Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen der Seite angezeigt.

Link zu der Vergleichsansicht

Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung
Letzte ÜberarbeitungBeide Seiten, nächste Überarbeitung
dinge_die_einem_das_leben_erleichtern [2024/04/18 09:15] – [APT Paketverwaltung] lomadinge_die_einem_das_leben_erleichtern [2024/04/21 21:14] loma
Zeile 404: Zeile 404:
 </code> </code>
  
 +===== Datenrettung =====
 +
 +==== Foremost ====
 +Foremost stellt verschiedene Dateitypen her. Weitere neue such Typen (Suchmuster) kann man manuell hinzufügen.
 +
 +Foremost installieren:
 + apt install foremost
 +
 +<WRAP center round important 60%>
 +Gefundene Dateien werden in dem Verzeichnis gespeichert aus welchem das Programm gestartet wurde.
 +Man muss daher zuerst auf die Festplatte oder Freigabe wechseln wo man die wiederhergestellten Bilder speichern möchte.
 +Das Zielverzeichnis muss leer sein.
 +</WRAP>
 +
 +Suchlauf starten:
 + foremost -t all -v dd_image_oder_/dev/sdx
 +
 +==== TSK Recover ====
 +Das Forensik-Toolkit Sleuthkit (die Spürhund-Schnüffel-Tools) installieren:
 + apt install sleuthkit
 +
 +Zunächst am besten ein Image des zu untersuchenden Laufwerks erstellen:
 + dd if=/dev/sdX of=sdX_image status=progress bs=1M
 +
 +Danach den Offset (den Beginn der verschiedenen Partitionen) ermitteln:
 + mmls sdX_image
 +
 +Man erhält hier eine Ausgabe der Partitionen.
 +
 +Die eigentliche Wiederherstellung startet man dann mittels:
 + tsk_recover -ev -o 8192 sdX_image /Ausgabepfad/
 +
 +Parameterbeschreibung:
 +''[-ev] 'e''' alle Dateien wiederherstellen, '''v''' (verbose) einen Verlauf anzeigen.
 +''[-o 8192]'' ist die Offsetangabe, welche man entsprechend der Partitionen selbst anpassen muss.
 +''[/Ausgabepfad/]'' bestimmt wo die restaurierten Daten gesichert werden. Der Ausgabepfad sollte logischerweise nicht auf das zu untersuchende/zu rettende Dateisystem verweisen.
 +
 +Quelle: https://ctaas.de/