Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- linux:datenrettung [2009/09/26 14:07] – st
+++ linux:datenrettung [2014/01/16 21:49] (aktuell) – [Tools] st
@@ Zeile 1: / Zeile 1: @@
+====== Datenrettung ======
+Bevor man anfängt sollte man ein Image der kompletten Partition anlegen und Reparaturversuche nur an der Kopie vornehmen.
+  dd if=/dev/hda of=/Ort/Datei.
+Genauer wird das in dem Artikel [[http://www.linux-club.de/faq/Imageerstellung_mit_dd_und_ddrescue|Imageerstellung mit dd und ddrescue]] beschrieben.
+Wenn man sich nicht sicher ist, ob es nicht doch an anderer Hardware liegt, mal ein Speichertest/Systemcheck machen bzw. die Festplatte mit dem Programm ''badblocks'' testen.
+Die Dateien sollte nur entweder
+  * auf eine seperate Festplatte
+  * auf ein Netzlaufwerk
+  * oder auf eine seperate Partition auf der Festplatte erfolgen
+:!: Wenn man geöffnete Dateien schon gelöscht aber noch geöffnet hat, beschreibt dieser Artikel (**[[http://www.linux.com/articles/58142?tid=47|Bring back deleted files with lsof]]**) wie man sie trotzdem wieder herstellen kann. Nur darf das Programm (das die Datei geöffnet hat) darf nicht vorher geschlossen werden. Der Grund ist das Datenblöcke bzw. der Speicherplatz von Dateien/Verzeichnissen erst wirklich freigegeben wird wenn der Linkcount auf 0 steht. Eine geöffnete (aber schon gelöschte) Datei zählt auch als 1, bei schließen ist der Linkcount 0 und der Platz wird freigegeben. Die Problematik wird in dem Artikel [[http://www.hackinglinuxexposed.com/articles/20031214.html|The mysteriously persistently exploitable program explained]] aus der Sicherheitsperspektive beleuchtet.
+===== Links =====
+  * [[http://www.wannago.de/|wannago]] Datenrettungsforum
+  * [[http://www.tldp.org/HOWTO/Partition-Rescue/index.html|Partition-Rescue HOWTO]]
+  * [[http://www.tldp.org/HOWTO/Ext2fs-Undeletion.html|Linux Ext2fs Undeletion mini-HOWTO]]
+  * [[http://www.linux.com/article.pl?sid=06/08/21/1558230|How to recover lost files after you accidentally wipe your hard drive]]
+  * [[http://searchenterpriselinux.techtarget.com/tip/0,289483,sid39_gci1246211,00.html|Troubleshooting, finding lost files in Linux servers]]
+  * [[http://www.linux.com/articles/58142?tid=47|Bring back deleted files with lsof]]
+===== Tools =====
+  fdisk -l
+zeigt die aktuelle Partitionierung an.
+  * **dd** (''conv=noerror'' ist nur nötig wenn Lesefehler zu erwarten sind bzw. dann nicht abgebrochen werden soll)
+    * Aufruf: dd if=Quelle of=Ziel(-datei) als z.B. <code bash>dd if=/dev/sda of=/dev/sdb bs=8225280 conv=noerror</code>
+  * **dd_rescue** - erstellt Images von Festplatten und Partitionen, im Gegensatz zu dd bricht es aber nicht bei (Lese-) Fehlern ab.
+    * Aufruf: dd_rescue Quelle Ziel(-datei) als z.B. <code bash>dd_rescue /dev/sr0 defekte-CD.iso</code>
+    * [[http://www.linux-user.de/ausgabe/2004/08/048-dd-rescue/|Rettungsanker - Mit dd_rescue defekte Partition wiederherstellen]]
+    * [[http://www.gnu.org/software/ddrescue/ddrescue.html|Ddrescue - Data recovery tool (Homepage)]]
+    * [[http://www.linux-club.de/faq/Imageerstellung_mit_dd_und_ddrescue|Imageerstellung mit dd und ddrescue]]
+    * [[http://www.debianadmin.com/recover-data-from-a-dead-hard-drive-using-ddrescue.html|Recover Data From a dead hard drive using ddrescue]]
+  * **[[http://www.cgsecurity.org/wiki/PhotoRec|PhotoRec]]**: für Videos, Dokumente and Archive from Hard Disks, CDRom und verlorene Bilder (Photo Recovery) vom Speicher der digitalen Kamera.
