèmes
de la machine (**).

Bon voila :

Contexte : le disque dur linux est sur le même contrôleur IDE en maître, il
est apparemment sain, quant à lui. Le type d'erreurs que j'ai est le suivant :

hdb: task_in_intr: status=0x59 { DriveReady SeekComplete DataRequest Error }
hdb: task_in_intr: error=0x10 { SectorIdNotFound }, LBAsectb75088, sectorb75
088
ide: failed opcode was: unknown
ide0: reset: success

plutôt que du médium, par hasard l'erreur ne peut-elle pas venir de :
cause possible (doute)
- du bus processeur (pas d'erreur proc)
- du north bridge (pas d'erreur mémoire)
- du bus pci (pas de problème avec d'autres composants PCI, par contre
l'autre contrôleur IDE fait de temps en temps la tronche)
- du south bridge (le disque maître fonctionne normalement apparemment)
- Le contrôleur IDE ("" "" "" "" ""
"" )
- du câble IDE ( " ")
- de l'électronique du disque (le secteur de boot est sain semble-t-il,
windows commence à booter, mais au bout d'un (long) temps, il se plaint de
l'absence d'un fichier) (***)
d'autre chose que j'ai oublié de lister ?

Si le problème vient de l'électronique du disque, c'est vrai, ou c'est une
légende urbaine qu'on peut faire un échange standard avec un disque
identique dans la plupart des cas ?

(*) Pas moyen de me rappeler si j'ai mis ou non le flag -s et je n'ai pas la
commande dans l'historique), si j'essaie -r :
(ntfsclone -r -o windowsraw.img windows.img
ntfsclone me répond, et si j'essaie 'ntfsinfo -m' ou 'ntfs-3g.probe
--readonly' j'ai comme résultat respectivement !505'NTFS signature is
missing' ou "The device 'windows.img' doesn't have a valid NTFS." - il est
vrai que le statut était non zéro)

(au fait j'y pense c'est peut-être du fat32, du coup ntfsclone en a fait de
la bouillie pour chat, non ?)

(**) pour l'anecdote, la machine est à 2h30^W 6h de train^W tortillard
(j'avais lancé ntfsclone avant de partir, et il a fini sur un statut 1,
juste à mon retour, soit 16h plus tard), j'ai lancé :
nohup dd if=/dev/hdb1 of=windowsraw conv=noerror,fsync,notrunc &
et perdu 2 fois la connexion depuis mais nohup.out continue à se remplir de :

dd: lecture de `/dev/hdb1': Erreur d'entrée/sortie
6278304+0 enregistrements lus
6278304+0 enregistrements écrits
3214491648 bytes (3,2 GB) copied, 63046,8 s, 51,0 kB/s

(exactement 8 jours restant, si 1kB/s24Bps et si la vitesse reste
constante)(***)

et les journaulx de :

end_request: I/O error, dev hdb, sector 6279666
Buffer I/O error on device hdb1, logical block 6279603
hdb: task_in_intr: status=0x59 { DriveReady SeekComplete DataRequest Error }
hdb: task_in_intr: error=0x01 { AddrMarkNotFound }, LBAsectb79663,
sectorb79663
ide: failed opcode was: unknown

(***) au fait, ls -l windowsraw
donne : -rw-r--r-- 1 root root 3214491648 mai 7 04:32 windowsraw (et il
grandira, car il est espagnol (mais ça va mettre plus d'une semaine :(((
file windowsraw
donne windowsraw: x86 boot sector


--
http://www.madeinfrance.org/superdupont/