Re: Tutorial/Tipps für Dateien-Wiederherstellung FAT16/Smartmedia
Hallo Robert,
Robert Michel <news@robertmichel.de> wrote:
> Ok jetzt zu fsck.vfat:
> # fsck.vfat /dev/loop1
> dosfsck 2.10, 22 Sep 2003, FAT32, LFN
> Logical sector size is zero.
>
> Ein frisch formatierte Karte liefert übrings die
> gleiche Angabe.
Bei einer formatierten Karte muß eigentlich die Anzahl der Cluster
angezeigt werden.
So in der Art etwa:
dosfsck 2.11, 12 Mar 2005, FAT32, LFN
32mb.img: 0 files, 0/15640 clusters
Oder meinst Du mit formatiert 'dd if=/dev/ zero of=/dev/hdX bs=512'?
Wenn nur der erste Sektor beschädigt/gelöscht wurde, dann könntest Du
diesen mit dd von einer anderen Karte mit gleicher Kapazität und
gleicher Formatierung kopieren. Das würde Dir etwas nutzen, wenn
nicht noch weitere Sektoren beschädigt sind.
> Was muß ich lesen um zu wissen, was da nicht stimmt?
> Google hat mir nicht helfen können.
Wenn der erste Sektor z.B. gelöscht wurde, dann fehlen alle logischen
Informationen darüber wie der Platz auf der Karte organisiert wird.
Informationen wie das FAT Dateisystem aufgebaut ist findest Du z.B.
hier:
http://en.wikipedia.org/wiki/File_Allocation_Table
http://www.inf.hs-zigr.de/~maetti01/?page=Studium/FAT32
sehr ausführlich auch hier:
http://www.microsoft.com/whdc/system/platform/firmware/fatgen.mspx
> autopsy hatte ich schon probiert - ohne das ich etwas damit gefunden
> habe.
Das hängt damit zusammen das es keine Informationen über das
verwendete Filesystem gefunden hat.
> Bei foremost hatte ich erst befürchtet, es wäre nur für
> Bilder, Audio und Video - aber man kann die Header frei wählen.
> Wobei ich nicht verstehe warum es keine eindeutigen Deiteianfangs
> und Endeformatierungen gibt.
Bei binären Formaten gibt es fast immer einen Header in dem weitere
Informationen zum Inhalt stehen. Dieser setzt sich meistens aus einer
eindeutigen Kennung (z.B. %PDF bei Dateien im PDF-Format) und
weiteren Informationen über den Dateiinhalt zusammen (z.B. die Größe
und Farbtiefe bei Bildformaten).
Die Kennung wird von den Programmen auch verwendet um zu erkennen ob
sie den Inhalt der Datei auch interpretieren können. Würdest Du
beispielsweise in einer PDF-Datei %PDF durch %XYZ ersetzen, dann
könntest Du Dir das PDF-Dokument nicht mehr anzeigen lassen. Da ein
Anzeigeprogramm die Datei dann nicht mehr als PDF erkennen würde und
somit auch garnicht erst versucht den Inhalt der Datei zu
interpretieren.
Weil es Datenformate gibt in denen Informationen in verschiedenen
Blöcken abgelegt sind (z.B. JPEG) wird das Ende eines Blocks mit
einem Footer gekennzeichnet (z.B. bei JPEG sind das die Bytes FFh,
F9h).
> OK fat ist von M$ verbreitet worden - ich sollte mich nicht wundern.
Der Dateiaufbau hat aber nichts mit dem Filsystem zu tun.
> Gibt es keine Tools, die alle Dateien, auch Exotische Formate
> wiederherstellen können?
Es kommt immer darauf an welche Informationen noch da sind. Ist das
Inhaltsverzeichnis auf einer FAT Partition gelöscht, z.B. durch
'mkfs.vfat /dev/hdX', dann sind die Daten der Dateien immer noch
auf der Partion vorhanden. Es fehlt aber der Hinweis wie eine Datei
gehießen und in welchem Sektor sie begonnen hat. Ohne diese
Informationen kann z.B. autopsy eine gelöschte Datei nicht wieder
herstellen.
Foremost könnte es aber trotzdem noch. Und zwar macht es sich eben
Header und Footer einer Datei zu nutze. Es liest einen Sektor ein und
überprüft ob dieser mit einem zu prüfenden Header beginnt. Ist das
nicht der Fall liest es den nächsten und so fort. Wird ein passender
Sektor gefunden, dann liest es solange weitere Sektoren ein bis es
auf den Footer trifft oder die angegebene maximale Länge erreicht
wurde.
Daran ist aber schon zu erkennen, das es nur dann wirklich
erfolgreich ist, wenn:
- alle zur Datei gehörenden Sektoren hintereinander liegen
- das Dateiformat sich mindestens durch einen Header festlegen lässt
> Für Palm Programme *.prc und Datenbanken *.pdb muß ich also
> passende Werte für die foremost.conf finden
Du lässt Dir einfach von einigen Dateien des gleichen Typs die ersten
und letzten Bytes anzeigen und schaust ob da konstante Bytefolgen zu
erkennen sind. Die kannst Du dann in der foremost.conf eintragen.
für Header: hexdump - Cn 15 dein.prc
für Footer: tail --bytes 15 dein.prc | hexdump -C
> Ich glaube das Forensische Datenwiederherstellen erschließt sich
> nicht an einem Abend - daher werde mein image beiseite legen und
> versuchen schrittweise verschiedene Dateitypen wiederherzustellen,
> bevor ich es mit dem 128 MB Image probiere.
Zuerst musst Du Dir theoretisches Wissen über den Aufbau des
Filesystems aneignen. Ansonsten suchst Du die Nadel im Heuhaufen.
Mit den theoretischen Grundlagen ist es dann vielleicht nur der Nagel
im Strohballen. ;-)
Wenn auf der Karte zuvor häufig Dateien gelöscht, überschrieben, neu
angelegt wurden, dann sind die Erfolgschancen wegen der dadurch
entstandenen Fragementierung eher gering. Die Erfolgschancen würde
ich in so einem Fall als umgekehrt proportional zu Fragmentierung und
Dateigröße ansehen.
nette Grüße
Frank
Reply to: