Daten wiederherstellen mit "Knoppix" ?

The Mission

Lieutnant
Mitglied seit
16.08.2004
Beiträge
79
Renomée
0
Standort
9Live ZUHAUSE
Hallo,
bei einer "Bekannten" von mir,hat ein Kollege
bedauerlicherweise einige wichtige Dokumente,
auf ihrem Computer (BS - Windows NT 4.0 +
aktuellstes Service Pack) gelöscht.Ist es möglich,
mit Hilfe von "Knoppix" (bzw. bringt "Knoppix" ein
entsprechendes Tool mit) diese Daten wiederherstellen ?
 
hi

zumindest knoppicilin hat ein Tool namens 'ntfsundelete' an Board. Da ich es noch nicht selbst benützt habe, kann ich leider nichts detailliertes dazu sagen. Gehe mal davon aus, dass das Filesystem NTFS ist und daher ist es evtl ein Anhaltspunkt.

greets
--------------------
edit: mit 'ntfsundelete --scan [device]' sollte dir das Tool mindestens anzeigen, welche Dateien wieder hergestellt werden KOENNTEN... Project Page
 
Zuletzt bearbeitet:
Hi

Da es mich persönlich interessiert, habe ich grad mal einen Test gemacht, mit einer Knoppix 3.3 Version, die gerade hier rumlag.

Es funktioniert eigentlich sehr gut... Wichtig ist einfach, dass du auf keinem Fall mehr mit Windows bootest, da die verschiedenen Filesystemoperationen zu einem teilweisen Verlust führen würden.

Vorbereitung:
Es folgt ein Beispiel, wo ich annehme, es wären hier .jpg Dateien, die es wiederherzustellen gilt, konkret die 'wood.jpg'. Weitere Annahme: Die Datei befindet sich auf Platte /dev/hdb5. Um die Datei auch speichern zu können, habe ich als Ziel /dev/sda1 ausgewählt. Das ist in meinem Fall eine externe USB-HD mit Fat32. Diese habe ich zuvor im Knoppix Desktop mit Schreibzugriff versehen (rechtsklick auf Platte - "Lese-/Schreibmodus ändern"). WICHTIG: Auf keinem Fall jene Platte als Ziel angeben, bzw. mit Schreibmodus versehen, auf der die gelöschten Daten sind. Das Ziel sollte idealerweise eine Fat32 (oder Linux Partition) sein. Falls das nicht vorhanden wäre, kann man das Ziel auch weglassen. In diesem Fall würde die Datei ins temporäre Home von Root (ramdisk) geschrieben. Dann wäre es immer noch möglich die Dateien nach dem Löschen mit FTP, SSH o.ä. auf einen entfernten Rechner zu kopieren. Einfach bedenken, dass das temporäre Rootverzeichnis nach einem Reboot wieder leer ist!

In der Console als Superuser anmelden:
Code:
$ su

Dateien finden: Nach .jpg Dateien auf hdb5 scannen
Code:
# ntfsundelete --scan /dev/hdb1 |grep .jpg

ergibt folgenden gekürzten Output:

(...)
139757   FN..   100%  2003-08-08      6712  water.jpg
139758   FN..   100%  2003-08-08     44318  wood.jpg
140542   FN..     0%  2003-08-22     61893  copyright.jpg
(...)
Die erste "Nummer" ist die Inode# - wir brauchen sie um die Datei zu identifizieren; 139758 in unserem Fall für 'wood.jpg'.
Die Prozentzahl zeigt an, wieviele Prozent der Daten noch vorhanden sind. Wir haben Glück, wood.jpg ist zu 100% vorhanden - bei copyright.jpg hätten wir definitiv Pech gehabt. Dahinter folgen Dateigrösse und -namen.

Falls zuviele Dateien angezeigt werden, kannst du auch 'blättern' mit den Cursortasten, indem ein '|less' hinter das 'grep .jpg' angehängt wird. Jeweils natürlich ohne Anführungszeichen...

Nun die Datei auf das mit schreibzugriff gemountete Device in das Verzeichnis test schreiben lassen: (Das Verzeichnis muss zuvor existieren)
Code:
# ntfsundelete -u 139758 /dev/hdb5 -d /mnt/sda1/test/

Inode    Flags  %age  Date            Size  Filename
---------------------------------------------------------------
139758   FN..     0%  2003-08-08     44318  wood.jpg


Undeleted 'wood.jpg' successfully.

Hab es extra etwas 'ausführlich' geschrieben, falls jemand mal die Sufu nützt und vor lauter nervenflattern nicht mehr manpages lesen kann und will :)

Nun sollte die Datei im entsprechenden Zielverzeichnis sein. In meinem Fall hat es geklappt! Viel Glück :)
 
Zuletzt bearbeitet:
So,ich bin gerade wieder zurück.Habe leider keinen Erfolg
gehabt.Das Dateisystem war leider "FAT" und so konnte ich
ANUbiS Tips leider nicht in die Tat umsetzen.Habe es dann
dann mit einigen Datenrettungstools für Windows probiert,
leider erfolglos.
Nochmal vielen Dank an alle (und besonders an ANUbiS),
die mir hierbei geholfen haben.
 
Kein Problem - Tut mir leid, dass es nicht geklappt hat - Nehme an du hast auch Texes' Tools probiert. Habe mal noch etwas gegoogelt und ein 'tool' namens "fatback" gefunden, das eben auch FAT Dateien undeleten soll...

Das Progi ist leider nicht Bestandteil von Knoppix, habe aber zwei andere Distris, bzw. Notfall-/Live-CDs gefunden, wo es enthalten wäre:
Knoppix STD - eine auf Security modifizierte Knoppix Distribution
und
frenzy 0.30 -- auf FreeBSD 5.2.1 basierende Notfall CD

Auch wenn dir das nicht mehr helfen sollte - vielleicht ist jemand mal noch froh drum.. Ich lad mir die zwei Isos jedenfalls mal runter. Es schadet nie etwas 'undelete' zu Hause zu haben :)
 
Original geschrieben von ANUbiS

Auch wenn dir das nicht mehr helfen sollte - vielleicht ist jemand mal noch froh drum..

Denke ich doch, diese Probleme sind hier ja nicht grad selten :)



Ich lad mir die zwei Isos jedenfalls mal runter. Es schadet nie etwas 'undelete' zu Hause zu haben :)

Nunja...ich hab hier soviel Rettungs und was weiss ich Cds, da kommts auf die Beiden auch nicht mehr an..sauuug ;)
 
hehehehe :) Du hast recht :)

Ich hab mir jetzt das Knoppix STD mal gezogen. Allerdings finde ich da nirgends dieses 'fatback'. Habe es mir mal auf meiner Debiankiste aus den Sourcen kompiliert. So recht schnall ich das nicht aber kann es auch nicht testen, da ich keine Fat Partition mehr habe *chatt*
Aber hierzu mal noch ne Frage, war zwar seit DOS 3.3 dabei aber irgendwie habe ich diese Zeiten verdrängt. Gab es ein FAT, FAT16 und FAT32 Filesystem oder ist FAT16 und FAT dasselbe? dieses 'fatback' undeleted nur auf FAT Partitionen (nicht FAT32)

Ansonsten gibts offenbar noch Freedos (beta 9 SR1), welches laut einem Forenbeitrag eine Undelete Funktion für FAT und FAT32 an board zu haben scheint... da muss ich mich aber zuerst etwas einlesen... nur falls du das auch noch downloaden willst :)
--------------------
edit: oh man... soeben gefunden: Allgemein wird heute deshalb auch das FAT16 nur als FAT bezeichnet --- Daneben gab es noch FAT12 (Asbach Uralt)... Wahrscheinlich deswegen meine Konfusion, aber dass man solche Infos erst findet, wenn man schon ein Posting gemacht hat.. ist doch immer dat Gleiche!
 
Zuletzt bearbeitet:
Zurück
Oben Unten