Re: [OT] Perdin toooooda a caixa de correo
On Mon, May 26, 2008 at 06:02:25PM +0200, mvillarino wrote: > Ext3, actualmente desmontado (mais non podo asegurar que non se > empregase área de datos do inbox/outbox para algunha cousa interna) > Partición primaria, única do disco /dev/hdb > Non, nesta máquina non emprego lvm, nen cifrado. > > Teño o sleuthkit+autopsy instalado e a traballar (aparentemente); e agora? A ver, a miña opinión: o primeiro paso e facer un volcado de toda a partición a un ficheiro imaxe, con dd (ou algunha das súas variantes, dd-rescue e tal), e a partires de ahí, traballa sobre esa imaxe. Sleuthkit non te vai servir de moito, ata onde eu sei, xa que non teñe técnicas directas para recuperar información en sistemas de ficheiros con journaling (ext3, reiser e demais). Para poderes traballar en ext3, tes dúas opcións: ataques basados nas señas según tipo de arquivo (foremost, photorec), ou ataques ó journaling. Sobre ésto, aquí tes un par de ligazóns: *Un artículo de Brian Carrier, autor do Sleuth Kit, explicando mellor o que acabo de escribir: http://linux.sys-con.com/read/117909.htm *Un máis recente artículo de Carlo Wood, onde explica o que el pasou para recuperar información que perdera nunha situación similar: http://www.xs4all.nl/~carlo17/howto/undelete_ext3.html -- Francisco J. Tsao Santín http://tsao.enelparaiso.org 1024D/71CF4D62 42 F1 53 35 EF 98 98 8A FC 6C 56 B3 4C A7 7D FB
Re: [OT] Perdin toooooda a caixa de correo
2008/5/26 : > Marce > > Non vou poder responderche inmediatamente estou a mil e necesito localizar > primeiro as notas. O que eu empreguei non funcionaba con ext3 e consistía > nunha primeira lectura do sistema de ficheiros que tardaba bastante > tempo (era como poñelo en modo promiscuo ou algo así), despois facer a > busca polo nome do ficheiro, ver o contido do apuntado polo inodo e > despois restaurar a un ficheiro temporal doutra partición. Eu non > desesperaría, tomaríamo con calma e sobre todo non me precipitaría a > facer cousas sen lerme ben antes a documentación. Cunha única primaria > sen lvm ou cifrado un ficheiro borrado o sobreescrito debería ser fácil > de recuperar, a non ser claro que haxa un fallo físico do próprio disco. > > Miraches o messages a ver qué pasou? Fíxate antes da data do casque: > problemas coa controladora? Seeking skips? Disconnect on error? Lánzalle > greps aos logs con 'hdb' case insensitive. Emprega hdparm para encendelo > e apagalo é fíxate no ruído: bucles? clacks? > > En fin, que antes de poñerse a fedellar no filesystem, descarta erro > físico do próprio disco (xa me supoño que funcionará ben e que o > problema estivo na ram) e así a min dasme algo de tempo (ou a quen sexa > para que te conte o seu truco si se da o caso). > > E digo eu que igual era bó seguir a conversa en privado pra non darlle a > brasa á peña. Se ao final consigues recuperalo cóntaslle o tema e todo > ese correo que lles aforramos. A min interesame. Bótanme da biblio. Ata logo, Leandro Regueiro
Re: [OT] Perdin toooooda a caixa de correo
Marce Non vou poder responderche inmediatamente estou a mil e necesito localizar primeiro as notas. O que eu empreguei non funcionaba con ext3 e consistía nunha primeira lectura do sistema de ficheiros que tardaba bastante tempo (era como poñelo en modo promiscuo ou algo así), despois facer a busca polo nome do ficheiro, ver o contido do apuntado polo inodo e despois restaurar a un ficheiro temporal doutra partición. Eu non desesperaría, tomaríamo con calma e sobre todo non me precipitaría a facer cousas sen lerme ben antes a documentación. Cunha única primaria sen lvm ou cifrado un ficheiro borrado o sobreescrito debería ser fácil de recuperar, a non ser claro que haxa un fallo físico do próprio disco. Miraches o messages a ver qué pasou? Fíxate antes da data do casque: problemas coa controladora? Seeking skips? Disconnect on error? Lánzalle greps aos logs con 'hdb' case insensitive. Emprega hdparm para encendelo e apagalo é fíxate no ruído: bucles? clacks? En fin, que antes de poñerse a fedellar no filesystem, descarta erro físico do próprio disco (xa me supoño que funcionará ben e que o problema estivo na ram) e así a min dasme algo de tempo (ou a quen sexa para que te conte o seu truco si se da o caso). E digo eu que igual era bó seguir a conversa en privado pra non darlle a brasa á peña. Se ao final consigues recuperalo cóntaslle o tema e todo ese correo que lles aforramos. Saúdos, mvillarino escrebeu: > Continúo: supoño que teño que localizar os inodos descastados do > antigo ~/Mail, e asinarlles un nome. Como o fago? > > 2008/5/26, mvillarino : > > Ext3, actualmente desmontado (mais non podo asegurar que non se > > empregase área de datos do inbox/outbox para algunha cousa interna) > > Partición primaria, única do disco /dev/hdb > > Non, nesta máquina non emprego lvm, nen cifrado. > > > > Teño o sleuthkit+autopsy instalado e a traballar (aparentemente); e agora? > > > > > -- > To unsubscribe, send mail to proxecto-unsubscr...@trasno.net.
