Obnova kompletne smazane partisny
Pavel Kankovsky
peak na argo.troja.mff.cuni.cz
Sobota Leden 27 18:24:14 CET 2007
On Sat, 20 Jan 2007, Pavel Lisý wrote:
> > V první řadě se musí OKAMŽITĚ přestat na ten souborový systém zapisovat.
> Toto se podařilo celkem automaticky smazáním /bin :-)
To není tak úplně jisté, zejména jestli stále běželi nějací démoni.
> > Pokud jsou ta data textová nebo jinak dobře rozeznatelná, tak lze udělat
> > to, že se projde celé zařízení, u každého bloku se posoudí, zda je to kus
> > hledaných dat, a pokud ano, tak se to někam schová.
> Jak prohledám disk po blocích, pomocí dd? Musím nějak dopočítat, jak byl
> blok velký na daném filesystému?
Prohledat znamená, že pustíte nějaký program, který dokáže o každém bloku
rozhodnout, zda by to mohla být zajímavá data, takže dd samotné se moc
nehodí. Teď jde ale o to, jestli umíte formulovat kritérium, podle kterého
se pozná, zda by se mohlo jednat o zajímavá data. Toto kritérium je
samozřejmě velmi specifické, protože záleží na konkrétní povaze hledaných
dat.
Nejlepší je hned v tomto kroku detekovat souvislé kusy souborů v po sobě
následujících blocích a extrahovat celé delší fragmenty. A zase
potřebujete ad hoc kritérium, podle kterého se určí, zda dva kusy na
sebe navazují.
Velikost bloku při tom až tak úplně vědět nemusíte, např. můžete
pracovat s jednotlivými sektory, ale apriorní znalost toho, že určitých
několik sektorů patří nevyhnetelně k sobě, Vám ušetří hodně práce.
Mimochodem, na jeden nástroj jsme si vzpomněl: The Coroner's Toolkit Je to
sice primárně určeno na forenzní analýzu, ale obnova smazaných souborů je
jedna z funkcí. Viz <http://www.fish2.com/tct/help-recovering-file>
--Pavel Kankovsky aka Peak [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."
Další informace o konferenci Linux