Hallo Robert, Robert Michel <[EMAIL PROTECTED]> wrote: > Ok jetzt zu fsck.vfat: > # fsck.vfat /dev/loop1 > dosfsck 2.10, 22 Sep 2003, FAT32, LFN > Logical sector size is zero. > > Ein frisch formatierte Karte liefert übrings die > gleiche Angabe.
Bei einer formatierten Karte muß eigentlich die Anzahl der Cluster angezeigt werden. So in der Art etwa: dosfsck 2.11, 12 Mar 2005, FAT32, LFN 32mb.img: 0 files, 0/15640 clusters Oder meinst Du mit formatiert 'dd if=/dev/ zero of=/dev/hdX bs=512'? Wenn nur der erste Sektor beschädigt/gelöscht wurde, dann könntest Du diesen mit dd von einer anderen Karte mit gleicher Kapazität und gleicher Formatierung kopieren. Das würde Dir etwas nutzen, wenn nicht noch weitere Sektoren beschädigt sind. > Was muß ich lesen um zu wissen, was da nicht stimmt? > Google hat mir nicht helfen können. Wenn der erste Sektor z.B. gelöscht wurde, dann fehlen alle logischen Informationen darüber wie der Platz auf der Karte organisiert wird. Informationen wie das FAT Dateisystem aufgebaut ist findest Du z.B. hier: http://en.wikipedia.org/wiki/File_Allocation_Table http://www.inf.hs-zigr.de/~maetti01/?page=Studium/FAT32 sehr ausführlich auch hier: http://www.microsoft.com/whdc/system/platform/firmware/fatgen.mspx > autopsy hatte ich schon probiert - ohne das ich etwas damit gefunden > habe. Das hängt damit zusammen das es keine Informationen über das verwendete Filesystem gefunden hat. > Bei foremost hatte ich erst befürchtet, es wäre nur für > Bilder, Audio und Video - aber man kann die Header frei wählen. > Wobei ich nicht verstehe warum es keine eindeutigen Deiteianfangs > und Endeformatierungen gibt. Bei binären Formaten gibt es fast immer einen Header in dem weitere Informationen zum Inhalt stehen. Dieser setzt sich meistens aus einer eindeutigen Kennung (z.B. %PDF bei Dateien im PDF-Format) und weiteren Informationen über den Dateiinhalt zusammen (z.B. die Größe und Farbtiefe bei Bildformaten). Die Kennung wird von den Programmen auch verwendet um zu erkennen ob sie den Inhalt der Datei auch interpretieren können. Würdest Du beispielsweise in einer PDF-Datei %PDF durch %XYZ ersetzen, dann könntest Du Dir das PDF-Dokument nicht mehr anzeigen lassen. Da ein Anzeigeprogramm die Datei dann nicht mehr als PDF erkennen würde und somit auch garnicht erst versucht den Inhalt der Datei zu interpretieren. Weil es Datenformate gibt in denen Informationen in verschiedenen Blöcken abgelegt sind (z.B. JPEG) wird das Ende eines Blocks mit einem Footer gekennzeichnet (z.B. bei JPEG sind das die Bytes FFh, F9h). > OK fat ist von M$ verbreitet worden - ich sollte mich nicht wundern. Der Dateiaufbau hat aber nichts mit dem Filsystem zu tun. > Gibt es keine Tools, die alle Dateien, auch Exotische Formate > wiederherstellen können? Es kommt immer darauf an welche Informationen noch da sind. Ist das Inhaltsverzeichnis auf einer FAT Partition gelöscht, z.B. durch 'mkfs.vfat /dev/hdX', dann sind die Daten der Dateien immer noch auf der Partion vorhanden. Es fehlt aber der Hinweis wie eine Datei gehießen und in welchem Sektor sie begonnen hat. Ohne diese Informationen kann z.B. autopsy eine gelöschte Datei nicht wieder herstellen. Foremost könnte es aber trotzdem noch. Und zwar macht es sich eben Header und Footer einer Datei zu nutze. Es liest einen Sektor ein und überprüft ob dieser mit einem zu prüfenden Header beginnt. Ist das nicht der Fall liest es den nächsten und so fort. Wird ein passender Sektor gefunden, dann liest es solange weitere Sektoren ein bis es auf den Footer trifft oder die angegebene maximale Länge erreicht wurde. Daran ist aber schon zu erkennen, das es nur dann wirklich erfolgreich ist, wenn: - alle zur Datei gehörenden Sektoren hintereinander liegen - das Dateiformat sich mindestens durch einen Header festlegen lässt > Für Palm Programme *.prc und Datenbanken *.pdb muß ich also > passende Werte für die foremost.conf finden Du lässt Dir einfach von einigen Dateien des gleichen Typs die ersten und letzten Bytes anzeigen und schaust ob da konstante Bytefolgen zu erkennen sind. Die kannst Du dann in der foremost.conf eintragen. für Header: hexdump - Cn 15 dein.prc für Footer: tail --bytes 15 dein.prc | hexdump -C > Ich glaube das Forensische Datenwiederherstellen erschließt sich > nicht an einem Abend - daher werde mein image beiseite legen und > versuchen schrittweise verschiedene Dateitypen wiederherzustellen, > bevor ich es mit dem 128 MB Image probiere. Zuerst musst Du Dir theoretisches Wissen über den Aufbau des Filesystems aneignen. Ansonsten suchst Du die Nadel im Heuhaufen. Mit den theoretischen Grundlagen ist es dann vielleicht nur der Nagel im Strohballen. ;-) Wenn auf der Karte zuvor häufig Dateien gelöscht, überschrieben, neu angelegt wurden, dann sind die Erfolgschancen wegen der dadurch entstandenen Fragementierung eher gering. Die Erfolgschancen würde ich in so einem Fall als umgekehrt proportional zu Fragmentierung und Dateigröße ansehen. nette Grüße Frank