On Mon, May 26, 2008 at 06:02:25PM +0200, mvillarino wrote:
> Ext3, actualmente desmontado (mais non podo asegurar que non se
> empregase área de datos do inbox/outbox para algunha cousa interna)
> Partición primaria, única do disco /dev/hdb
> Non, nesta máquina non emprego lvm, nen cifrado.
> 
> Teño o sleuthkit+autopsy instalado e a traballar (aparentemente); e agora?

A ver, a miña opinión: o primeiro paso e facer un volcado de toda a 
partición a un ficheiro imaxe, con dd (ou algunha das súas variantes, 
dd-rescue e tal), e a partires de ahí, traballa sobre esa imaxe.

Sleuthkit non te vai servir de moito, ata onde eu sei, xa que non teñe 
técnicas directas para recuperar información en sistemas de ficheiros 
con journaling (ext3, reiser e demais). Para poderes traballar en ext3, 
tes dúas opcións: ataques basados nas señas según tipo de arquivo 
(foremost, photorec), ou ataques ó journaling. Sobre ésto, aquí tes un 
par de ligazóns:

*Un artículo de Brian Carrier, autor do Sleuth Kit, explicando mellor o 
que acabo de escribir:
http://linux.sys-con.com/read/117909.htm

*Un máis recente artículo de Carlo Wood, onde explica o que el pasou 
para recuperar información que perdera nunha situación similar:
http://www.xs4all.nl/~carlo17/howto/undelete_ext3.html


-- 
Francisco J. Tsao Santín
http://tsao.enelparaiso.org
1024D/71CF4D62  42 F1 53 35 EF 98 98 8A FC 6C 56 B3 4C A7 7D FB

Responderlle a