docDie Bilder sind weg! Erste Erlebnisse mit Data
download 
Denúncia Transcrição
Die Bilder sind weg! Erste Erlebnisse mit Data
Geschichte Welche Werkzeuge? Vorgehen Fazit Die Bilder sind weg! Erste Erlebnisse mit Data-Recovery Ralph Sontag Chemnitzer Linux User Group 11. Mai 2006 Ralph Sontag Die Bilder sind weg! Erste Erlebnisse mit Data-Re Geschichte Welche Werkzeuge? Vorgehen Fazit Wie kam es dazu? Fälle: 1 Fotoapparat, 750 MByte Bilder, wegen Umzug lange nicht gesichert Karte im Betrieb gezogen ⇒ leer 2 Fujifilm Photosafe, ca. 35 GByte, 21 GByte genutzt. vom Tisch abgestürzt ⇒ Neue Festplatte: formatieren Ja/Nein? Ziel: Fotos retten (Transsib-Reise . . . ) „Ralph, du kennst dich doch mit Computern aus?“ Ralph Sontag Die Bilder sind weg! Geschichte Welche Werkzeuge? Vorgehen Fazit Wie kam es dazu? Fälle: 1 Fotoapparat, 750 MByte Bilder, wegen Umzug lange nicht gesichert Karte im Betrieb gezogen ⇒ leer 2 Fujifilm Photosafe, ca. 35 GByte, 21 GByte genutzt. vom Tisch abgestürzt ⇒ Neue Festplatte: formatieren Ja/Nein? Ziel: Fotos retten (Transsib-Reise . . . ) „Ralph, du kennst dich doch mit Computern aus?“ Ralph Sontag Die Bilder sind weg! Geschichte Welche Werkzeuge? Vorgehen Fazit Ausgangslage Geräte hardwareseitig äußerlich in Ordnung Geräte wurden vom System erkannt ⇒ kein besonderes Hardware-Wissen nötig ⇒ Sicherung der Rohdaten möglich keine vorangegangenen schreibenden Versuche Schnelle Lösung gesucht, kein Expertenkurs für Partitionstabellen, Filesysteme und Datenstrukturen Ralph Sontag Die Bilder sind weg! Geschichte Welche Werkzeuge? Vorgehen Fazit Ausgangslage Geräte hardwareseitig äußerlich in Ordnung Geräte wurden vom System erkannt ⇒ kein besonderes Hardware-Wissen nötig ⇒ Sicherung der Rohdaten möglich keine vorangegangenen schreibenden Versuche Schnelle Lösung gesucht, kein Expertenkurs für Partitionstabellen, Filesysteme und Datenstrukturen Ralph Sontag Die Bilder sind weg! Geschichte Welche Werkzeuge? Vorgehen Fazit Ausgangslage Geräte hardwareseitig äußerlich in Ordnung Geräte wurden vom System erkannt ⇒ kein besonderes Hardware-Wissen nötig ⇒ Sicherung der Rohdaten möglich keine vorangegangenen schreibenden Versuche Schnelle Lösung gesucht, kein Expertenkurs für Partitionstabellen, Filesysteme und Datenstrukturen Ralph Sontag Die Bilder sind weg! Geschichte Welche Werkzeuge? Vorgehen Fazit Ausgangslage Geräte hardwareseitig äußerlich in Ordnung Geräte wurden vom System erkannt ⇒ kein besonderes Hardware-Wissen nötig ⇒ Sicherung der Rohdaten möglich keine vorangegangenen schreibenden Versuche Schnelle Lösung gesucht, kein Expertenkurs für Partitionstabellen, Filesysteme und Datenstrukturen Ralph Sontag Die Bilder sind weg! Geschichte Welche Werkzeuge? Vorgehen Fazit Computer-Forensik Enger Zusammenhang keine gerichtsfesten Protokolle nötig keine Log-Datenanalyse usw. kein menschlicher „Gegner“ keine Hauptspeicheranalyse, keine manipulierten Programme aber vielleicht ein paar brauchbare Werkzeuge? Ralph Sontag Die Bilder sind weg! Geschichte Welche Werkzeuge? Vorgehen Fazit Computer-Forensik Enger Zusammenhang keine gerichtsfesten Protokolle nötig keine Log-Datenanalyse usw. kein menschlicher „Gegner“ keine Hauptspeicheranalyse, keine manipulierten Programme aber vielleicht ein paar brauchbare Werkzeuge? Ralph Sontag Die Bilder sind weg! Geschichte Welche Werkzeuge? Vorgehen Fazit Computer-Forensik Enger Zusammenhang keine gerichtsfesten Protokolle nötig keine Log-Datenanalyse usw. kein menschlicher „Gegner“ keine Hauptspeicheranalyse, keine manipulierten Programme aber vielleicht ein paar brauchbare Werkzeuge? Ralph Sontag Die Bilder sind weg! Geschichte Welche Werkzeuge? Vorgehen Fazit Computer-Forensik