Forensik

Einige Rettungsvorhaben wie die Wiederherstellung einzelner Dateien lassen sich auch unternehmen, ohne sich mit Partitionen und Dateisystemen aufzuhalten. Das Tool »foremost« untersucht die rohen Daten direkt nach bekannten Dateitypen und legt für seine Fundstücke neue Dateien an. So durchsucht

foremost sda.img

die Image-Datei »sda.img« nach bekannten Dateien wie PNG-Bildern, Filmen und Office-Dokumenten – die alle einen Header besitzen, der die Dateigröße verzeichnet. Gefundene Dateien legt Foremost per Default im Verzeichnis »output« ab.

Bei Unix-Dateisystemen, die Blocks mit Verweisen auf andere Blocks enthalten (siehe dazu [1] ), kann die Option »-d« hilfreich sein. Wenn sich einige Dateien nicht komplett wiederherstellen lassen, weil sie teilweise überschrieben wurden, probieren Sie die Foremost-Option »-a« aus, die das Tool auch Fragmente wiederherstellen lässt. Der Einsatz dieser Option lässt die Menge an Daten explodieren, weil sich überlappende Teile mehrfach wiederhergestellt werden.

Wie Foremost stellt auch Photoroc Bilder, andere Multimedia- und Office-Dateien wieder her, macht aber viel mehr als sein Name vermuten lässt. Das Tool ist interaktiv und erinnert an das oben vorgestellte Testdisk, vermutlich weil es vom selben Autor stammt. Das ist auch der Grund, warum es bei Debian-Distributionen im gleichen Paket steckt wie Testdisk.

Wenn Sie nur Dateien von einer versehentlich formatierten Flash-Disk retten wollen (wobei das bei den meisten Kameras nur bedeutet, dass der Dateiindex gelöscht wurde), sollten Sie als Erstes Foremost oder Photorec ausprobieren.

Hexadezimal

In manchen Fällen hilft keines der hier vorgestellten Werkzeuge weiter, zum Beispiel weil große Teile einer Partition überschrieben wurden oder unlesbar sind. Dann ist es aber immer noch möglich, einzelne Teile von wichtigen Dateien zu retten, die Sie auf keinen Fall verlieren möchten. Hexedit ist ein Tool, mit dem Sie nach einzelnen Bytes oder Zeichenketten suchen können, um festzustellen, ob sich weitere Rettungsversuche lohnen.

Hexedit funktioniert mit echten Festplatten und Partitionen genauso wie mit Image-Dateien. Sie verwenden es interaktiv und können zwischen der Binär-Ansicht (Hexadezimal) links und der Textansicht rechts mit der Tab-Taste umschalten. Das ist besonders wichtig, wenn Sie mit der Taste [/] nach Textmustern suchen. Dazu müssen Sie erst auf die rechte Seite navigieren, denn sonst suchen Sie nach dem entsprechenden Hex-Code.

Abbildung 1 zeigt einen Ausschnitt einer NTFS-Partition in Hexedit. In diesem Beispiel wird die Ascii-Suche nach »JFIF« dazu verwendet, um Jpeg-Bilder zu finden. Die Suche nach Textmustern hilft dabei, Textdateien oder ältere Backups zu finden. Journalling-Dateisysteme unter Linux überschreiben üblicherweise nicht die alte Version einer Datei, wenn eine neue gespeichert wird. So finden sich oft noch zahlreiche Versionen einer Datei, selbst wenn sie mittlerweile gelöscht wurde.

Abbildung 1: Wenn nichts mehr hilft, hilft vielleicht noch Hexedit: byteweises Durchsuchen einer Festplatte.

Wenn Sie ein Dateifragment gefunden haben, markieren Sie Beginn und Ende der Daten und speichern es in eine neue Datei. Wenn Sie nicht genau erkennen können, wo eine Datei beginnt und endet, bemessen Sie die Grenzen etwas großzügiger und bearbeiten die Datei später.

Hexedit lässt sich auch dazu verwenden, beispielsweise Partitionstabellen direkt zu editieren, und wenn Sie den passenden architekturspezifischen Maschinencode kennen, können Sie das Verhalten eines Bootloaders ändern, indem Sie den Code direkt ändern und wieder speichern.