Die Bilder sind weg! Erste Erlebnisse mit Data

Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
Die Bilder sind weg!
Erste Erlebnisse mit Data-Recovery
Ralph Sontag
Chemnitzer Linux User Group
11. Mai 2006
Ralph Sontag
Die Bilder sind weg!
Erste Erlebnisse mit Data-Re
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
Wie kam es dazu?
Fälle:
1
Fotoapparat, 750 MByte Bilder, wegen Umzug lange
nicht gesichert
Karte im Betrieb gezogen ⇒ leer
2
Fujifilm Photosafe, ca. 35 GByte, 21 GByte genutzt.
vom Tisch abgestürzt ⇒ Neue Festplatte:
formatieren Ja/Nein?
Ziel: Fotos retten (Transsib-Reise . . . )
„Ralph, du kennst dich doch mit Computern aus?“
Ralph Sontag
Die Bilder sind weg!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
Wie kam es dazu?
Fälle:
1
Fotoapparat, 750 MByte Bilder, wegen Umzug lange
nicht gesichert
Karte im Betrieb gezogen ⇒ leer
2
Fujifilm Photosafe, ca. 35 GByte, 21 GByte genutzt.
vom Tisch abgestürzt ⇒ Neue Festplatte:
formatieren Ja/Nein?
Ziel: Fotos retten (Transsib-Reise . . . )
„Ralph, du kennst dich doch mit Computern aus?“
Ralph Sontag
Die Bilder sind weg!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
Ausgangslage
Geräte hardwareseitig äußerlich in Ordnung
Geräte wurden vom System erkannt
⇒ kein besonderes Hardware-Wissen nötig
⇒ Sicherung der Rohdaten möglich
keine vorangegangenen schreibenden Versuche
Schnelle Lösung gesucht, kein Expertenkurs für
Partitionstabellen, Filesysteme und
Datenstrukturen
Ralph Sontag
Die Bilder sind weg!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
Ausgangslage
Geräte hardwareseitig äußerlich in Ordnung
Geräte wurden vom System erkannt
⇒ kein besonderes Hardware-Wissen nötig
⇒ Sicherung der Rohdaten möglich
keine vorangegangenen schreibenden Versuche
Schnelle Lösung gesucht, kein Expertenkurs für
Partitionstabellen, Filesysteme und
Datenstrukturen
Ralph Sontag
Die Bilder sind weg!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
Ausgangslage
Geräte hardwareseitig äußerlich in Ordnung
Geräte wurden vom System erkannt
⇒ kein besonderes Hardware-Wissen nötig
⇒ Sicherung der Rohdaten möglich
keine vorangegangenen schreibenden Versuche
Schnelle Lösung gesucht, kein Expertenkurs für
Partitionstabellen, Filesysteme und
Datenstrukturen
Ralph Sontag
Die Bilder sind weg!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
Ausgangslage
Geräte hardwareseitig äußerlich in Ordnung
Geräte wurden vom System erkannt
⇒ kein besonderes Hardware-Wissen nötig
⇒ Sicherung der Rohdaten möglich
keine vorangegangenen schreibenden Versuche
Schnelle Lösung gesucht, kein Expertenkurs für
Partitionstabellen, Filesysteme und
Datenstrukturen
Ralph Sontag
Die Bilder sind weg!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
Computer-Forensik
Enger Zusammenhang
keine gerichtsfesten Protokolle nötig
keine Log-Datenanalyse usw.
kein menschlicher „Gegner“
keine Hauptspeicheranalyse, keine manipulierten
Programme
aber vielleicht ein paar brauchbare Werkzeuge?
Ralph Sontag
Die Bilder sind weg!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
Computer-Forensik
Enger Zusammenhang
keine gerichtsfesten Protokolle nötig
keine Log-Datenanalyse usw.
kein menschlicher „Gegner“
keine Hauptspeicheranalyse, keine manipulierten
Programme
aber vielleicht ein paar brauchbare Werkzeuge?
Ralph Sontag
Die Bilder sind weg!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
Computer-Forensik
Enger Zusammenhang
keine gerichtsfesten Protokolle nötig
keine Log-Datenanalyse usw.
kein menschlicher „Gegner“
keine Hauptspeicheranalyse, keine manipulierten
Programme
aber vielleicht ein paar brauchbare Werkzeuge?
Ralph Sontag
Die Bilder sind weg!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
Computer-Forensik
Enger Zusammenhang
keine gerichtsfesten Protokolle nötig
keine Log-Datenanalyse usw.
kein menschlicher „Gegner“
keine Hauptspeicheranalyse, keine manipulierten
Programme
aber vielleicht ein paar brauchbare Werkzeuge?
