Powered By Blogger

Rechercher sur ce blogue

Aucun message portant le libellé supprimé. Afficher tous les messages
Aucun message portant le libellé supprimé. Afficher tous les messages

lundi 23 octobre 2023

Où vont les fichiers supprimés définitivement dans les ordinateurs ?

Où vont les fichiers supprimés définitivement dans les ordinateurs ?


 Par: Philippe Guglielmetti

 · 

Suivre

MS en Ingénierie et Informatique, EPFL (Diplôme obtenu en 1988)4 ans


Comme un fichier est immatériel, il ne “va” nulle part. Il est “oublié” puis son contenu est détruit en 3 voire 4 étapes:


La “poubelle” est un dossier comme les autres. Quand on y met un fichier, il y reste intact, on peut le ressortir etc.

Quand on vide la poubelle, ou que le système efface un fichier ou en ré-écrit un de même nom, les Blocs contenant les données du fichier sont simplement marqués comme étant libres dans le Système de fichiers. Mais le contenu des blocs n’est pas modifié, ce qui fait qu’il est encore possible de récupérer les fichiers avec un logiciel type “restore”.

Mais si le système en a besoin il peut écrire de nouveaux fichiers dans ces blocs et donc le contenu correspondant de l’ancien fichier sera perdu. Certains outils “forensiques” peuvent encore récupérer les blocs non écrasés. Et dans certains cas (vieux disques durs), il est même possible de retrouver les anciennes données “sous” les nouvelles…

C’est pourquoi pour les données critiques il est conseillé d’utiliser un logiciel d’Effacement de données qui va réécrire plusieurs fois des données aléatoires sur les blocs libres pour être bien sur qu’il soit physiquement impossible d’accéder.


REF.: https://fr.quora.com

dimanche 2 septembre 2018

MiniTool Power Data Recovery : récupérer les fichiers supprimés

MiniTool Power Data Recovery : récupérer les fichiers supprimés



Fichier, supprimé, récupération de donné, trucs

MiniTool Power Data Recovery est un utilitaire gratuit qui permet de récupérer les fichiers supprimés ou depuis une partition de disque endommagée.
La version gratuite est limitée à 1Go de récupération de données.
Cet utilitaire est relativement simple d’utilisation mais disponible seulement en langue anglaise.
Voici un tutoriel qui explique comment retrouver des fichiers qui ont été effacés par erreur.

Tutoriel MiniTool Power Data Recovery

MiniTool Power Data Recovery peut-être téléchargé depuis le lien suivant : https://www.powerdatarecovery.com/index.html
L’installation est assez simple, elle ne sera donc pas détaillée.
Voici la page de démarrage de l’application avec les différents menus.
  • Undelete Recovery : pour récupérer des fichiers supprimés.
  • Lost partition recovery : pour chercher et récupérer des fichiers sur des partitions de disque qui ont été supprimées
  • Digital Media Recovery : récupère les documents depuis des médias amovibles
  • CD/DVD Recovery : la même chose mais pour les CD/DVD
  • Damage Partition Recovery : récupère des fichiers depuis des partitions endommagées, corrompues ou formatée (RAW, etc)
Tous les menus reposent sur le même principe, vous sélectionnez une action puis une partition à analyser.
Des fichiers qui peuvent être récupérés sont disponibles dans les arborescences et des prévisualisations pour les images sont possibles.
Vous pouvez effectuer des recherches par nom ou utiliser l’onglet Type pour chercher des fichiers par type (image, vidéos, etc).
Lorsque vous avez effacés des fichiers sur une partition de disque, il faut minimiser l’écriture sur cette dernière. Plus vous attendez et plus vous écrivez sur la partition, moins vous avez de chance de récupérer vos documents.

Récupérer les fichiers effacés par erreur

Le but ici est de récupérer des fichiers et documents effacés accidentellement.
Cliquez sur le menu Undelete Recovery, puis sélectionnez la partition à analyser.
Si celle l’a déjà été, les anciens analyses apparaissent sur la forme « Previous scan result »
Tutoriel MiniTool Power Data Recovery : Récupérer les fichiers effacés par erreur
Une fois le scan terminé, l’arborescence des dossiers et fichiers récupérables apparaît à gauche.
Vous pouvez utiliser le bouton Find pour chercher par des noms, cela ouvre un menu de recherche dans la partie asse de la fenêtre.
Sachant que l’utilitaire peut récupérer des fichiers en perdant les noms de fichiers.
Pour les images, vous pouvez naviguer dans les dossiers et utiliser la prévisualisation pour retrouver une image précise.
Tutoriel MiniTool Power Data Recovery : Récupérer les fichiers effacés par erreur
Tutoriel MiniTool Power Data Recovery : Récupérer les fichiers effacés par erreur
L’onglet Type permet de naviguer dans les fichiers et arborescence par type de fichiers (images, son, vidéo, etc).
Tutoriel MiniTool Power Data Recovery : Récupérer les fichiers effacés par erreur
Un clic droit Recover peut récupérer les fichiers qui ont été sélectionnés.
Il est conseillé de tenter de récupérer les fichiers sur un autre disque que celui ayant subi la suppression.
Tutoriel MiniTool Power Data Recovery : Récupérer les fichiers effacés par erreur

Récupérer fichiers d’une partition formatée

Le principe pour récupérer des fichiers d’une partition formatée est identique au précédent.
Il faut utiliser le menu Damage Partition Recovery puis sélectionner la partition formatée.
Cliquez en bas à droite sur le bouton Full Scan et laissez l’analyse s’opérer.
Tutoriel MiniTool Power Data Recovery : Récupérer fichiers d'une partition formatée
Tutoriel MiniTool Power Data Recovery : Récupérer fichiers d'une partition formatée
Le résultat des documents qui peuvent être récupérées après avoir formaté la partition apparaissent alors.
Un clic doit Recover permet de récupérer les fichiers.
Tutoriel MiniTool Power Data Recovery : Récupérer fichiers d'une partition formatée
Tutoriel MiniTool Power Data Recovery : Récupérer fichiers d'une partition formatée

Récupérer les fichiers d’une partition supprimée

Là aussi, le principe est le même, à partir du menu Lost partition recovery.
La partition supprimée doit apparaître en rouge, en cliquant dessus, le bouton Open ou Full Scan apparaît.
Open permet d’ouvrir la partition, en général, vous ne devriez pas pouvoir y récupérer vos fichiers.
Cliquez sur Full Scan pour analyser la partition.
Tutoriel MiniTool Power Data Recovery : Récupérer les fichiers d'une partition supprimée
Et enfin les fichiers trouvés par MiniTool Power Data Recovery sont ensuite disponibles pour une récupération par un clic droit / Recover.
Tutoriel MiniTool Power Data Recovery : Récupérer les fichiers d'une partition supprimée

Autres liens

Les liens du site autour de la récupération de fichiers effacés par erreur.
Bien sûr, la meilleure solution reste la sauvegarde de documents, vous trouverez des tutoriels sur le site : Comment sauvegarder ses documents sur Windows.

REF.:

vendredi 4 mai 2018

Comment supprimer, renommer un fichier verrouillé sur Windows



Lorsque vous tentez de supprimer ou renommer un fichier, un message indique que le fichier est verrouillé.
En effet, il se peut qu’une application ouvre un fichier en exclusif. Le fichier est alors verrouillé et aucune autre opération comme la suppression, renommer ou le déplacement ne peut être effectuée dessus.
Il faut alors fermer l’application pour pouvoir regagner la main sur le fichier.
Enfin, parfois, il peut arriver que le fichier soit verrouillé par le système de fichiers rendant les opérations impossible dessus.
Cet article vous aide à déverrouiller un fichier pour pouvoir le renommer ou le renommer.
Comment supprimer, renommer un fichier verrouillé sur Windows 10

Introduction

Comme cela a été expliqué dans le paragraphe précédent, une application peut verrouiller un fichier.
En général, lorsque vous tentez de renommer ou supprimer le fichier, vous obtenez le message :
Cette action ne peut-être réalisée car le fichier est ouvert dans XXXXX
Ferme le fichier et réessayez.
Windows vous indique donc l’application source qui verrouille le fichier, l’icône de cette application peut-être même indiquée.

