Hallo Robert, Robert Michel <[EMAIL PROTECTED]> wrote: > Ersteinmal vielen dank f�r die Hilfe - mit foremost w�rden die > Dateinamen verlohren gehen,
Jain. Weil man foremost zur Wiederherstellung verwenden kann, wenn die Dateinamen (sprich das Inhaltsverzeichnis) bereits nicht mehr vorhanden sind. > also werde ich etwas eigenes Basteln, Lass Dir doch das was foremost findet erstmal ausgeben und bennen die Dateien danach um. W�re aus meiner Sicht der kleinere Aufwand. > habe aber mit dem Rechnen von Hexadressen keine Erfahrung - also > wird es zus�tzlich noch etwas l�nger dauern, soetwas w�re nett: > > hexdumpapart Anfangsadresse Endadresse rawdata exportname Genauso geht foremost auch vor. Und es �bernimmt f�r Dich die Suche nach Anfangsadresse. Wenn das Dateiformat eine L�ngenangabe beinhaltet, dann sogar auch noch f�r Endadresse. Exportname, wie oben schon erw�hnt einfach danach umbenennen. > Mein skript soll sp�ter den alten Dateinamen auch verwenden, Wenn der noch zu finden ist, dann nimm sleuthkit/autopsy. Gibt es den nicht mehr, dann bist Du der einzige der ihn kennt. d.f. umbenennen. > -Wie kann man mit Hexadressen in einem Shellskript umgehen? z.B. so --- hex2dec.sh ---------------------------- #!/bin/sh let "hex = 0x$1" echo "Hexadezimal: 0x"$1 echo "Dezimal : "$hex ------------------------------------------- oder so --- hex2dec.sh ---------------------------- #!/bin/sh echo "Hexadezimal: 0x"$1 echo -n "Dezimal : " echo "ibase=16; $1" | bc ------------------------------------------- > -Gibt es einen Hexeditor, der die Adressen Dezimal angibt? Kenne ich keinen. > -Oder sollte man zu einer Skriptsprache Python/Perl greifen? Kommt drauf an was man bereits kennt, was man machen will, wie komfortable es zum Schlu� werden soll. F�r viele Dinge reichen auch "Boradmittel" (hexdump, bc, $SH, ...). > > Wenn nur der erste Sektor besch�digt/gel�scht wurde, dann > > k�nntest Du diesen mit dd von einer anderen Karte mit gleicher > > Kapazit�t und gleicher Formatierung kopieren. Das w�rde Dir etwas > > nutzen, wenn nicht noch weitere Sektoren besch�digt sind. > > Ja, daf�r mu� ich aber wissen welchen Bereich ich kopieren mu�. > Ich lag �brings falsch - es ist _keine_ Superdisk sondern > die formatierte Karte kann ich per /dev/hde1 ansprechen. Wenn es nur der erste Sektor ist: - funktionieren Karte einstecken - dd if=/dev/hde of=cf_mbr.bin bs=512 count=1 - Image der nicht funktionierenden Karte mounten - dd if=cf_mbr.bin of=/dev/loop0 bs=512 count=1 - Image unmount der nicht funktionierenden Karte - Image der nicht funktionierenden Karte wieder mounten Nachschauen ob es was gebracht hat. Wenn nicht Imagekopie l�schen und durch Backup, f�r weitere Versuche, ersetzen. > > Wenn auf der Karte zuvor h�ufig Dateien gel�scht, �berschrieben, > > neu angelegt wurden, dann sind die Erfolgschancen wegen der > > dadurch entstandenen Fragementierung eher gering. > > Wie sieht es aus, wenn eine Datei zerst�ckelt ist? > Der zweite Teil hat keinen Header. Gibt es irgendwie > Sprungadressen/Zeiger? Schlecht. Angenommen Du hast eine leere Karte und speicherst darauf nacheinander die Dateien A, B und C. Dann liegen die Daten dieser Dateien auch aufeinander folgenden Sektoren. 1) FAT - stilisiert (# soll leere Sektoren andeueten) AAAAABBCCC############# 2) nun l�schst Du Datei B AAAAA##CCC############# 3) und speicherst Datei D AAAAADDCCCDDD########## L�schst Du nun nur Datei D, dann sind Wiederherstellungchancen, trotz Fragmentierun sehr gut. Zum einen steht im Inhaltsverzeichnis noch der erste Sektor und die Gr��e der Datei, die von der Datei vor dem l�schen belegt wurde. Wird die Karte (schnell) formatiert, dann wird die FAT und das Hauptverzeichnis gel�scht. Es fehlen im allgemeinen folgende Informationen, der ehemalige Name der Datei, der erste von der Datei belegte Sektor und die ehemalige Gr��e der Datei. Ist im Dateiheader der Dateien deren Gr��e mit gespeichert, dann wird foremost folgendes wieder herstellen. Datei A: komplett AAAAA, weil alle Sektoren der Datei aufeinander folgen Datei D: fehlerhaft DDCCC, weil nicht zu erkennen ist das die letzten Sektoren eigentlich zu Datei C geh�ren Das bedeutet. War vorher eine Fragemtierung der Daten vorhanden, dann ist es nicht mehr so einfach die originalen Dateien zu rekonstruieren. Je st�rker die Fragmentierung, desto h�her der Aufwand. Letztendlich kann man nur versuchen, zuerst die Dateien zu ermittlen die nicht fragmentiert gespeichert wurden. Die von diesen Dateien belegten Sektoren aufschreiben und dann durch mehr oder weniger trial and error die anderen Dateien zusammen zu st�ckeln. > Wie kann Verzeichnisstruckturen wiederherstellen? Informationen �ber FAT (oder das betreffende Dateisystem) lesen. > Und wenn wenn man Teile erfolgreich zugeordnet hat, wie verwaltet > man die Wiederherstellung am besten? Eintragen der bekannten > Bereiche in eine Liste/Tabelle/Papier??? Kommt drauf an wie wichtig die zu rekonstruierenden Daten sind. Allgemein w�rde ich sagen, im privaten ist es oft den Aufwand nicht wert. Sich ein brauchbares Backup einzurichten ist wesentlich weniger aufwendig. F�r viele Sachen w�rde ja schon etwas in der Art 'tar czf Sicherung_home.tgz $HOME/.' ausreichen. Mu� ja nicht immer die super-duper-vollautomatisch-inkrementelle Sicherungsstrategie sein. Frank -- A: Because it breaks the logical sequence of discussion Q: Why is top posting bad?