Enger Zusammenhang keine gerichtsfesten Protokolle nötig keine Log-Datenanalyse usw. kein menschlicher „Gegner“ keine Hauptspeicheranalyse, keine manipulierten Programme aber vielleicht ein paar brauchbare Werkzeuge? Ralph Sontag Die Bilder sind weg! Geschichte Welche Werkzeuge? Vorgehen Fazit Computer-Forensik Enger Zusammenhang keine gerichtsfesten Protokolle nötig keine Log-Datenanalyse usw. kein menschlicher „Gegner“ keine Hauptspeicheranalyse, keine manipulierten Programme aber vielleicht ein paar brauchbare Werkzeuge? Ralph Sontag Die Bilder sind weg! Geschichte Welche Werkzeuge? Vorgehen Fazit Computer-Forensik Enger Zusammenhang keine gerichtsfesten Protokolle nötig keine Log-Datenanalyse usw. kein menschlicher „Gegner“ keine Hauptspeicheranalyse, keine manipulierten Programme aber vielleicht ein paar brauchbare Werkzeuge? Ralph Sontag Die Bilder sind weg! Geschichte Welche Werkzeuge? Vorgehen Fazit Sourceforge, WWW reichhaltige Auswahl, speziell für jpg höchst unterschiedliche Leistungsfähigkeit viel für Windows Ralph Sontag Die Bilder sind weg! Geschichte Welche Werkzeuge? Vorgehen Fazit Sourceforge, WWW reichhaltige Auswahl, speziell für jpg höchst unterschiedliche Leistungsfähigkeit viel für Windows Ralph Sontag Die Bilder sind weg! Geschichte Welche Werkzeuge? Vorgehen Fazit Sourceforge, WWW reichhaltige Auswahl, speziell für jpg höchst unterschiedliche Leistungsfähigkeit viel für Windows Ralph Sontag Die Bilder sind weg! Geschichte Welche Werkzeuge? Vorgehen Fazit 1. Daten sichern! Platten mit dd sichern! war in beiden Fällen möglich dd if=/dev/hda of=DiskIMG Optionen bs (blocksize) und conv=noerror,sync (continue after read errors, pad every input block with NULs to ibs-size) evtl. auch ddrescue nutzen – kann von hinten lesen Viel Zeit einplanen . . . Wenn möglich: Auch diese Kopie niemals beschreiben! Ralph Sontag Die Bilder sind weg! Geschichte Welche Werkzeuge? Vorgehen Fazit 1. Daten sichern! Platten mit dd sichern! war in beiden Fällen möglich dd if=/dev/hda of=DiskIMG Optionen bs (blocksize) und conv=noerror,sync (continue after read errors, pad every input block with NULs to ibs-size) evtl. auch ddrescue nutzen – kann von hinten lesen Viel Zeit einplanen . . . Wenn möglich: Auch diese Kopie niemals beschreiben! Ralph Sontag Die Bilder sind weg! Geschichte Welche Werkzeuge? Vorgehen Fazit 1. Daten sichern! Platten mit dd sichern! war in beiden Fällen möglich dd if=/dev/hda of=DiskIMG Optionen bs (blocksize) und conv=noerror,sync (continue after read errors, pad every input block with NULs to ibs-size) evtl. auch ddrescue nutzen – kann von hinten lesen Viel Zeit einplanen . . . Wenn möglich: Auch diese Kopie niemals beschreiben! Ralph Sontag Die Bilder sind weg! Geschichte Welche Werkzeuge? Vorgehen Fazit 1. Daten sichern! Platten mit dd sichern! war in beiden Fällen möglich dd if=/dev/hda of=DiskIMG Optionen bs (blocksize) und conv=noerror,sync (continue after read errors, pad every input block with NULs to ibs-size) evtl. auch ddrescue nutzen – kann von hinten lesen Viel Zeit einplanen . . . Wenn möglich: Auch diese Kopie niemals beschreiben! Ralph Sontag Die Bilder sind weg! Geschichte Welche Werkzeuge? Vorgehen Fazit 1. Daten sichern! Platten mit dd sichern! war in beiden Fällen möglich dd if=/dev/hda of=DiskIMG Optionen bs (blocksize) und conv=noerror,sync (continue after read errors, pad every input block with NULs to ibs-size) evtl. auch ddrescue nutzen – kann von hinten lesen Viel Zeit einplanen . . . Wenn möglich: Auch diese Kopie niemals beschreiben! Ralph Sontag Die Bilder sind weg! Geschichte Welche Werkzeuge? Vorgehen Fazit 1. Daten sichern! Platten mit dd sichern! war in beiden