Supprimer un fichier verrouillé par un autre utilisateur sur Windows 10

mode sans échec

Le mode sans échec est un mode minimal de Windows où la plupart des applications ne fonctionnent pas.
De ce fait, si une application pose problème et verrouille un fichier, celle ne devrait pas être en cours de fonctionnement en mode sans échec.
Cela devrait vous permettre de supprimer ou renommer le fichier.
Pour démarrer en mode sans échec, suivez les explications des pages suivantes :

Identifier l’application qui verrouille le fichier

Dans le cas où vous n’avez aucune idée de l’application qui verrouille le fichier, il faut utiliser des utilitaires qui permettent de déterminer cela.
Il existe plusieurs outils sur Windows et qui sont notamment présentés sur la page suivante : Comment lister les fichiers ouverts ou verrouillés sur Windows
A noter que le moniteur de ressources systèmes, disponible depuis Windows Vista permet d’identifier les fichiers ouverts par une application.
Cela se fait depuis l’onglet Processeur et Descripteur associés.
Un champs de recherche permet de saisir le nom du fichier, ainsi en résultat, vous avez l’application qui ouvre ce dernier.
Par exemple, ci-dessous, on a bien la confirmation qu’il s’agit de Winword.exe
Identifier l'application qui verrouille le fichier

Fichiers verrouillé par des malwares

Si le programme n’est pas présent dans la liste des programmes installés : Allez dans le dossier de ce dernier (souvent un sous-dossier de Program Files), vérifiez si un fichier uninstall.exe ou uninst.exe est présent.
Dans le cas des antivirus, vérifiez si un programme de suppression n’est pas fournit par l’éditeur, reportez-vous à la page : Suppression d’antivirus
Ici nous allons plutôt nous intéresser au Trojan Bedep qui se charge dans l’explorateur de fichier explorer.exe
Ceci a tendance à verrouiller le fichier du virus, ce qui fait que vous ne pouvez pas le supprimer.
Lorsque l’on tente de supprimer ce dernier, on obtient le message « Cette action ne peut pas être réalisée car le fichier est ouvert dans Explorateur Windows »
fichier_insupprimable_fichier_ouvert_explorateur_fichiers

Trois méthodes de suppression de fichiers verouillés

J’ai fait une vidéo qui récapitule trois méthodes différentes (oui il existe d’autres programmes qui permettent de supprimer des fichiers comme unlocker).
  • Première méthode avec FRST, qui consiste à effectuer un « fix » sur le fichier en question. Les explications en détails dans le paragraphe suivant.
  • Deuxième méthode avec GMER depuis l’onglet Files et le bouton Delete à droite.
  • Troisième et dernière méthode avec Process Explorer, le but étant de tuer le processus explorer.exe afin que la DLL insuprimable ne soit plus active.
A propos de Process Explorer, il existe une ancienne page Process Explorer : Exemple d’utilisation avancée qui explique comment supprimer une DLL de l’infection Vundo/Virtumonde (plus active de nos jours).
Celle-ci se chargeait dans le processus système winlogon.exe à partir d’une clef notify.
Le principe est un peu le même que dans la vidéo, à savoir, repérer le DLL, tenter de fermer le handle/thread afin de la rendre inactive et supprimer celle-ci du disque.

Cas des DLL dans explorer.exe

Comprenez bien ici qu’il s’agit d’une DLL qui se charge dans explorateur.exe ce qui est relativement courant.
Les méthodes ne fonctionnent pas avec des malwares de type rootkit, notamment avec les drivers Windows (fichiers .sys), comme par exemple bsdriver et cherimoya.
Quoique la méthode GMER peut fonctionner mais dans tous les cas Malwarebytes Anti-Malware se charge de ces derniers.
Parfois, c’est plus complexe, notamment par exemple avec l’infection MYOSPROTECT / WEBPROTECT / PCWATCH (plus active maintenant).
Celle-ci se composait d’une DLL par exemple MyOSProtect.dll qui se chargeait dans la couche Winsock pour manipuler les chargements de pages et injecter des publicités.
Ce fichier DLL ne pouvait pas être supprimé car un driver/pilote la protégeait en hookant les fonctions de suppression de Windows (méthode de rootkit), c’est à dire que la fonction de suppression de Windows était détournée pour passer par le rootkit et intercepter les tentatives de suppression de la DLL.
En d’autre terme, le pilote protégeait la DLL de la suppression manuellement.

Supprimer un fichier en ligne de commandes

Une autre méthode qui peut parfois fonctionner et de tenter de supprimer le fichier récalcitrant en invite de commandes.
Pour cela, reportez-vous à notre tutoriel : Supprimer un fichier ou dossier en ligne de commandes

Supprimer un fichier verrouillé avec FRST

FRST est un utilitaire qui permet d’analyser l’ordinateur et de générer un rapport avec les fichiers ouverts, au démarrage, etc.
En outre, FRST permet à travers un script de supprimer certains éléments de l’ordinateur.
FRST peut donc être utile pour supprimer des fichiers impossible à supprimer.
Avant de commencer, il est conseillé d’afficher les extensions de fichiers, pour cela, suivez la page suivante : Windows 10 : comment afficher les extensions de fichiers
Placez le programme FRST sur votre bureau, ensuite ouvrez le.
Appuyez sur les touches CTRL+Y, cela va ouvrir le bloc-note.
Le but est d’inscrire dans le bloc-note le chemin des fichiers à supprimer.
Supprimer un fichier verrouillé avec FRST
Par exemple, si l’on souhaite supprimer ce fichier-recalcitrant.txt, on récupère le chemin dans la barre d’adresse (C:\Users\Marjorie\Downloads) et le nom complet du fichier.
Supprimer un fichier verrouillé avec FRST
Que l’on inscrit ensuite dans le bloc-note, dans notre cas, on obtient C:\Users\Marjorie\Downloads + fichier-recalcitrant.txt, soit donc C:\Users\Marjorie\Downloads\fichier-recalcitrant.txt
Supprimer un fichier verrouillé avec FRST
Enregistrez le fichier bloc-note, depuis le menu Fichier puis Enregistrer.
Retournez sur le programme FRST puis cliquez sur le bouton Corriger afin de lancer la correction.
Redémarrez l’ordinateur.
Supprimer un fichier verrouillé avec FRST

Liens autour des fichiers verrouillés

Les liens du site autour des fichiers ouverts, verrouillés qui peuvent être difficiles à supprimer.
et côté surveillance système ou d’une application :
REF.:

dimanche 25 juin 2017

Comment supprimer un fichier insupprimable





Bien souvent, lorsque l’ordinateur est infecté, il est impossible de supprimer le fichier malicieux car celui-ci est verrouille étant en cours d’exécution.
Pour rappel, s’il s’agit un programme, privilégiez la désinstallation de ce dernier depuis le Panneau de configuration > Programmes et fonctionnalités : Désinstaller des programmes sur Windows
S’ensuit alors une utilisation de toute sorte de programmes comme Unlocker.
Sur cette page, vous trouverez quelques explications et comment parvenir à supprimer un fichier ou dossier insupprimable.
windows_10_logo


Cas du Trustedinstaller

Vous obtenez le message “accès refusé” :
Vous devez disposer d'une autorisation pour effectuer cette action.
Vous avez besoin d'une autorisation de la part de TrustedInstaller pour modifier ce fichier.
Se reporter à la page : Comment retirer les autorisations Trustedinstaller

Fichiers/dossiers verrouillés

Si le programme n’est pas présent dans la liste des programmes installés : Allez dans le dossier de ce dernier (souvent un sous-dossier de Program Files), vérifiez si un fichier uninstall.exe ou uninst.exe est présent.
Dans le cas des antivirus, vérifiez si un programme de suppression n’est pas fournit par l’éditeur, reportez-vous à la page : Suppression d’antivirus
Ici nous allons plutôt nous intéresser au Trojan Bedep qui se charge dans l’explorateur de fichier explorer.exe
Ceci a tendance à verrouiller le fichier du virus, ce qui fait que vous ne pouvez pas le supprimer.
Lorsque l’on tente de supprimer ce dernier, on obtient le message “Cette action ne peut pas être réalisée car le fichier est ouvert dans Explorateur Windows
fichier_insupprimable_fichier_ouvert_explorateur_fichiers
J’ai fait une vidéo qui récapitule trois méthodes différentes (oui il existe d’autres programmes qui permettent de supprimer des fichiers comme unlocker).
  • Première méthode avec FRST, qui consiste à effectuer un “fix” sur le fichier en question.
  • Deuxième méthode avec GMER qui permet de tuer n’importe quel fichier.
  • Troisième et dernière méthode avec Process Explorer, le but étant de tuer le processus explorer.exe afin que la DLL insuprimable ne soit plus active.
A propos de Process Explorer, il existe une ancienne page Process Explorer : Exemple d’utilisation avancée qui explique comment supprimer une DLL de l’infection Vundo/Virtumonde (plus active de nos jours).
Celle-ci se chargeait dans le processus système winlogon.exe à partir d’une clef notify.
Le principe est un peu le même que dans la vidéo, à savoir, repérer le DLL, tenter de fermer le handle/thread afin de la rendre inactive et supprimer celle-ci du disque.
Comprenez bien ici qu’il s’agit d’une DLL qui se charge dans explorateur.exe ce qui est relativement courant.
Les méthodes ne fonctionnent pas avec des malwares de type rootkit, notamment avec les drivers Windows (fichiers .sys), comme par exemple bsdriver et cherimoya.
Quoique la méthode GMER peut fonctionner mais dans tous les cas Malwarebytes Anti-Malware se charge de ces derniers.
Parfois, c’est plus complexe, notamment par exemple avec l’infection MYOSPROTECT / WEBPROTECT / PCWATCH (plus active maintenant).
Celle-ci se composait d’une DLL par exemple MyOSProtect.dll qui se chargeait dans la couche Winsock pour manipuler les chargements de pages et injecter des publicités.
Ce fichier DLL ne pouvait pas être supprimé car un driver/pilote la protégeait en hookant les fonctions de suppression de Windows (méthode de rootkit), c’est à dire que la fonction de suppression de Windows était détournée pour passer par le rootkit et intercepter les tentatives de suppression de la DLL.
En d’autre terme, le pilote protégeait la DLL de la suppression manuellement.
Dans tous les cas, j’espère que cette vidéo va vous permettre d’apprendre quelques trucs =)

