Datenrettung mit foremost

In den letzten Tagen hatte ich es mit einem Datenträger zu tun, dessen Partitionstabelle überschrieben worden war. Eine Analyse mit testdisk hat zwar ergeben, dass die alte Partitionstabelle zwar noch erkannt wurde, aber es leider keine Möglichkeit gab, diese wiederherzustellen bzw. auf die Dateien der alten Partition zuzugreifen. Darauf habe ich mich nach verschiedenen Tools umgeschaut und bin auf foremost gestoßen.

Foremost ist ein Konsolenprogramm zur Wiederherstellung von Daten anhand der Headers, Footers und interen Datenstrukturen. Ursprünglich von der Air Force Office of Special Investigations und The Center for Information Systems Security Studies and Research entwickelt, wurde es der Allgemeinheit zur Verfügung gestellt.

Bevor man jedoch foremost einsetzt, sollte man unbedingt eine 1:1 Kopie seines (kaputten) Datenträgers machen, um weiteren Verlust vorzubeugen. Ein Image kann z.B. mit dd oder dd_rescue erstellt werden.

Das Programm befindet sich in den Paketquellen von Ubuntu und kann mit

sudo apt-get install foremost

installiert werden. Nach der Installation befindet sich eine Konfigurationsdatei in /etc/foremost.conf. Diese Datei enthält Informationen über die verschiedenen Dateitypen. Nach der Installation sind alle Dateitypen auskommentiert. Man braucht aber nur die Dateitypen zu aktivieren die nicht den folgenden Hinweise enthalten: NOTE THIS FORMAT HAS A BUILTIN EXTRACTION FUNCTION.

Mit

sudo foremost -t all -i /pfad/zum/Datenträgerabbild

kann der Wiederherstellungsprozess beginnen. Der Parameter -t all bedeutet, dass versucht wird alle Dateitypen wiederherzustellen. Die gesicherten Dateien werden im Ordner output des aktuellen Verzeichnisses gespeichert, welcher wiederum für jeden Dateitypen einen Unterordner enthält.

Mit diesem Tool konnte ich einen Großteil der Daten wiederherstellen, wenn auch nicht alle.

5 Comments:

  1. RSS-Feeder

    …gibts es zu der Seite eigentlich auch einen RSS-Feed???

    RSS-Feeder

  2. RSS-Feeder

    sehr schoen, allerdings muss man, um an die Feed-URL zu kommen:
    (A) erst draufklicken, um den Feed zu oeffnen
    (B) in FF abonnieren

    Am besten waere irgendwo auf der Seite ein RSS-Feed-Logo, wo man den Feed direkt abgreifen kann und in den Reader SEINER WAHL einbinden kann, ohne erst zig andere Schritte machen zu muessen…

    Die Seite gefaellt mir gut – insb. die Linux-Themen.

    RSS-Feeder

  3. zefanja

    @RSS-Feeder: ich weiß, dass das umständlich. Hätte es auch gern anders, aber mit dem kostenlosen Account bei wordpress.com hat man nicht die Möglichkeit das Theme anzupassen. Naja…ich hab mir vorgenommen, nen eigenes WordPress aufzusetzen, doch da fehlt es mir momentan an der Zeit und dem Server.

Leave a Reply:

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert