Hallo, ich habe bereits leidlich Erfahrung mit Festplattenforensik (Backups sind etwas für Feiglinge ;) - und möchte hier einen Fall schildern, der mir neue Einblicke in das Ext3-System gibt.
Ausgangssituation: Eine große ext3-Partition (Sidux-Installation incl. Home + Daten) wurde versehentlich "überinstalliert" - also neu formatiert und nochmals mit Sidux installiert. Frozen Image: In der (optimistischen aber weitestgehend zutreffenden) Annahme, dass die Formatierung nicht jeden Sektor mit Nullen überschreibt, und Sidux seine Dateien ungefähr an dieselbe Stelle schreibt, wie bei der letzten Installation, wurde die Partition umgehende r/o gesetzt und per "dd" als Imagedatei eingefroren. Es gibt nun verschiedene Tools wie ext3grep, die Sektoren einzeln auslesen, nach inodes mit Verzeichnissen suchen usw. Diese sehen aber v.a. das neue System. Mit einem reinen Grep konnte ich z.B. schon eine Textdatei aufspüren. Die meisten Hexeditoren (selbst lfhexedit) versagten allerdings bei einer 10GB-Datei, allein "bless" war in der Lage, das Image komfortabel nach Spuren zu durchsuchen und diese per C&P zu exportieren. Nun ist ganz offensichtlich ein Problem, dass die Dateien aus dem neuen (überschreibenden, gültigen) Ext3-System den Blick auf die alten Daten verstellen. Es wäre also vielleicht eine sinnvolle Herangehensweise, alle Dateien dort mit Nullen zu füllen (nur wie?). Alternativ könnte man eine Imagekopie machen, die nur unbenutzte Inodes des neuen Filesystems enthält. Anregungen - Ideen willkommen. Gruß Ralf -- Linux mailing list [email protected] subscribe/unsubscribe: http://lug-owl.de/mailman/listinfo/linux Hinweise zur Nutzung: http://www.lug-owl.de/Mailingliste/hints.epo