Ralph Sontag
Die Bilder sind weg!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
Computer-Forensik
Enger Zusammenhang
keine gerichtsfesten Protokolle nötig
keine Log-Datenanalyse usw.
kein menschlicher „Gegner“
keine Hauptspeicheranalyse, keine manipulierten
Programme
aber vielleicht ein paar brauchbare Werkzeuge?
Ralph Sontag
Die Bilder sind weg!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
Computer-Forensik
Enger Zusammenhang
keine gerichtsfesten Protokolle nötig
keine Log-Datenanalyse usw.
kein menschlicher „Gegner“
keine Hauptspeicheranalyse, keine manipulierten
Programme
aber vielleicht ein paar brauchbare Werkzeuge?
Ralph Sontag
Die Bilder sind weg!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
Sourceforge, WWW
reichhaltige Auswahl, speziell für jpg
höchst unterschiedliche Leistungsfähigkeit
viel für Windows
Ralph Sontag
Die Bilder sind weg!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
Sourceforge, WWW
reichhaltige Auswahl, speziell für jpg
höchst unterschiedliche Leistungsfähigkeit
viel für Windows
Ralph Sontag
Die Bilder sind weg!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
Sourceforge, WWW
reichhaltige Auswahl, speziell für jpg
höchst unterschiedliche Leistungsfähigkeit
viel für Windows
Ralph Sontag
Die Bilder sind weg!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
1. Daten sichern!
Platten mit dd sichern!
war in beiden Fällen möglich
dd if=/dev/hda of=DiskIMG
Optionen bs (blocksize) und conv=noerror,sync
(continue after read errors, pad every input block
with NULs to ibs-size)
evtl. auch ddrescue nutzen – kann von hinten lesen
Viel Zeit einplanen . . .
Wenn möglich: Auch diese Kopie niemals beschreiben!
Ralph Sontag
Die Bilder sind weg!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
1. Daten sichern!
Platten mit dd sichern!
war in beiden Fällen möglich
dd if=/dev/hda of=DiskIMG
Optionen bs (blocksize) und conv=noerror,sync
(continue after read errors, pad every input block
with NULs to ibs-size)
evtl. auch ddrescue nutzen – kann von hinten lesen
Viel Zeit einplanen . . .
Wenn möglich: Auch diese Kopie niemals beschreiben!
Ralph Sontag
Die Bilder sind weg!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
1. Daten sichern!
Platten mit dd sichern!
war in beiden Fällen möglich
dd if=/dev/hda of=DiskIMG
Optionen bs (blocksize) und conv=noerror,sync
(continue after read errors, pad every input block
with NULs to ibs-size)
evtl. auch ddrescue nutzen – kann von hinten lesen
Viel Zeit einplanen . . .
Wenn möglich: Auch diese Kopie niemals beschreiben!
Ralph Sontag
Die Bilder sind weg!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
1. Daten sichern!
Platten mit dd sichern!
war in beiden Fällen möglich
dd if=/dev/hda of=DiskIMG
Optionen bs (blocksize) und conv=noerror,sync
(continue after read errors, pad every input block
with NULs to ibs-size)
evtl. auch ddrescue nutzen – kann von hinten lesen
Viel Zeit einplanen . . .
Wenn möglich: Auch diese Kopie niemals beschreiben!
Ralph Sontag
Die Bilder sind weg!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
1. Daten sichern!
Platten mit dd sichern!
war in beiden Fällen möglich
dd if=/dev/hda of=DiskIMG
Optionen bs (blocksize) und conv=noerror,sync
(continue after read errors, pad every input block
with NULs to ibs-size)
evtl. auch ddrescue nutzen – kann von hinten lesen
Viel Zeit einplanen . . .
Wenn möglich: Auch diese Kopie niemals beschreiben!
Ralph Sontag
Die Bilder sind weg!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
1. Daten sichern!
Platten mit dd sichern!
war in beiden Fällen möglich
dd if=/dev/hda of=DiskIMG
Optionen bs (blocksize) und conv=noerror,sync
(continue after read errors, pad every input block
with NULs to ibs-size)
evtl. auch ddrescue nutzen – kann von hinten lesen
Viel Zeit einplanen . . .
Wenn möglich: Auch diese Kopie niemals beschreiben!
