DD Gelöschte Textdatei mittels Textstring auslesen

Aus Reparatur.IT
Version vom 18. Oktober 2022, 13:59 Uhr von 83.136.82.93 (Diskussion) (Die Seite wurde neu angelegt: „Sollte es sich um eine Textdatei, script, Quelltext oder ähnliches handeln, haben wir eine gute Chance hier doch noch an den Inhalt '''Inhalt von gelöschten Textdateine mittels dd auslesen''' Um an den Inhalt heranzukommen, sollte sich dieser noch irgendwo in einem gelöschtem Datenblock befinden. Alles was wir benötigen ist die Partition auf der sich das Filesystem befindet in der sich die Datei befunden haben muss, die ungefähre Größe dieser Date…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

Sollte es sich um eine Textdatei, script, Quelltext oder ähnliches handeln, haben wir eine gute Chance hier doch noch an den Inhalt Inhalt von gelöschten Textdateine mittels dd auslesen

Um an den Inhalt heranzukommen, sollte sich dieser noch irgendwo in einem gelöschtem Datenblock befinden. Alles was wir benötigen ist die Partition auf der sich das Filesystem befindet in der sich die Datei befunden haben muss, die ungefähre Größe dieser Datei in Zeilen, eine sehr markante Wortkombination innerhalb einer Zeile die nur in dieser Datei oder deren Kopien vorkommen kann, und eine etwaige Position dieses Suchbegriffes in Zeilen innerhalb der Datei.

Wir nehmen folgendes an:

-Partition /dev/hda2

-Größe der Datei 100-150 Zeilen

-genaue Wortkombination im letztem Drittel "darf ich mir vormerken" 

dd if=/dev/hda2 bs=4K | strings | grep -B 150 -A 100 "darf ich mir vormerken" > /tmp/gefunden.txt

Damit lesen wir mittels dd die Partition aus, strings entfernt aus diesem Datenstrom schon einmal alles was nicht nach druckbaren aussieht, grep durchsucht jetzt diesen Datenstrom nach dem Vorkommen der Wortkombination und wenn er eine solche gefunden hat, dann schreibt grep die Zeilen von 150 Zeilen davor bis 100 Zeilen danach in eine Datei Namens /tmp/gefunden.txt , werden mehrere solcher Wortkombinationen gefunden, dann auch die entsprechenden Bereiche aus diesen Blöcken.

Wenn sich also ein Datenblock auf der Festplatte befindet, der die genaue Zeilenwortkombination beinhaltet, dann werden wir den Textinhalt irgendwo innerhalb der gefunden.txt wiederfinden. Jedoch ohne eventuelle Leerzeilen, auch extrem kurze Zeilen (weniger als 4 druckbare Zeichen) sind verschwunden. Diesen Inhalt können wir aber immerhin jetzt aus gefunden.txt herauskopieren und wieder neu zu einer entsprechenden Datei formatieren.

Abgerufen von „https://reparatur.it/index.php?title=DD_Gelöschte_Textdatei_mittels_Textstring_auslesen&oldid=70