Fällen möglich dd if=/dev/hda of=DiskIMG Optionen bs (blocksize) und conv=noerror,sync (continue after read errors, pad every input block with NULs to ibs-size) evtl. auch ddrescue nutzen – kann von hinten lesen Viel Zeit einplanen . . . Wenn möglich: Auch diese Kopie niemals beschreiben! Ralph Sontag Die Bilder sind weg! Geschichte Welche Werkzeuge? Vorgehen Fazit Mounten als loop-Device Normalerweise: mount -o loop,ro DiskIMG /mountpoint Voraussetzung: Datei enthält Filesystem! mount kümmert sich um das Setup des Loop-Device Bei ganzen Platten: mit Offset mounten! losetup /dev/loop8 DiskIMG mount DiskIMG /mountpoint -o ro,loop,offset=NR ... umount /mountpoint losetup -d /dev/loop8 Ralph Sontag Die Bilder sind weg! Geschichte Welche Werkzeuge? Vorgehen Fazit Mounten als loop-Device Normalerweise: mount -o loop,ro DiskIMG /mountpoint Voraussetzung: Datei enthält Filesystem! mount kümmert sich um das Setup des Loop-Device Bei ganzen Platten: mit Offset mounten! losetup /dev/loop8 DiskIMG mount DiskIMG /mountpoint -o ro,loop,offset=NR ... umount /mountpoint losetup -d /dev/loop8 Ralph Sontag Die Bilder sind weg! Geschichte Welche Werkzeuge? Vorgehen Fazit Mounten als loop-Device Normalerweise: mount -o loop,ro DiskIMG /mountpoint Voraussetzung: Datei enthält Filesystem! mount kümmert sich um das Setup des Loop-Device Bei ganzen Platten: mit Offset mounten! losetup /dev/loop8 DiskIMG mount DiskIMG /mountpoint -o ro,loop,offset=NR ... umount /mountpoint losetup -d /dev/loop8 Ralph Sontag Die Bilder sind weg! Geschichte Welche Werkzeuge? Vorgehen Fazit Mounten als loop-Device Normalerweise: mount -o loop,ro DiskIMG /mountpoint Voraussetzung: Datei enthält Filesystem! mount kümmert sich um das Setup des Loop-Device Bei ganzen Platten: mit Offset mounten! losetup /dev/loop8 DiskIMG mount DiskIMG /mountpoint -o ro,loop,offset=NR ... umount /mountpoint losetup -d /dev/loop8 Ralph Sontag Die Bilder sind weg! Geschichte Welche Werkzeuge? Vorgehen Fazit Berechnung des Offsets Quelle: http://blogs.23.nu/fnord/ Partitionstabelle auflisten, mit Sektorenangabe: fdisk -ul /dev/loop8 Disk /dev/loop8: 159 MB, 159989760 bytes 32 heads, 63 sectors/track, 155 cylinders, total 312480 sectors Units = sectors of 1 * 512 = 512 bytes Device Boot Start End Blocks Id System /dev/loop8p1 63 52415 26176+ 4 FAT16 <32M /dev/loop8p2 52416 104831 26208 4 FAT16 <32M /dev/loop8p3 104832 157247 26208 4 FAT16 <32M /dev/loop8p4 157248 312479 77616 5 Extended /dev/loop8p5 157311 209663 26176+ 4 FAT16 <32M /dev/loop8p6 262143 312479 25168+ 6 FAT16 Damit bestimmt sich das Offset z.B.: offset=`echo 63*512| bc` offset=`echo 157311*512| bc` Ralph Sontag Die Bilder sind weg! Geschichte Welche Werkzeuge? Vorgehen Fazit Erste Experimente dosfsck – erzeugte leeres Verzeichnis dcim/100olymp fatundel, jpg-recover, fatback – kein Erfolg sleuthkit Version 2.06: Sammlung Unix-basierter Kommandozeilentools. Unterstützt viele Filesysteme: File System Layer Tools: fsstat File Name Layer Tools: ffind, fls Meta Data Layer Tools: icat, ifind, ils, istat Data Unis Layer Tools: dcat, dls, dstat, dcalc File System Journal Tools: jcat, jls Media Management Tools: mmls Image File Tools: img_stat, img_cat Disk Tools: disk_sreset, disk_stat Other Tools: hfind, mactime, sorter autopsy: „Forensic Browser“ Webfrontend für Kommandozeilentools Sleuth Kit Ralph Sontag Die Bilder sind weg! Geschichte Welche Werkzeuge? Vorgehen Fazit Erste Experimente dosfsck – erzeugte leeres Verzeichnis dcim/100olymp fatundel, jpg-recover, fatback – kein Erfolg sleuthkit Version 2.06: Sammlung Unix-basierter Kommandozeilentools. Unterstützt viele Filesysteme: File System Layer Tools: fsstat File Name Layer Tools: ffind, fls Meta Data Layer Tools: icat, ifind, ils, istat Data Unis Layer Tools: dcat, dls, dstat, dcalc File System Journal Tools: jcat, jls Media Management Tools: mmls Image File Tools: img_stat, img_cat Disk Tools: disk_sreset, disk_stat Other Tools: hfind, mactime, sorter autopsy: „Forensic Browser“ Webfrontend für Kommandozeilentools Sleuth Kit Ralph Sontag Die Bilder sind weg! Geschichte Welche Werkzeuge? Vorgehen Fazit Erste Experimente dosfsck – erzeugte leeres Verzeichnis dcim/100olymp fatundel, jpg-recover, fatback – kein Erfolg sleuthkit Version 2.06: Sammlung Unix-basierter Kommandozeilentools. Unterstützt viele Filesysteme: File System Layer Tools: fsstat File Name Layer Tools: ffind, fls Meta Data Layer Tools: icat, ifind, ils, istat Data Unis Layer Tools: dcat, dls, dstat, dcalc File System Journal Tools: jcat, jls Media Management Tools: mmls Image File Tools: img_stat, img_cat Disk Tools: disk_sreset, disk_stat Other Tools: hfind, mactime, sorter autopsy: „Forensic Browser“ Webfrontend für Kommandozeilentools Sleuth Kit Ralph Sontag Die Bilder sind weg! Geschichte Welche Werkzeuge? Vorgehen Fazit Erste Experimente dosfsck – erzeugte leeres Verzeichnis dcim/100olymp fatundel, jpg-recover, fatback – kein Erfolg sleuthkit Version 2.06: Sammlung Unix-basierter Kommandozeilentools. Unterstützt viele Filesysteme: File System Layer Tools: fsstat File Name Layer Tools: ffind, fls Meta Data Layer Tools: icat, ifind, ils, istat Data Unis Layer Tools: dcat, dls, dstat, dcalc File System Journal Tools: jcat, jls Media Management Tools: mmls Image File Tools: img_stat, img_cat Disk Tools: disk_sreset, disk_stat Other Tools: hfind, mactime, sorter autopsy: „Forensic Browser“ Webfrontend für Kommandozeilentools Sleuth Kit Ralph Sontag Die Bilder sind weg! Geschichte Welche Werkzeuge? Vorgehen Fazit Erste Experimente dosfsck – erzeugte leeres Verzeichnis dcim/100olymp fatundel, jpg-recover, fatback – kein Erfolg sleuthkit Version 2.06: Sammlung Unix-basierter Kommandozeilentools. Unterstützt viele Filesysteme: File System Layer Tools: fsstat File Name Layer Tools: ffind, fls Meta Data Layer Tools: icat, ifind, ils, istat Data Unis Layer Tools: dcat, dls, dstat, dcalc File System Journal Tools: jcat, jls Media Management Tools: mmls Image File Tools: img_stat, img_cat Disk Tools: disk_sreset, disk_stat Other Tools: hfind, mactime, sorter autopsy: „Forensic Browser“ Webfrontend für Kommandozeilentools Sleuth Kit Ralph Sontag Die Bilder sind weg! Geschichte Welche Werkzeuge? Vorgehen Fazit Erste Experimente dosfsck – erzeugte leeres Verzeichnis dcim/100olymp fatundel, jpg-recover, fatback – kein Erfolg sleuthkit Version 2.06: Sammlung Unix-basierter Kommandozeilentools. Unterstützt viele Filesysteme: File System Layer Tools: fsstat File Name Layer Tools: ffind, fls Meta Data Layer Tools: icat, ifind, ils, istat Data Unis Layer Tools: dcat, dls, dstat, dcalc File System Journal Tools: jcat, jls Media Management Tools: mmls Image File Tools: img_stat, img_cat Disk Tools: disk_sreset, disk_stat Other Tools: hfind, mactime, sorter autopsy: „Forensic Browser“ Webfrontend für Kommandozeilentools Sleuth Kit Ralph Sontag Die Bilder sind weg! Geschichte Welche Werkzeuge? Vorgehen Fazit Erste Experimente dosfsck – erzeugte leeres Verzeichnis dcim/100olymp fatundel, jpg-recover, fatback – kein Erfolg sleuthkit Version 2.06: Sammlung Unix-basierter Kommandozeilentools. Unterstützt viele Filesysteme: File System Layer Tools: fsstat File Name Layer Tools: ffind, fls Meta Data Layer Tools: icat, ifind, ils, istat Data Unis Layer Tools: dcat, dls, dstat, dcalc File System Journal Tools: jcat, jls Media Management Tools: mmls Image