[linux-l] gelöschte Dateien wiederherstellen

[Steffen Schulz]

On Fri, Feb 28, 2003 at 03:36:53PM +0100, Oliver Beck wrote:
> On Fri, 28 Feb 2003 14:25:45 +0100
> Oswald Buddenhagen <ossi at kde.org> wrote:
> 
> > du kannst übliche undelete-tools vergessen, weil die nämlich auf
> > intakten dateisystemstrukturen aufsetzen (gelöschte inodes sind nur
> > als solche markiert, aber nicht tatsächlich leergefegt). da du ein
> > neues fs drübergebügelt hast, sind sämtliche file meta data browser
> > nutzlos.
> 
> hmm, ich kann nur nochmals auf TASK/autopsy hinweisen.
> als erstes wir mittels 'dd' ein image der zu bearbeitetenden partition
> erstellt. danach wird die datei mit task geoeffnet, dass sich mehrerer
> moeglichkeiten bedient, die daten aus dem image zu retten.

Ich konnte mit "dls $image" meine Daten wie gesagt sehen.
Sie werden durch Zeichensequenzen getrennt. Es sind verdammt viele und
es ist nicht nur ascii. Was ich bräuchte, wär ein tool, das die
Dateigrenzen findet und daraus echte Dateien erzeugt. sorter kommt dem
am nächsten, das baut aber auch auf inodes auf.

> man kann die inode-table durchsuchen, hat eine art dateibrowser (wenn
> das noch mit den daten moeglich ist) und kann die daten mit autopsy
> 'bequem' auslesen.

Was ich eben per autospy hinbekommen habe, ist nen dump beliebiger
blöcke, also dls wie oben. Die restlichen Funktionen scheinen nicht zu
funktionieren, wohl, weil halt alle Inodes weg sind. Ich kann zwar im
Webinterfache dann ein ge"dump"tes "fragment" "extract"en, aber da kann
ich auch dls > backup.raw machen.

Das Problem ist, die Dateien dort rauszufischen.

Aber dls ist erstmal gut, um einiges besser als cat oder hexedit.

Vielleicht kann man mit standard-tools was zusammenbauen, wie
for i in cat $image.raw; do echo "$i" > file.$seq; done

Aber der Trenner zwischen den Werten für i wird hier wie gesagt als
Sonderzeichen-Kette dargestellt und echo wird mit binärdaten eher
weniger gut funktionieren...*grrr*