Datenrettung mit foremost

In den letzten Tagen hatte ich es mit einem Datenträger zu tun, dessen Partitionstabelle überschrieben worden war. Eine Analyse mit testdisk hat zwar ergeben, dass die alte Partitionstabelle zwar noch erkannt wurde, aber es leider keine Möglichkeit gab, diese wiederherzustellen bzw. auf die Dateien der alten Partition zuzugreifen. Darauf habe ich mich nach verschiedenen Tools umgeschaut und bin auf foremost gestoßen.

Foremost ist ein Konsolenprogramm zur Wiederherstellung von Daten anhand der Headers, Footers und interen Datenstrukturen. Ursprünglich von der Air Force Office of Special Investigations und The Center for Information Systems Security Studies and Research entwickelt, wurde es der Allgemeinheit zur Verfügung gestellt.

Bevor man jedoch foremost einsetzt, sollte man unbedingt eine 1:1 Kopie seines (kaputten) Datenträgers machen, um weiteren Verlust vorzubeugen. Ein Image kann z.B. mit dd oder dd_rescue erstellt werden.

Das Programm befindet sich in den Paketquellen von Ubuntu und kann mit

sudo apt-get install foremost

installiert werden. Nach der Installation befindet sich eine Konfigurationsdatei in /etc/foremost.conf. Diese Datei enthält Informationen über die verschiedenen Dateitypen. Nach der Installation sind alle Dateitypen auskommentiert. Man braucht aber nur die Dateitypen zu aktivieren die nicht den folgenden Hinweise enthalten: NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION.

Mit

sudo foremost -t all -i /pfad/zum/Datenträgerabbild

kann der Wiederherstellungsprozess beginnen. Der Parameter -t all bedeutet, dass versucht wird alle Dateitypen wiederherzustellen. Die gesicherten Dateien werden im Ordner output des aktuellen Verzeichnisses gespeichert, welcher wiederum für jeden Dateitypen einen Unterordner enthält.

Mit diesem Tool konnte ich einen Großteil der Daten wiederherstellen, wenn auch nicht alle.

• Datenrettung
• Festplatte
• Foremost
• Ubuntu