Partitionsforensik mit ext3grep, bless & Co.

[RalfGesellensetter]

Hallo,

ich habe bereits leidlich Erfahrung mit Festplattenforensik (Backups 
sind etwas für Feiglinge ;) - und möchte hier einen Fall schildern, der 
mir neue Einblicke in das Ext3-System gibt.

Ausgangssituation: Eine große ext3-Partition (Sidux-Installation incl. 
Home + Daten) wurde versehentlich "überinstalliert" - also neu 
formatiert und nochmals mit Sidux installiert.

Frozen Image:
In der (optimistischen aber weitestgehend zutreffenden) Annahme, dass 
die Formatierung nicht jeden Sektor mit Nullen überschreibt, und Sidux 
seine Dateien ungefähr an dieselbe Stelle schreibt, wie bei der letzten 
Installation, wurde die Partition umgehende r/o gesetzt und per "dd" als 
Imagedatei eingefroren.

Es gibt nun verschiedene Tools wie ext3grep, die Sektoren einzeln 
auslesen, nach inodes mit Verzeichnissen suchen usw. Diese sehen aber 
v.a. das neue System.

Mit einem reinen Grep konnte ich z.B. schon eine Textdatei aufspüren. 
Die meisten Hexeditoren (selbst lfhexedit) versagten allerdings bei 
einer 10GB-Datei, allein "bless" war in der Lage, das Image komfortabel 
nach Spuren zu durchsuchen und diese per C&P zu exportieren.

Nun ist ganz offensichtlich ein Problem, dass die Dateien aus dem neuen 
(überschreibenden, gültigen) Ext3-System den Blick auf die alten Daten 
verstellen. 

Es wäre also vielleicht eine sinnvolle Herangehensweise, alle Dateien 
dort mit Nullen zu füllen (nur wie?).
Alternativ könnte man eine Imagekopie machen, die nur unbenutzte Inodes 
des neuen Filesystems enthält.

Anregungen - Ideen willkommen.
Gruß
Ralf