Suppression de fichier récalcitrant sur Windows 10

Une vidéo qui montre comment supprimer des fichiers récalcitrant en invite de commandes de Windows à partir des options de récupération de Windows 10.
On utilise la commande del en invite de commandes.
Cette méthode est très efficace mais il faut avoir quelques connaissances.
L’autre solution est d’utiliser un CD Live, comme le CD Live Malekal qui possède une interface graphique pour naviguer dans les dossiers.

Autres cas : problème de permissions

Voici le message le plus courant :

Accès au dossier refusé

Vous devez disposer d'une autorisation pour effectuer cette action.
supprimer_dossier_fichier_insupprimable_probleme_autorisation
Ce message d’autorisation est dû à des permissions sur le dossier/fichier qui font que vous n’avez pas les permissions pour modifier/supprimer ou même lire le contenu du dossier.
Si vous êtes administrateur de Windows, vous pouvez modifier ces permissions pour vous donner les permissions adéquates.
Ainsi vous aurez les autorisations pour supprimer le fichier/dossier.
Principe : Les autorisations NTFS et partage sur Windows

Menu Clic droit

Il est notamment possible d’ajouter un menu déroulant qui permet de devenir propriétaire des fichiers et réinitialiser les permissions.
Plus d’informations, lire la page : Réinitialiser les permissions de fichiers par un clic droit.

Reset Files Permissions

Reset Files Permissions permet de réinitialiser les autorisations sur un dossier.
Page de téléchargement : http://lallouslab.net/2013/08/26/resetting-ntfs-files-permission-in-windows-graphical-utility/
Dézippez l’utilitaire, lancez-le.
Dans Choose Folder, sélectionnez le dossier en parcourant vos disques.
Cochez toutes les options et cliquez sur GO.
Tentez ensuite de supprimer le dossier.
resetfilespermissions

Permission Time Machine Lite

Permission Time Machine Lite permet aussi de : modifier permissions fichiers.
Rendez-vous sur la fiche du logiciel : Permission Time Machine Lite

Manuellement en graphique

Sur le dossier ou fichiers, faites un clic droit puis Propriétés.
Cliquez sur l’onglet Sécurité.
windows_modifier_autorisations_dossier_fichiers
Cliquez sur le bouton Avancé en bas à droite
Dans la nouvelle fenêtre cliquez sur l’onglet Autorisations
(sur Windows XP, Vista et 7, l’onglet est Propriétaires).
Aussurez-vous en haut que le nom du Propriétaire est votre nom d’utilisation.
Si ce n’est pas le cas, cliquez sur Modifier et mettez votre nom d’utilisateur.
windows_modifier_autorisations_dossier_fichiers_2
Faites ok sur toutes les fenêtres puis à nouveau sur le dossier ou fichiers, faites un clic droit puis Propriétés.
windows_modifier_autorisations_dossier_fichiers_3
Saisissez votre nom d’utilisateur Windows.
Cliquez à droite sur Vérifier les noms.
Votre nom d’utilisateur doit passer en souligné, s’il est bien reconnu.
Cliquez sur OK.
windows_modifier_autorisations_dossier_fichiers_4
Sur les permissions de votre compte utilisateur Windows,
Mettez les permissions en bas sur Contrôle Total.
windows_modifier_autorisations_dossier_fichiers_5
Cliquez sur OK et tentez de supprimer le dossier.

Manuellement en ligne de commandes


Vous pouvez aussi supprimer les fichiers en ligne de commandes.
L’article suivant vous donne tous les détails : Supprimer un fichier ou dossier en ligne de commandes


 REF.: