Linux Digest, Vol 76, Issue 12

[dirk tersteegen]

linux-request at lug-owl.de schrieb:
> Send Linux mailing list submissions to
> 	linux at lug-owl.de
>
> To subscribe or unsubscribe via the World Wide Web, visit
> 	http://lug-owl.de/mailman/listinfo/linux
> or, via email, send a message with subject or body 'help' to
> 	linux-request at lug-owl.de
>
> You can reach the person managing the list at
> 	linux-owner at lug-owl.de
>
> When replying, please edit your Subject line so it is more specific
> than "Re: Contents of Linux digest..."
>   
> ------------------------------------------------------------------------
>
> Today's Topics:
>
>    1. Partitionsforensik mit ext3grep, bless & Co. (RalfGesellensetter)
>    2. Re: Partitionsforensik mit ext3grep, bless & Co.
>       (Jan 'RedBully' Seiffert)
>    3. Re: Partitionsforensik mit ext3grep, bless & Co.
>       (Holger van Lengerich)
>   
>
> ------------------------------------------------------------------------
>
> Betreff:
> Partitionsforensik mit ext3grep, bless & Co.
> Von:
> RalfGesellensetter <Ralf.Gesellensetter at web.de>
> Datum:
> Sun, 16 Aug 2009 13:41:37 +0200
> An:
> linux at lug-owl.de
>
> An:
> linux at lug-owl.de
>
>
> Hallo,
>
> ich habe bereits leidlich Erfahrung mit Festplattenforensik (Backups 
> sind etwas für Feiglinge ;) - und möchte hier einen Fall schildern, der 
> mir neue Einblicke in das Ext3-System gibt.
>
> Ausgangssituation: Eine große ext3-Partition (Sidux-Installation incl. 
> Home + Daten) wurde versehentlich "überinstalliert" - also neu 
> formatiert und nochmals mit Sidux installiert.
>
> Frozen Image:
> In der (optimistischen aber weitestgehend zutreffenden) Annahme, dass 
> die Formatierung nicht jeden Sektor mit Nullen überschreibt, und Sidux 
> seine Dateien ungefähr an dieselbe Stelle schreibt, wie bei der letzten 
> Installation, wurde die Partition umgehende r/o gesetzt und per "dd" als 
> Imagedatei eingefroren.
>
> Es gibt nun verschiedene Tools wie ext3grep, die Sektoren einzeln 
> auslesen, nach inodes mit Verzeichnissen suchen usw. Diese sehen aber 
> v.a. das neue System.
>
> Mit einem reinen Grep konnte ich z.B. schon eine Textdatei aufspüren. 
> Die meisten Hexeditoren (selbst lfhexedit) versagten allerdings bei 
> einer 10GB-Datei, allein "bless" war in der Lage, das Image komfortabel 
> nach Spuren zu durchsuchen und diese per C&P zu exportieren.
>
> Nun ist ganz offensichtlich ein Problem, dass die Dateien aus dem neuen 
> (überschreibenden, gültigen) Ext3-System den Blick auf die alten Daten 
> verstellen. 
>
> Es wäre also vielleicht eine sinnvolle Herangehensweise, alle Dateien 
> dort mit Nullen zu füllen (nur wie?).
> Alternativ könnte man eine Imagekopie machen, die nur unbenutzte Inodes 
> des neuen Filesystems enthält.
>
> Anregungen - Ideen willkommen.
> Gruß
> Ralf
>
>   
Ich habe gerade neulich aus einer HDD eines Festplatten-Recorders, der 
leider einen irreparablen Netzteilschaden erlitten hat, mehrere Filme 
wieder herstellen können (ca. 130gb).
Dafür habe ich "photorec" aus dem debian-paket "testdisk" benutzt.
ich habe es als root auf die komplette platte (/dev/sdb) losgelassen.
laut beschreibung kann es ca 20 Dateitypen erkennen (jpg,mpeg,doc,...).

mfg
dirk t.