Gelöschte Dateien auf FAT Dateisystem unter Linux wiederherstellen
Hi Liste, kennt ihr ein Tool, mit dem man unter Linux Dateien die auf einem FAT (16?) Datenträger gelöscht wurden wiederherstellen kann ("undelete"). Das es sowas unter Windoof gibt ist mir schon klar ... Suche aber ein Tool für Linux, ist nicht für einen Notfall sondern für Sicherheitstests gedacht. Passend wäre natürlich auch die Unterstützung für Abbilder des Dateisystems (also wenn der ganze Datenträger/Partition z.B. mit dd ausgelesen wurde), was unter Linux ja eigentlich immer geht. Grüße Martin
* On Sat, 08 Mar 2003 at 11:17 +0100, Martin Scharrer wrote:
kennt ihr ein Tool, mit dem man unter Linux Dateien die auf einem FAT (16?) Datenträger gelöscht wurden wiederherstellen kann ("undelete"). Das es sowas unter Windoof gibt ist mir schon klar ... Suche aber ein Tool für Linux, ist nicht für einen Notfall sondern für Sicherheitstests gedacht. Passend wäre natürlich auch die Unterstützung für Abbilder des Dateisystems (also wenn der ganze Datenträger/Partition z.B. mit dd ausgelesen wurde), was unter Linux ja eigentlich immer geht.
freshmeat spuckt mit beim Suchen nach fat an Stelle 12 http://freshmeat.net/projects/fatundel/ ins Gesicht. -- Adalbert GPG welcome, request public key: mailto:adalbert+key@lopez.at
On Saturday 08 March 2003 11:26, Adalbert Michelic wrote:
freshmeat spuckt mit beim Suchen nach fat an Stelle 12 http://freshmeat.net/projects/fatundel/ ins Gesicht. Danke für die Antwort, aber die Software ist noch (lange) nicht für meine Zwecke einsetzbar. ["gg:fat undel"! und ich Depp suchte immer mit "gg:fat recover" und so]
Das Perl-Skript jpg-recover tat es für die ersten Schritte nach ein paar Anpassungen. Ist aber für speziellere Sachen auch nicht einsetzbar. Ist übrigends mehr als langsam. Brauchte für 32MB über 10Min auf meinem AMD XP 2100+ + 512MB DDRAM. Ok, werd die ganze Sache so belassen. Weiß einer, ob man fragmentierte gelöschte Daten überhaupt (realistisch gesehen) wiederherstellen kann (->FAT!) Grüße mArtin
Martin Scharrer wrote:
Weiß einer, ob man fragmentierte gelöschte Daten überhaupt (realistisch gesehen) wiederherstellen kann (->FAT!)
Nur wenn ausschliesslich der Verzeichniseintrag auf "geloescht" geandert wurde. Falls die Dateien ueber heuristische Blockanalyse geschehen muss ist bei fragmentierten Dateien lustiges Raetselraten vorprogrammiert. Wenn ich mich recht entsinne, wurden bei FAT Dateien geloescht, in dem das erste Zeichen des Dateinamens auf ein nichtdruckbares geaendert wurde. MS Undel wollte ja auch immer den ersten Buchstaben wissen. Dieser Fall sollte auch bei fragmentierten Dateien kein Problem darstellen. Weiterhin werden die Datenbloecke dann vom Dateisystem auch fuer andere Verwendung freigegeben, so das bei weiterer schreibender Benutzung des FAT-Dateisystems die Bloecke ueberschrieben werden. Im Falle der Digitalkamera-Speicher sollte es ja keine Fragementierung geben. Peter
* On Thu, 20 Mar 2003 at 18:45 +0100, Peter Wiersig wrote:
Weiß einer, ob man fragmentierte gelöschte Daten überhaupt (realistisch gesehen) wiederherstellen kann (->FAT!) [...] Wenn ich mich recht entsinne, wurden bei FAT Dateien geloescht, in dem das erste Zeichen des Dateinamens auf ein nichtdruckbares geaendert wurde.
Korrekt.
MS Undel wollte ja auch immer den ersten Buchstaben wissen. Dieser Fall sollte auch bei fragmentierten Dateien kein Problem darstellen.
Weiterhin werden die Datenbloecke dann vom Dateisystem auch fuer andere Verwendung freigegeben, so das bei weiterer schreibender Benutzung des FAT-Dateisystems die Bloecke ueberschrieben werden.
Nicht nur das, bedingt durch die Freigabe gehen die Informationen verloren, wie die einzelnen Datenblöcke zusammenhängen. Heisst konkret: Bei einer existierenden Datei steht im Verzeichnis, daß sie an Block 4711 beginnt. An Stelle 4711 in der FAT ist nun die Information zu finden, daß der nächste Block 0815 ist. An Stelle 0815 gehts weiter mit 0816, an Stelle 0816 ist nun ein spezieller Wert drinnen, der angibt, daß dies der letzte Block ist. Ausser dem Folgeblock wird nichts gespeichert. Leere Blöcke werden daran erkannt, daß der Wert auf 0 gesetzt ist. Beim Löschen werden nun in der FAT alle Blöcke auf 0 gesetzt, und somit freigegeben. Das bewirkt dann, daß man eigentlich keine Ahnung mehr hat, welche Blöcke nach dem ersten folgen. Man kann raten, daß auf den ersten noch floor(size/blocksize) Blöcke folgen, wenn die jetzt frei sind, schauts nicht mal so schlecht aus. Wenn die nicht frei sind, warens andere Blöcke. In diesem Fall hilft nur mehr raten. Je voller die Platte, desto weniger Möglichkeiten gibts .... -- Adalbert GPG welcome, request public key: mailto:adalbert+key@lopez.at
Martin Scharrer wrote:
On Saturday 08 March 2003 11:26, Adalbert Michelic wrote:
freshmeat spuckt mit beim Suchen nach fat an Stelle 12 http://freshmeat.net/projects/fatundel/ ins Gesicht. Danke für die Antwort, aber die Software ist noch (lange) nicht für meine Zwecke einsetzbar. ["gg:fat undel"! und ich Depp suchte immer mit "gg:fat recover" und so]
Das Perl-Skript jpg-recover tat es für die ersten Schritte nach ein paar Anpassungen. Ist aber für speziellere Sachen auch nicht einsetzbar. Ist übrigends mehr als langsam. Brauchte für 32MB über 10Min auf meinem AMD XP 2100+ + 512MB DDRAM.
Ok, werd die ganze Sache so belassen.
Weiß einer, ob man fragmentierte gelöschte Daten überhaupt (realistisch gesehen) wiederherstellen kann (->FAT!)
http://www.convar.de/de/default.htm die können sowas - glaub ich. Gruß Eric
participants (4)
-
Adalbert Michelic -
Eric Scheen -
Martin Scharrer -
Peter Wiersig