File Tools: img_stat, img_cat Disk Tools: disk_sreset, disk_stat Other Tools: hfind, mactime, sorter autopsy: „Forensic Browser“ Webfrontend für Kommandozeilentools Sleuth Kit Ralph Sontag Die Bilder sind weg! Geschichte Welche Werkzeuge? Vorgehen Fazit Erste Experimente dosfsck – erzeugte leeres Verzeichnis dcim/100olymp fatundel, jpg-recover, fatback – kein Erfolg sleuthkit Version 2.06: Sammlung Unix-basierter Kommandozeilentools. Unterstützt viele Filesysteme: File System Layer Tools: fsstat File Name Layer Tools: ffind, fls Meta Data Layer Tools: icat, ifind, ils, istat Data Unis Layer Tools: dcat, dls, dstat, dcalc File System Journal Tools: jcat, jls Media Management Tools: mmls Image File Tools: img_stat, img_cat Disk Tools: disk_sreset, disk_stat Other Tools: hfind, mactime, sorter autopsy: „Forensic Browser“ Webfrontend für Kommandozeilentools Sleuth Kit Ralph Sontag Die Bilder sind weg! Geschichte Welche Werkzeuge? Vorgehen Fazit Erste Experimente dosfsck – erzeugte leeres Verzeichnis dcim/100olymp fatundel, jpg-recover, fatback – kein Erfolg sleuthkit Version 2.06: Sammlung Unix-basierter Kommandozeilentools. Unterstützt viele Filesysteme: File System Layer Tools: fsstat File Name Layer Tools: ffind, fls Meta Data Layer Tools: icat, ifind, ils, istat Data Unis Layer Tools: dcat, dls, dstat, dcalc File System Journal Tools: jcat, jls Media Management Tools: mmls Image File Tools: img_stat, img_cat Disk Tools: disk_sreset, disk_stat Other Tools: hfind, mactime, sorter autopsy: „Forensic Browser“ Webfrontend für Kommandozeilentools Sleuth Kit Ralph Sontag Die Bilder sind weg! Geschichte Welche Werkzeuge? Vorgehen Fazit Erste Experimente dosfsck – erzeugte leeres Verzeichnis dcim/100olymp fatundel, jpg-recover, fatback – kein Erfolg sleuthkit Version 2.06: Sammlung Unix-basierter Kommandozeilentools. Unterstützt viele Filesysteme: File System Layer Tools: fsstat File Name Layer Tools: ffind, fls Meta Data Layer Tools: icat, ifind, ils, istat Data Unis Layer Tools: dcat, dls, dstat, dcalc File System Journal Tools: jcat, jls Media Management Tools: mmls Image File Tools: img_stat, img_cat Disk Tools: disk_sreset, disk_stat Other Tools: hfind, mactime, sorter autopsy: „Forensic Browser“ Webfrontend für Kommandozeilentools Sleuth Kit Ralph Sontag Die Bilder sind weg! Geschichte Welche Werkzeuge? Vorgehen Fazit Erste Experimente dosfsck – erzeugte leeres Verzeichnis dcim/100olymp fatundel, jpg-recover, fatback – kein Erfolg sleuthkit Version 2.06: Sammlung Unix-basierter Kommandozeilentools. Unterstützt viele Filesysteme: File System Layer Tools: fsstat File Name Layer Tools: ffind, fls Meta Data Layer Tools: icat, ifind, ils, istat Data Unis Layer Tools: dcat, dls, dstat, dcalc File System Journal Tools: jcat, jls Media Management Tools: mmls Image File Tools: img_stat, img_cat Disk Tools: disk_sreset, disk_stat Other Tools: hfind, mactime, sorter autopsy: „Forensic Browser“ Webfrontend für Kommandozeilentools Sleuth Kit Ralph Sontag Die Bilder sind weg! Geschichte Welche Werkzeuge? Vorgehen Fazit Erste Experimente dosfsck – erzeugte leeres Verzeichnis dcim/100olymp fatundel, jpg-recover, fatback – kein Erfolg sleuthkit Version 2.06: Sammlung Unix-basierter Kommandozeilentools. Unterstützt viele Filesysteme: File System Layer Tools: fsstat File Name Layer Tools: ffind, fls Meta Data Layer Tools: icat, ifind, ils, istat Data Unis Layer Tools: dcat, dls, dstat, dcalc File System Journal Tools: jcat, jls Media Management Tools: mmls Image File Tools: img_stat, img_cat Disk Tools: disk_sreset, disk_stat Other Tools: hfind, mactime, sorter autopsy: „Forensic Browser“ Webfrontend für Kommandozeilentools Sleuth Kit