[email protected] schrieb:
Send Linux mailing list submissions to
[email protected]
To subscribe or unsubscribe via the World Wide Web, visit
http://lug-owl.de/mailman/listinfo/linux
or, via email, send a message with subject or body 'help' to
[email protected]
You can reach the person managing the list at
[email protected]
When replying, please edit your Subject line so it is more specific
than "Re: Contents of Linux digest..."
------------------------------------------------------------------------
Today's Topics:
1. Partitionsforensik mit ext3grep, bless & Co. (RalfGesellensetter)
2. Re: Partitionsforensik mit ext3grep, bless & Co.
(Jan 'RedBully' Seiffert)
3. Re: Partitionsforensik mit ext3grep, bless & Co.
(Holger van Lengerich)
------------------------------------------------------------------------
Betreff:
Partitionsforensik mit ext3grep, bless & Co.
Von:
RalfGesellensetter <[email protected]>
Datum:
Sun, 16 Aug 2009 13:41:37 +0200
An:
[email protected]
An:
[email protected]
Hallo,
ich habe bereits leidlich Erfahrung mit Festplattenforensik (Backups
sind etwas für Feiglinge ;) - und möchte hier einen Fall schildern, der
mir neue Einblicke in das Ext3-System gibt.
Ausgangssituation: Eine große ext3-Partition (Sidux-Installation incl.
Home + Daten) wurde versehentlich "überinstalliert" - also neu
formatiert und nochmals mit Sidux installiert.
Frozen Image:
In der (optimistischen aber weitestgehend zutreffenden) Annahme, dass
die Formatierung nicht jeden Sektor mit Nullen überschreibt, und Sidux
seine Dateien ungefähr an dieselbe Stelle schreibt, wie bei der letzten
Installation, wurde die Partition umgehende r/o gesetzt und per "dd" als
Imagedatei eingefroren.
Es gibt nun verschiedene Tools wie ext3grep, die Sektoren einzeln
auslesen, nach inodes mit Verzeichnissen suchen usw. Diese sehen aber
v.a. das neue System.
Mit einem reinen Grep konnte ich z.B. schon eine Textdatei aufspüren.
Die meisten Hexeditoren (selbst lfhexedit) versagten allerdings bei
einer 10GB-Datei, allein "bless" war in der Lage, das Image komfortabel
nach Spuren zu durchsuchen und diese per C&P zu exportieren.
Nun ist ganz offensichtlich ein Problem, dass die Dateien aus dem neuen
(überschreibenden, gültigen) Ext3-System den Blick auf die alten Daten
verstellen.
Es wäre also vielleicht eine sinnvolle Herangehensweise, alle Dateien
dort mit Nullen zu füllen (nur wie?).
Alternativ könnte man eine Imagekopie machen, die nur unbenutzte Inodes
des neuen Filesystems enthält.
Anregungen - Ideen willkommen.
Gruß
Ralf
Ich habe gerade neulich aus einer HDD eines Festplatten-Recorders, der
leider einen irreparablen Netzteilschaden erlitten hat, mehrere Filme
wieder herstellen können (ca. 130gb).
Dafür habe ich "photorec" aus dem debian-paket "testdisk" benutzt.
ich habe es als root auf die komplette platte (/dev/sdb) losgelassen.
laut beschreibung kann es ca 20 Dateitypen erkennen (jpg,mpeg,doc,...).
mfg
dirk t.
--
Linux mailing list [email protected]
subscribe/unsubscribe: http://lug-owl.de/mailman/listinfo/linux
Hinweise zur Nutzung: http://www.lug-owl.de/Mailingliste/hints.epo
