Archive for the ‘foremost’ Tag

Dattenrettung mit photorec

In meinem letzen Beitrag zum Thema „Datenrettung“ habe ich über das Tool foremost berichtet. Aber es gibt weit mehr Tools als nur dieses, so z.B. gibt es noch scalpel, welches ähnlich wie foremost arbeitet. Ein weiteres Werkzeug, welches ich heute vorstellen will, nennt sich photorec. Es befindet sich im Paket testdisk. Zuerst muss man also mit

sudo apt-get install testdisk

das Paket installieren. Wie schon foremost kann auch photorec sowohl mit Image-Dateien als auch mit physikalischen Laufwerken umgehen. Wie man photorec benutzt ist am besten in dieser Schritt-für-Schritt Anleitung beschrieben. Die Dateien werden in dann in einen frei wählbaren Ordner extrahiert. Danach sind die Daten ziemlich durcheinander.

Wenn ich meine Erfahrungen zwischen foremost und photorec vergleiche, dann ist in meinem Anwendungsfall (Dattenrettung einer 500GB Platte) photorec auf jedenfall besser geeignet. Von den verlorenen Daten hat es wesentlich mehr Daten wiederhergestellt als foremost.

Die Zeitangabe stimmt nicht ganz...

Die Zeitangabe stimmt nicht ganz...

Advertisements

Datenrettung mit foremost

In den letzten Tagen hatte ich es mit einem Datenträger zu tun, dessen Partitionstabelle überschrieben worden war. Eine Analyse mit testdisk hat zwar ergeben, dass die alte Partitionstabelle zwar noch erkannt wurde, aber es leider keine Möglichkeit gab, diese wiederherzustellen bzw. auf die Dateien der alten Partition zuzugreifen. Darauf habe ich mich nach verschiedenen Tools umgeschaut und bin auf foremost gestoßen.

Foremost ist ein Konsolenprogramm zur Wiederherstellung von Daten anhand der Headers, Footers und interen Datenstrukturen. Ursprünglich von der Air Force Office of Special Investigations und The Center for Information Systems Security Studies and Research entwickelt, wurde es der Allgemeinheit zur Verfügung gestellt.

Bevor man jedoch foremost einsetzt, sollte man unbedingt eine 1:1 Kopie seines (kaputten) Datenträgers machen, um weiteren Verlust vorzubeugen. Ein Image kann z.B. mit dd oder dd_rescue erstellt werden.

Das Programm befindet sich in den Paketquellen von Ubuntu und kann mit

sudo apt-get install foremost

installiert werden. Nach der Installation befindet sich eine Konfigurationsdatei in /etc/foremost.conf. Diese Datei enthält Informationen über die verschiedenen Dateitypen. Nach der Installation sind alle Dateitypen auskommentiert. Man braucht aber nur die Dateitypen zu aktivieren die nicht den folgenden Hinweise enthalten: NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION.

Mit

sudo foremost -t all -i /pfad/zum/Datenträgerabbild

kann der Wiederherstellungsprozess beginnen. Der Parameter -t all bedeutet, dass versucht wird alle Dateitypen wiederherzustellen. Die gesicherten Dateien werden im Ordner output des aktuellen Verzeichnisses gespeichert, welcher wiederum für jeden Dateitypen einen Unterordner enthält.

Mit diesem Tool konnte ich einen Großteil der Daten wiederherstellen, wenn auch nicht alle.