Ralph Sontag Die Bilder sind weg! Geschichte Welche Werkzeuge? Vorgehen Fazit Erste Experimente dosfsck – erzeugte leeres Verzeichnis dcim/100olymp fatundel, jpg-recover, fatback – kein Erfolg sleuthkit Version 2.06: Sammlung Unix-basierter Kommandozeilentools. Unterstützt viele Filesysteme: File System Layer Tools: fsstat File Name Layer Tools: ffind, fls Meta Data Layer Tools: icat, ifind, ils, istat Data Unis Layer Tools: dcat, dls, dstat, dcalc File System Journal Tools: jcat, jls Media Management Tools: mmls Image File Tools: img_stat, img_cat Disk Tools: disk_sreset, disk_stat Other Tools: hfind, mactime, sorter autopsy: „Forensic Browser“ Webfrontend für Kommandozeilentools Sleuth Kit Ralph Sontag Die Bilder sind weg! Geschichte Welche Werkzeuge? Vorgehen Fazit Nächste Idee: Image editieren Suche nach Strings „JFIF“: nicht erfolgreich Hexadezimaleditoren: ghex2, khexedit – aktuell vorhandenes Wissen über FAT, Partitionstabellen usw. reicht nicht aus sehr zähes Arbeiten bei großen Dateien: Kopie im Hauptspeicher! lde Linux Disk-Editor: Kann helfen, Struktur des Images zu verstehen Ralph Sontag Die Bilder sind weg! Geschichte Welche Werkzeuge? Vorgehen Fazit Nächste Idee: Image editieren Suche nach Strings „JFIF“: nicht erfolgreich Hexadezimaleditoren: ghex2, khexedit – aktuell vorhandenes Wissen über FAT, Partitionstabellen usw. reicht nicht aus sehr zähes Arbeiten bei großen Dateien: Kopie im Hauptspeicher! lde Linux Disk-Editor: Kann helfen, Struktur des Images zu verstehen Ralph Sontag Die Bilder sind weg! Geschichte Welche Werkzeuge? Vorgehen Fazit Nächste Idee: Image editieren Suche nach Strings „JFIF“: nicht erfolgreich Hexadezimaleditoren: ghex2, khexedit – aktuell vorhandenes Wissen über FAT, Partitionstabellen usw. reicht nicht aus sehr zähes Arbeiten bei großen Dateien: Kopie im Hauptspeicher! lde Linux Disk-Editor: Kann helfen, Struktur des Images zu verstehen Ralph Sontag Die Bilder sind weg! Geschichte Welche Werkzeuge? Vorgehen Fazit Nächste Idee: Image editieren Suche nach Strings „JFIF“: nicht erfolgreich Hexadezimaleditoren: ghex2, khexedit – aktuell vorhandenes Wissen über FAT, Partitionstabellen usw. reicht nicht aus sehr zähes Arbeiten bei großen Dateien: Kopie im Hauptspeicher! lde Linux Disk-Editor: Kann helfen, Struktur des Images zu verstehen Ralph Sontag Die Bilder sind weg! Geschichte Welche Werkzeuge? Vorgehen Fazit Fall 1: Endlich Erfolg! Data Recovery Tools: http://dr-tools.sourceforge.net/ dr-fat: Speicherzugriffsfehler jpeg-recover:sucht JPEGs in einem Datenstrom Holte 332 Bilder aus dem Olympus-Image. Filenamen mit exiftool per Skript neu generiert #!/bin/tcsh foreach i (`ls *.jpg`) mv -i $i `exiftool $i | grep "File Modification Date/Time"|\ sed -e's/^ *File Modification Date\/Time *: //' -e's/:/_/g'\ | sed -e 's/ /-/'`.jpg end Einzelne Thumbnails Erstes Problem damit gelöst: (Alle?) Bilder gefunden Ralph Sontag Die Bilder sind weg! Geschichte Welche Werkzeuge? Vorgehen Fazit Fall 2: jpeg-recover reicht nicht Imagefile zu groß: Zerlegen in 2-GB-Blöcke, auf Überlappung achten! Weitere Daten können nicht gerettet werden Sortierung der Bilder geht verloren Filenamen gehen verloren Immerhin: Die unersetzbaren Daten wären rückholbar Ralph Sontag Die Bilder sind weg! Geschichte Welche Werkzeuge? Vorgehen Fazit Fall 2: jpeg-recover reicht nicht Imagefile zu groß: Zerlegen in 2-GB-Blöcke, auf Überlappung achten! Weitere Daten können nicht gerettet werden Sortierung der Bilder geht verloren Filenamen gehen verloren Immerhin: Die unersetzbaren Daten wären rückholbar Ralph Sontag Die Bilder sind weg! Geschichte Welche Werkzeuge? Vorgehen Fazit Fall 2: jpeg-recover reicht nicht Imagefile zu groß: