DD Gelöschte Textdatei mittels Textstring auslesen: Unterschied zwischen den Versionen

Aus Reparatur.IT
Zur Navigation springen Zur Suche springen
(Die Seite wurde neu angelegt: „Sollte es sich um eine Textdatei, script, Quelltext oder ähnliches handeln, haben wir eine gute Chance hier doch noch an den Inhalt '''Inhalt von gelöschten Textdateine mittels dd auslesen''' Um an den Inhalt heranzukommen, sollte sich dieser noch irgendwo in einem gelöschtem Datenblock befinden. Alles was wir benötigen ist die Partition auf der sich das Filesystem befindet in der sich die Datei befunden haben muss, die ungefähre Größe dieser Date…“)
 
Keine Bearbeitungszusammenfassung
 
Zeile 1: Zeile 1:
Sollte es sich um eine Textdatei, script, Quelltext oder ähnliches handeln, haben wir eine gute Chance hier doch noch an den Inhalt '''Inhalt von gelöschten Textdateine mittels dd auslesen'''
Wenn es sich um eine Textdatei, ein Skript, einen Quellcode oder ähnliches handelt, haben wir eine gute Chance, den Inhalt einer gelöschten Textdatei mit dd zu erhalten.


Um an den Inhalt heranzukommen, sollte sich dieser noch irgendwo in einem gelöschtem Datenblock befinden. Alles was wir benötigen ist die Partition auf der sich das Filesystem befindet in der sich die Datei befunden haben muss, die ungefähre Größe dieser Datei in Zeilen, eine sehr markante Wortkombination innerhalb einer Zeile die nur in dieser Datei oder deren Kopien vorkommen kann, und eine etwaige Position dieses Suchbegriffes in Zeilen innerhalb der Datei.
Um an den Inhalt zu gelangen, sollte er sich noch irgendwo in einem gelöschten Datenblock befinden. Alles, was wir brauchen, ist die Partition, auf der sich das Dateisystem befindet, die ungefähre Größe dieser Datei in Zeilen, eine sehr markante Wortkombination innerhalb einer Zeile, die nur in dieser Datei oder ihren Kopien vorkommen kann, und eine mögliche Position dieses Suchbegriffs in Zeilen innerhalb der Datei.


Wir nehmen folgendes an:
Wir nehmen das Folgende an:


-Partition /dev/hda2
-Partition /dev/hda2
Zeile 9: Zeile 9:
-Größe der Datei 100-150 Zeilen
-Größe der Datei 100-150 Zeilen


-genaue Wortkombination im letztem Drittel "darf ich mir vormerken"
-exakte Wortkombination im letzten Drittel "darf ich mir notieren".
  dd if=/dev/hda2 bs=4K | strings | grep -B 150 -A 100 "darf ich mir vormerken" > /tmp/gefunden.txt
  dd if=/dev/hda2 bs=4K | strings | grep -B 150 -A 100 "darf ich mir vormerken" > /tmp/gefunden.txt
Damit lesen wir mittels dd die Partition aus, strings entfernt aus diesem Datenstrom schon einmal alles was nicht nach druckbaren aussieht, grep durchsucht jetzt diesen Datenstrom nach dem Vorkommen der Wortkombination und wenn er eine solche gefunden hat, dann schreibt grep die Zeilen von 150 Zeilen davor bis 100 Zeilen danach in eine Datei Namens /tmp/gefunden.txt , werden mehrere solcher Wortkombinationen gefunden, dann auch die entsprechenden Bereiche aus diesen Blöcken.
Damit lesen wir die Partition mit dd ein, strings entfernt alles aus diesem Datenstrom, was nicht wie druckbar aussieht, grep durchsucht nun diesen Datenstrom nach dem Vorkommen der Wortkombination und wenn es eine solche Kombination gefunden hat, dann schreibt grep die Zeilen von 150 Zeilen davor bis 100 Zeilen danach in eine Datei namens /tmp/found.txt, wenn mehrere solcher Wortkombinationen gefunden werden, dann auch die entsprechenden Bereiche aus diesen Blöcken.


Wenn sich also ein Datenblock auf der Festplatte befindet, der die genaue Zeilenwortkombination beinhaltet, dann werden wir den Textinhalt irgendwo innerhalb der gefunden.txt wiederfinden. Jedoch ohne eventuelle Leerzeilen, auch extrem kurze Zeilen (weniger als 4 druckbare Zeichen) sind verschwunden. Diesen Inhalt können wir aber immerhin jetzt aus gefunden.txt herauskopieren und wieder neu zu einer entsprechenden Datei formatieren.
Wenn es also einen Datenblock auf der Festplatte gibt, der genau die Zeilen-Wort-Kombination enthält, dann finden wir den Textinhalt irgendwo in der found.txt. Ohne Leerzeilen sind allerdings auch extrem kurze Zeilen (weniger als 4 druckbare Zeichen) verschwunden. Aber zumindest können wir diesen Inhalt nun aus found.txt herauskopieren und wieder in eine geeignete Datei umformatieren.

Aktuelle Version vom 18. Oktober 2022, 14:00 Uhr

Wenn es sich um eine Textdatei, ein Skript, einen Quellcode oder ähnliches handelt, haben wir eine gute Chance, den Inhalt einer gelöschten Textdatei mit dd zu erhalten.

Um an den Inhalt zu gelangen, sollte er sich noch irgendwo in einem gelöschten Datenblock befinden. Alles, was wir brauchen, ist die Partition, auf der sich das Dateisystem befindet, die ungefähre Größe dieser Datei in Zeilen, eine sehr markante Wortkombination innerhalb einer Zeile, die nur in dieser Datei oder ihren Kopien vorkommen kann, und eine mögliche Position dieses Suchbegriffs in Zeilen innerhalb der Datei.

Wir nehmen das Folgende an:

-Partition /dev/hda2

-Größe der Datei 100-150 Zeilen

-exakte Wortkombination im letzten Drittel "darf ich mir notieren". 

dd if=/dev/hda2 bs=4K | strings | grep -B 150 -A 100 "darf ich mir vormerken" > /tmp/gefunden.txt

Damit lesen wir die Partition mit dd ein, strings entfernt alles aus diesem Datenstrom, was nicht wie druckbar aussieht, grep durchsucht nun diesen Datenstrom nach dem Vorkommen der Wortkombination und wenn es eine solche Kombination gefunden hat, dann schreibt grep die Zeilen von 150 Zeilen davor bis 100 Zeilen danach in eine Datei namens /tmp/found.txt, wenn mehrere solcher Wortkombinationen gefunden werden, dann auch die entsprechenden Bereiche aus diesen Blöcken.

Wenn es also einen Datenblock auf der Festplatte gibt, der genau die Zeilen-Wort-Kombination enthält, dann finden wir den Textinhalt irgendwo in der found.txt. Ohne Leerzeilen sind allerdings auch extrem kurze Zeilen (weniger als 4 druckbare Zeichen) verschwunden. Aber zumindest können wir diesen Inhalt nun aus found.txt herauskopieren und wieder in eine geeignete Datei umformatieren.

Abgerufen von „https://reparatur.it/index.php?title=DD_Gelöschte_Textdatei_mittels_Textstring_auslesen&oldid=71