Ralph Sontag
Die Bilder sind weg!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
Mounten als loop-Device
Normalerweise:
mount -o loop,ro DiskIMG /mountpoint
Voraussetzung: Datei enthält Filesystem!
mount kümmert sich um das Setup des Loop-Device
Bei ganzen Platten: mit Offset mounten!
losetup /dev/loop8 DiskIMG
mount DiskIMG /mountpoint -o ro,loop,offset=NR
...
umount /mountpoint
losetup -d /dev/loop8
Ralph Sontag
Die Bilder sind weg!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
Mounten als loop-Device
Normalerweise:
mount -o loop,ro DiskIMG /mountpoint
Voraussetzung: Datei enthält Filesystem!
mount kümmert sich um das Setup des Loop-Device
Bei ganzen Platten: mit Offset mounten!
losetup /dev/loop8 DiskIMG
mount DiskIMG /mountpoint -o ro,loop,offset=NR
...
umount /mountpoint
losetup -d /dev/loop8
Ralph Sontag
Die Bilder sind weg!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
Mounten als loop-Device
Normalerweise:
mount -o loop,ro DiskIMG /mountpoint
Voraussetzung: Datei enthält Filesystem!
mount kümmert sich um das Setup des Loop-Device
Bei ganzen Platten: mit Offset mounten!
losetup /dev/loop8 DiskIMG
mount DiskIMG /mountpoint -o ro,loop,offset=NR
...
umount /mountpoint
losetup -d /dev/loop8
Ralph Sontag
Die Bilder sind weg!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
Mounten als loop-Device
Normalerweise:
mount -o loop,ro DiskIMG /mountpoint
Voraussetzung: Datei enthält Filesystem!
mount kümmert sich um das Setup des Loop-Device
Bei ganzen Platten: mit Offset mounten!
losetup /dev/loop8 DiskIMG
mount DiskIMG /mountpoint -o ro,loop,offset=NR
...
umount /mountpoint
losetup -d /dev/loop8
Ralph Sontag
Die Bilder sind weg!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
Berechnung des Offsets
Quelle: http://blogs.23.nu/fnord/
Partitionstabelle auflisten, mit Sektorenangabe:
fdisk -ul /dev/loop8
Disk /dev/loop8: 159 MB, 159989760 bytes
32 heads, 63 sectors/track, 155 cylinders, total 312480 sectors
Units = sectors of 1 * 512 = 512 bytes
Device Boot Start End Blocks Id System
/dev/loop8p1 63 52415 26176+ 4 FAT16 <32M
/dev/loop8p2 52416 104831 26208 4 FAT16 <32M
/dev/loop8p3 104832 157247 26208 4 FAT16 <32M
/dev/loop8p4 157248 312479 77616 5 Extended
/dev/loop8p5 157311 209663 26176+ 4 FAT16 <32M
/dev/loop8p6 262143 312479 25168+ 6 FAT16
Damit bestimmt sich das Offset z.B.:
offset=`echo 63*512| bc`
offset=`echo 157311*512| bc`
Ralph Sontag
Die Bilder sind weg!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
Erste Experimente
dosfsck – erzeugte leeres Verzeichnis dcim/100olymp
fatundel, jpg-recover, fatback – kein Erfolg
sleuthkit Version 2.06: Sammlung Unix-basierter
Kommandozeilentools. Unterstützt viele
Filesysteme:
File System Layer Tools: fsstat
File Name Layer Tools: ffind, fls
Meta Data Layer Tools: icat, ifind, ils, istat
Data Unis Layer Tools: dcat, dls, dstat, dcalc
File System Journal Tools: jcat, jls
Media Management Tools: mmls
Image File Tools: img_stat, img_cat
Disk Tools: disk_sreset, disk_stat
Other Tools: hfind, mactime, sorter
autopsy: „Forensic Browser“ Webfrontend für
Kommandozeilentools Sleuth Kit
Ralph Sontag
Die Bilder sind weg!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
Erste Experimente
dosfsck – erzeugte leeres Verzeichnis dcim/100olymp
fatundel, jpg-recover, fatback – kein Erfolg
sleuthkit Version 2.06: Sammlung Unix-basierter
Kommandozeilentools. Unterstützt viele
Filesysteme:
File System Layer Tools: fsstat
File Name Layer Tools: ffind, fls
Meta Data Layer Tools: icat, ifind, ils, istat
Data Unis Layer Tools: dcat, dls, dstat, dcalc
File System Journal Tools: jcat, jls
Media Management Tools: mmls
Image File Tools: img_stat, img_cat
Disk Tools: disk_sreset, disk_stat
Other Tools: hfind, mactime, sorter
autopsy: „Forensic Browser“ Webfrontend für
Kommandozeilentools Sleuth Kit
Ralph Sontag
Die Bilder sind weg!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
Erste Experimente
dosfsck – erzeugte leeres Verzeichnis dcim/100olymp
