On Mon, May 26, 2008 at 06:02:25PM +0200, mvillarino wrote: > Ext3, actualmente desmontado (mais non podo asegurar que non se > empregase área de datos do inbox/outbox para algunha cousa interna) > Partición primaria, única do disco /dev/hdb > Non, nesta máquina non emprego lvm, nen cifrado. > > Teño o sleuthkit+autopsy instalado e a traballar (aparentemente); e agora?
A ver, a miña opinión: o primeiro paso e facer un volcado de toda a partición a un ficheiro imaxe, con dd (ou algunha das súas variantes, dd-rescue e tal), e a partires de ahí, traballa sobre esa imaxe. Sleuthkit non te vai servir de moito, ata onde eu sei, xa que non teñe técnicas directas para recuperar información en sistemas de ficheiros con journaling (ext3, reiser e demais). Para poderes traballar en ext3, tes dúas opcións: ataques basados nas señas según tipo de arquivo (foremost, photorec), ou ataques ó journaling. Sobre ésto, aquí tes un par de ligazóns: *Un artículo de Brian Carrier, autor do Sleuth Kit, explicando mellor o que acabo de escribir: http://linux.sys-con.com/read/117909.htm *Un máis recente artículo de Carlo Wood, onde explica o que el pasou para recuperar información que perdera nunha situación similar: http://www.xs4all.nl/~carlo17/howto/undelete_ext3.html -- Francisco J. Tsao Santín http://tsao.enelparaiso.org 1024D/71CF4D62 42 F1 53 35 EF 98 98 8A FC 6C 56 B3 4C A7 7D FB
