Hallo Liste,
so, die Lösung ist gefunden - aber sie ist leider nicht recht benutzbar!
Es war ein Ordner, 8,2 MB, mit vielen gesammelten Daten, meist Auszügen von
Artikeln, intern stark verlinkt -auf einer ext3 - Partition.
Jetzt sind die Daten als solche da, aber man kann in dieser Form nichts damit
anfangen. Jetzt die Beschreibug für Diejenigen, denen etwas Ähnliches mal
passiert:
1. Man muss die Kiste sofort ausmachen, indem man einfach den Strom abstellt.
Es ist wichtig sie nicht (!) herunterzufahren. - Sodann verhindert man, in
meinem Fall mit einer Live-CD, dass eine weitere Installation auf der Kiste,
wenn man sie später hochfährt, diese fragliche Partition mountet (indem man
die etc/fstab dieser Installation verändert).
Es ist auch sinnvoll zuerst mit "dd if=/dev/hda8 of=/mnt/hdb8/hda8.img"
die fragliche Partition Punkt für Punkt woandershin zu kopieren, falls man
später ein vermeintlich besseres Datensicherungstool haben kann.
2. Nach einem Tag der Suche fand ich die Lösung hier:
http://www.oreilly.de/catalog/knoppixhksger/chapter/hack58.html
"Das liegt daran, dass Linux den Verweis auf eine Datei löscht, wenn die Datei
entfernt wird, und dass Linux diese Datei nicht mehr weiter verfolgt, außer
dass es feststellt, dass der Speicherplatz frei ist. Wenn Sie aber
versehentlich eine sehr wichtige Datei entfernt haben, dann gibt es noch eine
Chance, dass Sie die Datei mit Hilfe der Utilities unrm und lazarus, die als
Bestandteil des Coroner's Toolkit
(http://www.porcupine.org/forensics/tct.html) enthalten sind,
wiederherstellen können - vor allem dann, wenn die Datei klein ist.
Wenn Sie gerade eine Datei gelöscht haben, die Sie gerne wiederherstellen
möchten, dann schalten Sie die Maschine jetzt aus! Das Utility unrm
funktioniert so, dass es Dateien aus dem freien Speicherplatz Ihrer
Festplatte wiederherstellt. Wenn Sie eine Datei löschen, entfernt das System
den Verweis auf den Speicherplatz dieser Datei und fügt den frei gewordenen
Speicherplatz zum freien Speicherplatz des Systems hinzu. Es überschreibt
dieses Segment der Festplatte aber nicht wirklich mit Nullen. Obwohl Sie zwar
tatsächlich nicht mehr länger auf die Datei zugreifen können, gibt es die
Datei doch noch so lange, bis eine neue Datei über diese Datei geschrieben
wird. Je länger das System läuft, umso größer ist die Wahrscheinlichkeit,
dass eine neue Datei, die auf die Festplatte geschrieben wird, über diesen
Speicherplatz geschrieben wird. Setzen Sie Knoppix für die
Dateiwiederherstellung ein, um die Partition auszuhängen, die Sie scannen
möchten, und beseitigen Sie dabei die Gefahr, dass neue Dateien über die
Dateien geschrieben werden, die Sie gerade wiederherstellen."
Mit den Programmen unrm und lazarus, die ich beide auf Knoppix 3.3 hatte, war
es möglich diese Daten genau nach der gegebenen Beschreibung
wiederherzustellen. Sie liegen dann aber in so "zerschossener" Form war dass
sich das nur lohnt, wenn man kleine, extrem wertvolle "Dateisplitter" hat,
die man anhand von behaltenen Informationen mit z.B. grep wiederfinden kann.
3. Es gibt ein zweites, vom US-Militär unter Linux entwickeltes Programm,
welches ganz anders arbeitet.
" Foremost was written by Special Agent Kris Kendall and Special Agent Jesse
Kornblum of the United States Air Force Office of Special Investigations
starting in March 2001. This program would not be what it is today without
help from (in no particular order): Rob Meekins, Dan Kalil, and Chet
Maciag. This project was inspired by CarvThis, written by the Defense
Computer Forensic Lab in 1999."
Ca. 350 KB, leicht zu installieren. Dieses Programm stellt z.B. alle
html-Dateien der betroffenen Partition wieder her und speichert sie in einen
Ordner "html", alle sxw-Dateien, alle png-Dateien usw. Alle Dateien haben
natürlich keinen Originalnamen mehr, sondern nur eine Nummer. D.h. man müßte
sie alle der Reihe nach öffnen um zu sehen was es ist.
Die Anwendung von foremost war einfach.
Und, ja, rechtzeitiges Backup ist natürlich die einfachste Lösung! Spannend
war die "Reise" in die "Datenforensik" aber schon.
Gruß,
Michael Bischof
--
----------------------------------------------------------------------------
PUG - Penguin User Group Wiesbaden - http://www.pug.org