fatundel, jpg-recover, fatback – kein Erfolg
sleuthkit Version 2.06: Sammlung Unix-basierter
Kommandozeilentools. Unterstützt viele
Filesysteme:
File System Layer Tools: fsstat
File Name Layer Tools: ffind, fls
Meta Data Layer Tools: icat, ifind, ils, istat
Data Unis Layer Tools: dcat, dls, dstat, dcalc
File System Journal Tools: jcat, jls
Media Management Tools: mmls
Image File Tools: img_stat, img_cat
Disk Tools: disk_sreset, disk_stat
Other Tools: hfind, mactime, sorter
autopsy: „Forensic Browser“ Webfrontend für
Kommandozeilentools Sleuth Kit
Ralph Sontag
Die Bilder sind weg!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
Erste Experimente
dosfsck – erzeugte leeres Verzeichnis dcim/100olymp
fatundel, jpg-recover, fatback – kein Erfolg
sleuthkit Version 2.06: Sammlung Unix-basierter
Kommandozeilentools. Unterstützt viele
Filesysteme:
File System Layer Tools: fsstat
File Name Layer Tools: ffind, fls
Meta Data Layer Tools: icat, ifind, ils, istat
Data Unis Layer Tools: dcat, dls, dstat, dcalc
File System Journal Tools: jcat, jls
Media Management Tools: mmls
Image File Tools: img_stat, img_cat
Disk Tools: disk_sreset, disk_stat
Other Tools: hfind, mactime, sorter
autopsy: „Forensic Browser“ Webfrontend für
Kommandozeilentools Sleuth Kit
Ralph Sontag
Die Bilder sind weg!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
Erste Experimente
dosfsck – erzeugte leeres Verzeichnis dcim/100olymp
fatundel, jpg-recover, fatback – kein Erfolg
sleuthkit Version 2.06: Sammlung Unix-basierter
Kommandozeilentools. Unterstützt viele
Filesysteme:
File System Layer Tools: fsstat
File Name Layer Tools: ffind, fls
Meta Data Layer Tools: icat, ifind, ils, istat
Data Unis Layer Tools: dcat, dls, dstat, dcalc
File System Journal Tools: jcat, jls
Media Management Tools: mmls
Image File Tools: img_stat, img_cat
Disk Tools: disk_sreset, disk_stat
Other Tools: hfind, mactime, sorter
autopsy: „Forensic Browser“ Webfrontend für
Kommandozeilentools Sleuth Kit
Ralph Sontag
Die Bilder sind weg!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
Erste Experimente
dosfsck – erzeugte leeres Verzeichnis dcim/100olymp
fatundel, jpg-recover, fatback – kein Erfolg
sleuthkit Version 2.06: Sammlung Unix-basierter
Kommandozeilentools. Unterstützt viele
Filesysteme:
File System Layer Tools: fsstat
File Name Layer Tools: ffind, fls
Meta Data Layer Tools: icat, ifind, ils, istat
Data Unis Layer Tools: dcat, dls, dstat, dcalc
File System Journal Tools: jcat, jls
Media Management Tools: mmls
Image File Tools: img_stat, img_cat
Disk Tools: disk_sreset, disk_stat
Other Tools: hfind, mactime, sorter
autopsy: „Forensic Browser“ Webfrontend für
Kommandozeilentools Sleuth Kit
Ralph Sontag
Die Bilder sind weg!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
Erste Experimente
dosfsck – erzeugte leeres Verzeichnis dcim/100olymp
fatundel, jpg-recover, fatback – kein Erfolg
sleuthkit Version 2.06: Sammlung Unix-basierter
Kommandozeilentools. Unterstützt viele
Filesysteme:
File System Layer Tools: fsstat
File Name Layer Tools: ffind, fls
Meta Data Layer Tools: icat, ifind, ils, istat
Data Unis Layer Tools: dcat, dls, dstat, dcalc
File System Journal Tools: jcat, jls
Media Management Tools: mmls
Image File Tools: img_stat, img_cat
Disk Tools: disk_sreset, disk_stat
Other Tools: hfind, mactime, sorter
autopsy: „Forensic Browser“ Webfrontend für
Kommandozeilentools Sleuth Kit
Ralph Sontag
Die Bilder sind weg!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
Erste Experimente
dosfsck – erzeugte leeres Verzeichnis dcim/100olymp
fatundel, jpg-recover, fatback – kein Erfolg
sleuthkit Version 2.06: Sammlung Unix-basierter
Kommandozeilentools. Unterstützt viele
Filesysteme:
File System Layer Tools: fsstat
File Name Layer Tools: ffind, fls
Meta Data Layer Tools: icat, ifind, ils, istat
Data Unis Layer Tools: dcat, dls, dstat, dcalc
File System Journal Tools: jcat, jls
Media Management Tools: mmls
Image File Tools: img_stat, img_cat
Disk Tools: disk_sreset, disk_stat
Other Tools: hfind, mactime, sorter
autopsy: „Forensic Browser“ Webfrontend für
Kommandozeilentools Sleuth Kit
Ralph Sontag
Die Bilder sind weg!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
Erste Experimente
dosfsck – erzeugte leeres Verzeichnis dcim/100olymp
fatundel, jpg-recover, fatback – kein Erfolg
sleuthkit Version 2.06: Sammlung Unix-basierter
Kommandozeilentools. Unterstützt viele
Filesysteme:
File System Layer Tools: fsstat
File Name Layer Tools: ffind, fls
Meta Data Layer Tools: icat, ifind, ils, istat
Data Unis Layer Tools: dcat, dls, dstat, dcalc
File System Journal Tools: jcat, jls
Media Management Tools: mmls
Image File Tools: img_stat, img_cat
Disk Tools: disk_sreset, disk_stat
Other Tools: hfind, mactime, sorter
autopsy: „Forensic Browser“ Webfrontend für
Kommandozeilentools Sleuth Kit
Ralph Sontag
Die Bilder sind weg!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
Erste Experimente
dosfsck – erzeugte leeres Verzeichnis dcim/100olymp
fatundel, jpg-recover, fatback – kein Erfolg
sleuthkit Version 2.06: Sammlung Unix-basierter
Kommandozeilentools. Unterstützt viele
Filesysteme:
File System Layer Tools: fsstat
File Name Layer Tools: ffind, fls
Meta Data Layer Tools: icat, ifind, ils, istat
Data Unis Layer Tools: dcat, dls, dstat, dcalc
File System Journal Tools: jcat, jls
Media Management Tools: mmls
Image File Tools: img_stat, img_cat
Disk Tools: disk_sreset, disk_stat
Other Tools: hfind, mactime, sorter
autopsy: „Forensic Browser“ Webfrontend für
Kommandozeilentools Sleuth Kit
Ralph Sontag
Die Bilder sind weg!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
Erste Experimente
dosfsck – erzeugte leeres Verzeichnis dcim/100olymp
fatundel, jpg-recover, fatback – kein Erfolg
sleuthkit Version 2.06: Sammlung Unix-basierter
Kommandozeilentools. Unterstützt viele
Filesysteme:
File System Layer Tools: fsstat
File Name Layer Tools: ffind, fls
Meta Data Layer Tools: icat, ifind, ils, istat
Data Unis Layer Tools: dcat, dls, dstat, dcalc
File System Journal Tools: jcat, jls
Media Management Tools: mmls
Image File Tools: img_stat, img_cat
Disk Tools: disk_sreset, disk_stat
Other Tools: hfind, mactime, sorter
autopsy: „Forensic Browser“ Webfrontend für
Kommandozeilentools Sleuth Kit
Ralph Sontag
Die Bilder sind weg!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
Erste Experimente
dosfsck – erzeugte leeres Verzeichnis dcim/100olymp
fatundel, jpg-recover, fatback – kein Erfolg
sleuthkit Version 2.06: Sammlung Unix-basierter
Kommandozeilentools. Unterstützt viele
Filesysteme:
File System Layer Tools: fsstat
File Name Layer Tools: ffind, fls
Meta Data Layer Tools: icat, ifind, ils, istat
Data Unis Layer Tools: dcat, dls, dstat, dcalc
File System Journal Tools: jcat, jls
Media Management Tools: mmls
Image File Tools: img_stat, img_cat
Disk Tools: disk_sreset, disk_stat
Other Tools: hfind, mactime, sorter
autopsy: „Forensic Browser“ Webfrontend für
Kommandozeilentools Sleuth Kit
Ralph Sontag
Die Bilder sind weg!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
Erste Experimente
dosfsck – erzeugte leeres Verzeichnis dcim/100olymp
fatundel, jpg-recover, fatback – kein Erfolg
sleuthkit Version 2.06: Sammlung Unix-basierter
Kommandozeilentools. Unterstützt viele
Filesysteme:
File System Layer Tools: fsstat
File Name Layer Tools: ffind, fls
Meta Data Layer Tools: icat, ifind, ils, istat
Data Unis Layer Tools: dcat, dls, dstat, dcalc
File System Journal Tools: jcat, jls
Media Management Tools: mmls
Image File Tools: img_stat, img_cat
Disk Tools: disk_sreset, disk_stat
Other Tools: hfind, mactime, sorter
autopsy: „Forensic Browser“ Webfrontend für
Kommandozeilentools Sleuth Kit
Ralph Sontag
Die Bilder sind weg!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
Nächste Idee: Image editieren
Suche nach Strings „JFIF“: nicht erfolgreich
Hexadezimaleditoren: ghex2, khexedit – aktuell
vorhandenes Wissen über FAT, Partitionstabellen
usw. reicht nicht aus
sehr zähes Arbeiten bei großen Dateien: Kopie im
Hauptspeicher!