+  * [[http://www.cgsecurity.org/wiki/TestDisk|TestDisk]]
+  * [[http://www.e-fense.com/helix/|Helix]] - Knoppix-basierte LiveCD für Datensicherung und Forensik: enthält super Programme zu sichern:
+  * adepto: Images ziehen auf lokale Datenträger oder über´s Netz mittels SMB bzw. [[http://netcat.sourceforge.net/|netcat]].
+  * Regview: Bearbeiten von Registry Dateien
+  * [[http://brzitwa.de/mb/gpart/index.html|gpart]]
+  * rescuept
+  * [[ftp://bmrc.berkeley.edu/pub/linux/rescue/fixdisktable-0.3.tar.gz|Fixdisktable]]
+  * [[http://www.sleuthkit.org/|sleuthkit]]
+==== Programme für Windows ====
+  * undelete
+    * [[http://www.pcinspector.de/Sites/file_recovery/info.htm?language=1|PC Inspektor File Recovery]] (undelete in ntfs, ansonsten nicht so gut aber kostenlos)
+    * [[http://www.r-studio.com/|R-Studio]] (NTFS, FAT, HFS, UFS, Ext2/3; kommerziell)
+    * [[http://www.runtime.org/data-recovery-software.htm|GetDataBack]] (gut in Undelete, MBR, Formatwiederherstellung; im Rohdatenscan nur wenige Dateitypen; kommerziell)
+  * Rohdatenscan:
+    * [[http://www.piriform.com/recuva|Recuva]] (nur Rohdatensuche; kostenlos)
+    * **[[http://www.cgsecurity.org/wiki/PhotoRec|PhotoRec]]**
+===== Dateisysteme und Wiederherstellungschancen =====
+Grundsätzlich erschweren fragmentierte Daten die Wiederherstellung,
+^ Dateisystem ^ Wiederherstellungschancen bei ^^
+^ ^ fragmentierten Daten ^ zusammenhängenden Daten ^
+| fat32 | schlecht, mit FAT-Eintrag wird auch die Liste der Cluster gelöscht. | gut, Verzeichniseintrag enthält Startposition |
+| ext2/3 | schlecht, im Rohdatenscan wird meist nur der erste Teil gefunden | Chancen im Rohdatenscan |
+| ntfs | gut, Verzeichniseintrag enthält eine komplette List der Cluster ("Run List") in denen Daten zu finden sind |  |
+==== ext2 / ext3 ====
+=== Partitionstabellen und/oder superblocks kaputt ===
+Die superblocks enthalten wichtige Informationen über das Dateisystem, wie Größe, freier Speicher etc. (ähnlich der File Allocation Table bei FAT-Partitionen). Eine Partition mit defektem Superblock kann nicht eingehangen/gemountet werden.
+Daher existieren auf der Platte auch mehrere Kopien davon.
+Mit dem Befehl
+  sudo mke2fs -n /dev/sdb1
+kann man sich die Speicherorte alternativer Superblocks anzeigen lassen.
+Mit einem der alternativen Superblöcke kann man dann reparieren (hier 8193)
+  e2fsck -b 8193 /dev/device
+und dann neu booten.
+===== Datenrettungsfirmen (Auswahl) =====
+  * [[http://www.convar.com/default.asp|Convar]]
+  * [[http://www.aigon.de/|Aigon]]
+  * [[http://www.ontrack.de/|Ontrack]]