Zerlegen in 2-GB-Blöcke, auf Überlappung achten! Weitere Daten können nicht gerettet werden Sortierung der Bilder geht verloren Filenamen gehen verloren Immerhin: Die unersetzbaren Daten wären rückholbar Ralph Sontag Die Bilder sind weg! Geschichte Welche Werkzeuge? Vorgehen Fazit Fall 2: jpeg-recover reicht nicht Imagefile zu groß: Zerlegen in 2-GB-Blöcke, auf Überlappung achten! Weitere Daten können nicht gerettet werden Sortierung der Bilder geht verloren Filenamen gehen verloren Immerhin: Die unersetzbaren Daten wären rückholbar Ralph Sontag Die Bilder sind weg! Geschichte Welche Werkzeuge? Vorgehen Fazit Fall 2: jpeg-recover reicht nicht Imagefile zu groß: Zerlegen in 2-GB-Blöcke, auf Überlappung achten! Weitere Daten können nicht gerettet werden Sortierung der Bilder geht verloren Filenamen gehen verloren Immerhin: Die unersetzbaren Daten wären rückholbar Ralph Sontag Die Bilder sind weg! Geschichte Welche Werkzeuge? Vorgehen Fazit Das beste Tool: testdisk http://www.cgsecurity.org/wiki/TestDisk testdisk und photorec DOS, Windows, Linux, BSD, SunOS, MacOS viele Filesysteme, darunter CramFS, Linux Raid, JFS, Swap, LVM, LVM2, Novell Storage Services, ReiserFS 3.5, 3.6, 4, NTFS, XFS sucht Partitionstabellen, ermöglicht Wiederherstellung gute Dokumentation, auch in Deutsch auf diversen CD-Linuxen vorhanden Menuegeführt im Terminal photorec analog zu jpeg-recover, findet aber auch PDF, Office, ZIP, HTML, . . . Ralph Sontag Die Bilder sind weg! Geschichte Welche Werkzeuge? Vorgehen Fazit Das beste Tool: testdisk http://www.cgsecurity.org/wiki/TestDisk testdisk und photorec DOS, Windows, Linux, BSD, SunOS, MacOS viele Filesysteme, darunter CramFS, Linux Raid, JFS, Swap, LVM, LVM2, Novell Storage Services, ReiserFS 3.5, 3.6, 4, NTFS, XFS sucht Partitionstabellen, ermöglicht Wiederherstellung gute Dokumentation, auch in Deutsch auf diversen CD-Linuxen vorhanden Menuegeführt im Terminal photorec analog zu jpeg-recover, findet aber auch PDF, Office, ZIP, HTML, . . . Ralph Sontag Die Bilder sind weg! Geschichte Welche Werkzeuge? Vorgehen Fazit Das beste Tool: testdisk http://www.cgsecurity.org/wiki/TestDisk testdisk und photorec DOS, Windows, Linux, BSD, SunOS, MacOS viele Filesysteme, darunter CramFS, Linux Raid, JFS, Swap, LVM, LVM2, Novell Storage Services, ReiserFS 3.5, 3.6, 4, NTFS, XFS sucht Partitionstabellen, ermöglicht Wiederherstellung gute Dokumentation, auch in Deutsch auf diversen CD-Linuxen vorhanden Menuegeführt im Terminal photorec analog zu jpeg-recover, findet aber auch PDF, Office, ZIP, HTML, . . . Ralph Sontag Die Bilder sind weg! Geschichte Welche Werkzeuge? Vorgehen Fazit Das beste Tool: testdisk http://www.cgsecurity.org/wiki/TestDisk testdisk und photorec DOS, Windows, Linux, BSD, SunOS, MacOS viele Filesysteme, darunter CramFS, Linux Raid, JFS, Swap, LVM, LVM2, Novell Storage Services, ReiserFS 3.5, 3.6, 4, NTFS, XFS sucht Partitionstabellen, ermöglicht Wiederherstellung gute Dokumentation, auch in Deutsch auf diversen CD-Linuxen vorhanden Menuegeführt im Terminal photorec analog zu jpeg-recover, findet aber auch PDF, Office, ZIP, HTML, . . . Ralph Sontag Die Bilder sind weg! Geschichte Welche Werkzeuge? Vorgehen Fazit Das beste Tool: testdisk http://www.cgsecurity.org/wiki/TestDisk testdisk und photorec DOS, Windows, Linux, BSD, SunOS, MacOS viele Filesysteme, darunter CramFS, Linux Raid, JFS, Swap, LVM, LVM2, Novell Storage Services, ReiserFS 3.5, 3.6, 4, NTFS, XFS sucht Partitionstabellen, ermöglicht Wiederherstellung gute Dokumentation, auch in Deutsch auf diversen CD-Linuxen vorhanden Menuegeführt im Terminal photorec analog zu jpeg-recover, findet aber auch PDF, Office, ZIP, HTML, . . . Ralph