Odzyskiwanie skasowanych logów czy plików

Jakie programy możemy użyć do odzyskania skasowanych logów? Okazuje się, że jest ich kilka…

Contents

Odzyskiwanie informacji o partycjach

gpart

Gpart to program pozwalający na odzyskiwanie informacji o partycjach znajdujących się na dysku. Obsługuje takie systemy plików jak:

  •  
  • beos (BeOS).
  • bsddl (FreeBSD/NetBSD/386BSD),
  • ext2 (Linux),
  • fat (MS-DOS, Windows FAT12/16/32 "filesystems"),
  • hpfs (IBM OS/2),
  • hmlvm (Linux – LVM by Heinz Mauelshagen).
  • lswap (Linux swap – wersja 0 i 1).
  • minix (Minix),
  • ntfs (MS Windows NT/2000),
  • qnx4 (QNX 4.x)
  • rfs (The Reiser filesystem)
  • s86dl (Sun Solaris na platformie Intela)
  • xfs (system plików firmy SGI)

 

Odzyskiwanie danych z partycji

Istnieje kilka programów, które można wykorzystać do odzyskania skasowanych danych. Pierwszy to debagfs pozwalający odzyskać pliki określając przedział czasowy kiedy usunięto plik, jego właściciela oraz wielkości. Następne to dwa narzędzia z pakietu tct (The Coroner’s Toolkit) o nazwie unrm oraz lazarus. Unrm odzyskuje wszystkie dane z określonego urządzenia lub pliku zawierającego obraz partycji, Lazarus próbuje z nich odzyskać pliki.

TCT (The Coroner’s Toolkit)

Pakiet ten zawiera dużo narzędzi służących pomocą przy dochodzeniach powłamaniowych jednak nas interesują dwa z nich: unrm oraz lazarus. Najpierw używamy unrm aby uzyskać obraz partycji (lub jej fragment)

ziutus:/tmp# unrm /dev/sdc1 > unrm.txt

a następnie wykorzystujemy lazarus’a aby z tego ciągu danych uzyskać pliki (zapisze wyniki do katalogu lazarus).

ziutus:/tmp# lazarus -D lazarus unrm.txt

Pewną niedogodnością tego sposobu odzyskiwania danych jest fakt iż odzyskiwane są wszystkie możliwe dane a nie tylko te o które nam chodzi, co w przypadku dużych dysków lub wielokrotnego kasowania i tworzenia partycji może spowodować odnalezienie wielu nieinteresujących nas plików.

Degubfs

Z tego narzędzia korzystają w polskim CERT do odzyskiwania logów i to nie przypadkiem. Jest jednak dość trudne w użytkowaniu.

Recover

Jest ono wygodne, gdyż umożliwia odzyskiwanie plików określając datę usunięcia, orientacyjną wielkość oraz właściciela. Korzysta z Debugfs.

e2salvage

Program działa w trochę inny sposób niż e2fsck (jest mniej ufny w stosunku do pewnych założeń), dzięki czemu jest o wiele bardziej skuteczny w działaniu.

Strona domowa projektu: http://e2salvage.sourceforge.net/

Dodaj komentarz