Obnova kompletne smazane partisny

[Pavel Kankovsky]

On Sat, 20 Jan 2007, Pavel Lisý wrote:

> > V první řadě se musí OKAMŽITĚ přestat na ten souborový systém zapisovat.
> Toto se podařilo celkem automaticky smazáním /bin :-)

To není tak úplně jisté, zejména jestli stále běželi nějací démoni.

> > Pokud jsou ta data textová nebo jinak dobře rozeznatelná, tak lze udělat
> > to, že se projde celé zařízení, u každého bloku se posoudí, zda je to kus
> > hledaných dat, a pokud ano, tak se to někam schová.
> Jak prohledám disk po blocích, pomocí dd? Musím nějak dopočítat, jak byl
> blok velký na daném filesystému?

Prohledat znamená, že pustíte nějaký program, který dokáže o každém bloku 
rozhodnout, zda by to mohla být zajímavá data, takže dd samotné se moc 
nehodí. Teď jde ale o to, jestli umíte formulovat kritérium, podle kterého 
se pozná, zda by se mohlo jednat o zajímavá data. Toto kritérium je 
samozřejmě velmi specifické, protože záleží na konkrétní povaze hledaných 
dat.

Nejlepší je hned v tomto kroku detekovat souvislé kusy souborů v po sobě
následujících blocích a extrahovat celé delší fragmenty. A zase
potřebujete ad hoc kritérium, podle kterého se určí, zda dva kusy na
sebe navazují.

Velikost bloku při tom až tak úplně vědět nemusíte, např. můžete 
pracovat s jednotlivými sektory, ale apriorní znalost toho, že určitých 
několik sektorů patří nevyhnetelně k sobě, Vám ušetří hodně práce.


Mimochodem, na jeden nástroj jsme si vzpomněl: The Coroner's Toolkit Je to
sice primárně určeno na forenzní analýzu, ale obnova smazaných souborů je
jedna z funkcí. Viz <http://www.fish2.com/tct/help-recovering-file>


--Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."