lde Linux Disk-Editor: Kann helfen, Struktur des
Images zu verstehen
Ralph Sontag
Die Bilder sind weg!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
Nächste Idee: Image editieren
Suche nach Strings „JFIF“: nicht erfolgreich
Hexadezimaleditoren: ghex2, khexedit – aktuell
vorhandenes Wissen über FAT, Partitionstabellen
usw. reicht nicht aus
sehr zähes Arbeiten bei großen Dateien: Kopie im
Hauptspeicher!
lde Linux Disk-Editor: Kann helfen, Struktur des
Images zu verstehen
Ralph Sontag
Die Bilder sind weg!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
Nächste Idee: Image editieren
Suche nach Strings „JFIF“: nicht erfolgreich
Hexadezimaleditoren: ghex2, khexedit – aktuell
vorhandenes Wissen über FAT, Partitionstabellen
usw. reicht nicht aus
sehr zähes Arbeiten bei großen Dateien: Kopie im
Hauptspeicher!
lde Linux Disk-Editor: Kann helfen, Struktur des
Images zu verstehen
Ralph Sontag
Die Bilder sind weg!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
Nächste Idee: Image editieren
Suche nach Strings „JFIF“: nicht erfolgreich
Hexadezimaleditoren: ghex2, khexedit – aktuell
vorhandenes Wissen über FAT, Partitionstabellen
usw. reicht nicht aus
sehr zähes Arbeiten bei großen Dateien: Kopie im
Hauptspeicher!
lde Linux Disk-Editor: Kann helfen, Struktur des
Images zu verstehen
Ralph Sontag
Die Bilder sind weg!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
Fall 1: Endlich Erfolg!
Data Recovery Tools:
http://dr-tools.sourceforge.net/
dr-fat: Speicherzugriffsfehler
jpeg-recover:sucht JPEGs in einem Datenstrom
Holte 332 Bilder aus dem Olympus-Image.
Filenamen mit exiftool per Skript neu generiert
#!/bin/tcsh
foreach i (`ls *.jpg`)
mv -i $i `exiftool $i | grep "File Modification Date/Time"|\
sed -e's/^ *File Modification Date\/Time *: //' -e's/:/_/g'\
| sed -e 's/ /-/'`.jpg
end
Einzelne Thumbnails
Erstes Problem damit gelöst: (Alle?) Bilder
gefunden
Ralph Sontag
Die Bilder sind weg!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
Fall 2: jpeg-recover reicht nicht
Imagefile zu groß: Zerlegen in 2-GB-Blöcke, auf
Überlappung achten!
Weitere Daten können nicht gerettet werden
Sortierung der Bilder geht verloren
Filenamen gehen verloren
Immerhin: Die unersetzbaren Daten wären
rückholbar
Ralph Sontag
Die Bilder sind weg!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
Fall 2: jpeg-recover reicht nicht
Imagefile zu groß: Zerlegen in 2-GB-Blöcke, auf
Überlappung achten!
Weitere Daten können nicht gerettet werden
Sortierung der Bilder geht verloren
Filenamen gehen verloren
Immerhin: Die unersetzbaren Daten wären
rückholbar
Ralph Sontag
Die Bilder sind weg!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
Fall 2: jpeg-recover reicht nicht
Imagefile zu groß: Zerlegen in 2-GB-Blöcke, auf
Überlappung achten!
Weitere Daten können nicht gerettet werden
Sortierung der Bilder geht verloren
Filenamen gehen verloren
Immerhin: Die unersetzbaren Daten wären
rückholbar
Ralph Sontag
Die Bilder sind weg!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
Fall 2: jpeg-recover reicht nicht
Imagefile zu groß: Zerlegen in 2-GB-Blöcke, auf
Überlappung achten!
Weitere Daten können nicht gerettet werden
Sortierung der Bilder geht verloren
Filenamen gehen verloren
Immerhin: Die unersetzbaren Daten wären
rückholbar
Ralph Sontag
Die Bilder sind weg!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
Fall 2: jpeg-recover reicht nicht
Imagefile zu groß: Zerlegen in 2-GB-Blöcke, auf
Überlappung achten!
Weitere Daten können nicht gerettet werden
Sortierung der Bilder geht verloren
Filenamen gehen verloren
Immerhin: Die unersetzbaren Daten wären
rückholbar
Ralph Sontag
Die Bilder sind weg!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
Das beste Tool: testdisk
http://www.cgsecurity.org/wiki/TestDisk
testdisk und photorec
DOS, Windows, Linux, BSD, SunOS, MacOS
viele Filesysteme, darunter CramFS, Linux Raid, JFS,
Swap, LVM, LVM2, Novell Storage Services, ReiserFS
3.5, 3.6, 4, NTFS, XFS
sucht Partitionstabellen, ermöglicht
Wiederherstellung
gute Dokumentation, auch in Deutsch
auf diversen CD-Linuxen vorhanden
Menuegeführt im Terminal
photorec analog zu jpeg-recover, findet aber auch
PDF, Office, ZIP, HTML, . . .
Ralph Sontag
Die Bilder sind weg!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
Das beste Tool: testdisk
http://www.cgsecurity.org/wiki/TestDisk
testdisk und photorec
DOS, Windows, Linux, BSD, SunOS, MacOS
viele Filesysteme, darunter CramFS, Linux Raid, JFS,
Swap, LVM, LVM2, Novell Storage Services, ReiserFS
3.5, 3.6, 4, NTFS, XFS
sucht Partitionstabellen, ermöglicht
Wiederherstellung
gute Dokumentation, auch in Deutsch
auf diversen CD-Linuxen vorhanden
Menuegeführt im Terminal
photorec analog zu jpeg-recover, findet aber auch
PDF, Office, ZIP, HTML, . . .
Ralph Sontag
Die Bilder sind weg!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
Das beste Tool: testdisk
http://www.cgsecurity.org/wiki/TestDisk
testdisk und photorec
DOS, Windows, Linux, BSD, SunOS, MacOS
viele Filesysteme, darunter CramFS, Linux Raid, JFS,
Swap, LVM, LVM2, Novell Storage Services, ReiserFS
3.5, 3.6, 4, NTFS, XFS
sucht Partitionstabellen, ermöglicht
Wiederherstellung
gute Dokumentation, auch in Deutsch
auf diversen CD-Linuxen vorhanden
Menuegeführt im Terminal
photorec analog zu jpeg-recover, findet aber auch
PDF, Office, ZIP, HTML, . . .
Ralph Sontag
Die Bilder sind weg!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
Das beste Tool: testdisk
http://www.cgsecurity.org/wiki/TestDisk
testdisk und photorec
DOS, Windows, Linux, BSD, SunOS, MacOS
viele Filesysteme, darunter CramFS, Linux Raid, JFS,
Swap, LVM, LVM2, Novell Storage Services, ReiserFS
3.5, 3.6, 4, NTFS, XFS
sucht Partitionstabellen, ermöglicht
Wiederherstellung
gute Dokumentation, auch in Deutsch
auf diversen CD-Linuxen vorhanden
Menuegeführt im Terminal
photorec analog zu jpeg-recover, findet aber auch
PDF, Office, ZIP, HTML, . . .
Ralph Sontag
Die Bilder sind weg!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
Das beste Tool: testdisk
http://www.cgsecurity.org/wiki/TestDisk
testdisk und photorec
DOS, Windows, Linux, BSD, SunOS, MacOS
viele Filesysteme, darunter CramFS, Linux Raid, JFS,
Swap, LVM, LVM2, Novell Storage Services, ReiserFS
3.5, 3.6, 4, NTFS, XFS
sucht Partitionstabellen, ermöglicht
Wiederherstellung
gute Dokumentation, auch in Deutsch
auf diversen CD-Linuxen vorhanden
Menuegeführt im Terminal
photorec analog zu jpeg-recover, findet aber auch
PDF, Office, ZIP, HTML, . . .
Ralph Sontag
Die Bilder sind weg!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
Das beste Tool: testdisk
http://www.cgsecurity.org/wiki/TestDisk
testdisk und photorec
DOS, Windows, Linux, BSD, SunOS, MacOS
viele Filesysteme, darunter CramFS, Linux Raid, JFS,
Swap, LVM, LVM2, Novell Storage Services, ReiserFS
3.5, 3.6, 4, NTFS, XFS
sucht Partitionstabellen, ermöglicht
Wiederherstellung
gute Dokumentation, auch in Deutsch
auf diversen CD-Linuxen vorhanden
Menuegeführt im Terminal
photorec analog zu jpeg-recover, findet aber auch
PDF, Office, ZIP, HTML, . . .
Ralph Sontag
Die Bilder sind weg!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
Das beste Tool: testdisk
http://www.cgsecurity.org/wiki/TestDisk
testdisk und photorec
DOS, Windows, Linux, BSD, SunOS, MacOS
viele Filesysteme, darunter CramFS, Linux Raid, JFS,
Swap, LVM, LVM2, Novell Storage Services, ReiserFS
3.5, 3.6, 4, NTFS, XFS
sucht Partitionstabellen, ermöglicht
Wiederherstellung
gute Dokumentation, auch in Deutsch
auf diversen CD-Linuxen vorhanden
Menuegeführt im Terminal
photorec analog zu jpeg-recover, findet aber auch
PDF, Office, ZIP, HTML, . . .
Ralph Sontag
Die Bilder sind weg!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
Das beste Tool: testdisk
http://www.cgsecurity.org/wiki/TestDisk
testdisk und photorec
DOS, Windows, Linux, BSD, SunOS, MacOS
viele Filesysteme, darunter CramFS, Linux Raid, JFS,
Swap, LVM, LVM2, Novell Storage Services, ReiserFS
3.5, 3.6, 4, NTFS, XFS
sucht Partitionstabellen, ermöglicht
Wiederherstellung
gute Dokumentation, auch in Deutsch
auf diversen CD-Linuxen vorhanden
Menuegeführt im Terminal
photorec analog zu jpeg-recover, findet aber auch
PDF, Office, ZIP, HTML, . . .
Ralph Sontag
Die Bilder sind weg!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
Das beste Tool: testdisk
http://www.cgsecurity.org/wiki/TestDisk
testdisk und photorec
DOS, Windows, Linux, BSD, SunOS, MacOS
viele Filesysteme, darunter CramFS, Linux Raid, JFS,
Swap, LVM, LVM2, Novell Storage Services, ReiserFS
3.5, 3.6, 4, NTFS, XFS
sucht Partitionstabellen, ermöglicht
Wiederherstellung
gute Dokumentation, auch in Deutsch
auf diversen CD-Linuxen vorhanden
Menuegeführt im Terminal
photorec analog zu jpeg-recover, findet aber auch
PDF, Office, ZIP, HTML, . . .
Ralph Sontag
Die Bilder sind weg!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
Ergebnisse
testdisk konnte die Platte im Fall 2 restaurieren:
Partitionstabelle und FAT wurden repariert
⇒ sämtliche Daten gerettet
photorec fand auch alle vorher gelöschten Dateien:
hier leider unerwünscht
testdisk half im Fall 1 nicht
genauer Fehler im Fall 1 nicht bekannt
Ralph Sontag
Die Bilder sind da!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
Ergebnisse
testdisk konnte die Platte im Fall 2 restaurieren:
Partitionstabelle und FAT wurden repariert
⇒ sämtliche Daten gerettet
photorec fand auch alle vorher gelöschten Dateien:
hier leider unerwünscht
testdisk half im Fall 1 nicht
genauer Fehler im Fall 1 nicht bekannt
Ralph Sontag
Die Bilder sind da!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
Ergebnisse
testdisk konnte die Platte im Fall 2 restaurieren:
Partitionstabelle und FAT wurden repariert
⇒ sämtliche Daten gerettet
photorec fand auch alle vorher gelöschten Dateien:
hier leider unerwünscht
testdisk half im Fall 1 nicht
genauer Fehler im Fall 1 nicht bekannt
Ralph Sontag
Die Bilder sind da!
Geschichte
Welche Werkzeuge?
Vorgehen
Fazit
Ergebnisse
testdisk konnte die Platte im Fall 2 restaurieren:
Partitionstabelle und FAT wurden repariert
⇒ sämtliche Daten gerettet
photorec fand auch alle vorher gelöschten Dateien:
hier leider unerwünscht
testdisk half im Fall 1 nicht
genauer Fehler im Fall 1 nicht bekannt
Ralph Sontag
Die Bilder sind da!