Sontag Die Bilder sind weg! Geschichte Welche Werkzeuge? Vorgehen Fazit Das beste Tool: testdisk http://www.cgsecurity.org/wiki/TestDisk testdisk und photorec DOS, Windows, Linux, BSD, SunOS, MacOS viele Filesysteme, darunter CramFS, Linux Raid, JFS, Swap, LVM, LVM2, Novell Storage Services, ReiserFS 3.5, 3.6, 4, NTFS, XFS sucht Partitionstabellen, ermöglicht Wiederherstellung gute Dokumentation, auch in Deutsch auf diversen CD-Linuxen vorhanden Menuegeführt im Terminal photorec analog zu jpeg-recover, findet aber auch PDF, Office, ZIP, HTML, . . . Ralph Sontag Die Bilder sind weg! Geschichte Welche Werkzeuge? Vorgehen Fazit Das beste Tool: testdisk http://www.cgsecurity.org/wiki/TestDisk testdisk und photorec DOS, Windows, Linux, BSD, SunOS, MacOS viele Filesysteme, darunter CramFS, Linux Raid, JFS, Swap, LVM, LVM2, Novell Storage Services, ReiserFS 3.5, 3.6, 4, NTFS, XFS sucht Partitionstabellen, ermöglicht Wiederherstellung gute Dokumentation, auch in Deutsch auf diversen CD-Linuxen vorhanden Menuegeführt im Terminal photorec analog zu jpeg-recover, findet aber auch PDF, Office, ZIP, HTML, . . . Ralph Sontag Die Bilder sind weg! Geschichte Welche Werkzeuge? Vorgehen Fazit Das beste Tool: testdisk http://www.cgsecurity.org/wiki/TestDisk testdisk und photorec DOS, Windows, Linux, BSD, SunOS, MacOS viele Filesysteme, darunter CramFS, Linux Raid, JFS, Swap, LVM, LVM2, Novell Storage Services, ReiserFS 3.5, 3.6, 4, NTFS, XFS sucht Partitionstabellen, ermöglicht Wiederherstellung gute Dokumentation, auch in Deutsch auf diversen CD-Linuxen vorhanden Menuegeführt im Terminal photorec analog zu jpeg-recover, findet aber auch PDF, Office, ZIP, HTML, . . . Ralph Sontag Die Bilder sind weg! Geschichte Welche Werkzeuge? Vorgehen Fazit Das beste Tool: testdisk http://www.cgsecurity.org/wiki/TestDisk testdisk und photorec DOS, Windows, Linux, BSD, SunOS, MacOS viele Filesysteme, darunter CramFS, Linux Raid, JFS, Swap, LVM, LVM2, Novell Storage Services, ReiserFS 3.5, 3.6, 4, NTFS, XFS sucht Partitionstabellen, ermöglicht Wiederherstellung gute Dokumentation, auch in Deutsch auf diversen CD-Linuxen vorhanden Menuegeführt im Terminal photorec analog zu jpeg-recover, findet aber auch PDF, Office, ZIP, HTML, . . . Ralph Sontag Die Bilder sind weg! Geschichte Welche Werkzeuge? Vorgehen Fazit Ergebnisse testdisk konnte die Platte im Fall 2 restaurieren: Partitionstabelle und FAT wurden repariert ⇒ sämtliche Daten gerettet photorec fand auch alle vorher gelöschten Dateien: hier leider unerwünscht testdisk half im Fall 1 nicht genauer Fehler im Fall 1 nicht bekannt Ralph Sontag Die Bilder sind da! Geschichte Welche Werkzeuge? Vorgehen Fazit Ergebnisse testdisk konnte die Platte im Fall 2 restaurieren: Partitionstabelle und FAT wurden repariert ⇒ sämtliche Daten gerettet photorec fand auch alle vorher gelöschten Dateien: hier leider unerwünscht testdisk half im Fall 1 nicht genauer Fehler im Fall 1 nicht bekannt Ralph Sontag Die Bilder sind da! Geschichte Welche Werkzeuge? Vorgehen Fazit Ergebnisse testdisk konnte die Platte im Fall 2 restaurieren: Partitionstabelle und FAT wurden repariert ⇒ sämtliche Daten gerettet photorec fand auch alle vorher gelöschten Dateien: hier leider unerwünscht testdisk half im Fall 1 nicht genauer Fehler im Fall 1 nicht bekannt Ralph Sontag Die Bilder sind da! Geschichte Welche Werkzeuge? Vorgehen Fazit Ergebnisse testdisk konnte die Platte im Fall 2 restaurieren: Partitionstabelle und FAT wurden repariert ⇒ sämtliche Daten gerettet photorec fand auch alle vorher gelöschten Dateien: hier leider unerwünscht testdisk half im Fall 1 nicht genauer Fehler im Fall 1 nicht bekannt Ralph Sontag Die Bilder sind da!