Re: [OT] Perdin toooooda a caixa de correo
Continúo: supoño que teño que localizar os inodos descastados do antigo ~/Mail, e asinarlles un nome. Como o fago? 2008/5/26, mvillarino : > Ext3, actualmente desmontado (mais non podo asegurar que non se > empregase área de datos do inbox/outbox para algunha cousa interna) > Partición primaria, única do disco /dev/hdb > Non, nesta máquina non emprego lvm, nen cifrado. > > Teño o sleuthkit+autopsy instalado e a traballar (aparentemente); e agora? >
Re: [OT] Perdin toooooda a caixa de correo
Ext3, actualmente desmontado (mais non podo asegurar que non se empregase área de datos do inbox/outbox para algunha cousa interna) Partición primaria, única do disco /dev/hdb Non, nesta máquina non emprego lvm, nen cifrado. Teño o sleuthkit+autopsy instalado e a traballar (aparentemente); e agora?
Re: [OT] Perdin toooooda a caixa de correo
Proba con ficheiro/Importar mensaxes e diríxeo cara ese arquivo. Xosé O Monday 26 May 2008 12:38:33 mvillarino escribiu: > SOCORROO! > > Pois a ver, tras unha serie de apagados/encendidos, a causa de flipes > totais do ordenador, causados por unha placa de memoria que morreu > por cachos, resulta que agora reinicio o ordenador e ~/Mail non é o > cartafol que tiña que ser, senón un ficheiro (non vos envío o seu > contido porque contén datos privados). > Entón, que pasou? Sería posíbel procurar o inodo orixinalo u algún > inodo perdido polo disco duro de /home e asociarlle de novo un nome de > ficheiro, a ver se así vai? > > Toda axuda será benvida. > > Nota: Jeje, como mola, estamos no 83%, e habemos subir máis ;-)
Re: [OT] Perdin toooooda a caixa de correo
Eu teño recuperado ficheiros en circunstancias así. Para que as técnicas de restauración funcionen é fundamental que non toques a táboa de particións nin o sistema de ficheiros e que desconectes o disco en cuestión. Se precisas seguir traballando sobre ises datos, entón faille unha imaxe e traballa sobre a imaxe, o disco a recuperar non debes tocalo. E despois terás que aplicar as técnicas de restauración que son un pouco coñazo pero non son moi complexas. Estas técnicas poden aplicarse ou non en función de: - sistema de ficheiros? - partición primaria? - lvm? - encriptación? Saúdos, mvillarino escrebeu: > SOCORROO! > > Pois a ver, tras unha serie de apagados/encendidos, a causa de flipes > totais do ordenador, causados por unha placa de memoria que morreu > por cachos, resulta que agora reinicio o ordenador e ~/Mail non é o > cartafol que tiña que ser, senón un ficheiro (non vos envío o seu > contido porque contén datos privados). > Entón, que pasou? Sería posíbel procurar o inodo orixinalo u algún > inodo perdido polo disco duro de /home e asociarlle de novo un nome de > ficheiro, a ver se así vai? > > Toda axuda será benvida. > > Nota: Jeje, como mola, estamos no 83%, e habemos subir máis ;-) > > > -- > To unsubscribe, send mail to proxecto-unsubscr...@trasno.net.
Re: [OT] Perdin toooooda a caixa de correo
Menuda putada. Nin idea tio, fai unha copia de seguridade de todo o que poidas mentres poidas. Pregunta noutras listas de correo de usuarios de linux, a ver se che poden responder. Ata logo, Leandro Regueiro 2008/5/26 damufo : > Nin idea meu! será ese un ficheiro mbox? > > nota: se podes, tira coa computadora "asasina" de caixas de correo. > > mvillarino escribiu: >> >> SOCORROO! >> >> Pois a ver, tras unha serie de apagados/encendidos, a causa de flipes >> totais do ordenador, causados por unha placa de memoria que morreu >> por cachos, resulta que agora reinicio o ordenador e ~/Mail non é o >> cartafol que tiña que ser, senón un ficheiro (non vos envío o seu >> contido porque contén datos privados). >> Entón, que pasou? Sería posíbel procurar o inodo orixinalo u algún >> inodo perdido polo disco duro de /home e asociarlle de novo un nome de >> ficheiro, a ver se así vai? >> >> Toda axuda será benvida. >> >> Nota: Jeje, como mola, estamos no 83%, e habemos subir máis ;-) >> >> > > > -- > To unsubscribe, send mail to proxecto-unsubscr...@trasno.net. >
Re: [OT] Perdin toooooda a caixa de correo
Nin idea meu! será ese un ficheiro mbox? nota: se podes, tira coa computadora "asasina" de caixas de correo. mvillarino escribiu: SOCORROO! Pois a ver, tras unha serie de apagados/encendidos, a causa de flipes totais do ordenador, causados por unha placa de memoria que morreu por cachos, resulta que agora reinicio o ordenador e ~/Mail non é o cartafol que tiña que ser, senón un ficheiro (non vos envío o seu contido porque contén datos privados). Entón, que pasou? Sería posíbel procurar o inodo orixinalo u algún inodo perdido polo disco duro de /home e asociarlle de novo un nome de ficheiro, a ver se así vai? Toda axuda será benvida. Nota: Jeje, como mola, estamos no 83%, e habemos subir máis ;-)
[OT] Perdin toooooda a caixa de correo
SOCORROO! Pois a ver, tras unha serie de apagados/encendidos, a causa de flipes totais do ordenador, causados por unha placa de memoria que morreu por cachos, resulta que agora reinicio o ordenador e ~/Mail non é o cartafol que tiña que ser, senón un ficheiro (non vos envío o seu contido porque contén datos privados). Entón, que pasou? Sería posíbel procurar o inodo orixinalo u algún inodo perdido polo disco duro de /home e asociarlle de novo un nome de ficheiro, a ver se así vai? Toda axuda será benvida. Nota: Jeje, como mola, estamos no 83%, e habemos subir máis ;-)