ddrescue – mounten von Festplattenimages

Hallo zusammen,

anbei ein kleines Beispiel, wie man mittels ddrescue und dem Sleuth-Kit Festplattenpartitionen mounten und auslesen kann. Das „corpus delicti“ war eine Notebook-Festplatte, SATA, 2,5″ und hatte die beste Zeit schon hinter sich. Das installierte Windows XP wollte nichtmehr booten, und von den dort gespeicherten Daten gab es keine Sicherung.

Die Festplatte per USB/SATA Adapter an ein Kubuntu-Notebook zu stecken, wurde vom Dateibrowser mit „unable to mount“ quittiert. Auch über die Konsole war die Festplatte nicht dazu zu bewegen, ihr Dateisystem zugänglich zu machen (Device sdb1 not ready… jaja…). Kurzerhand habe ich dann über ddrescue ein Image der Platte erstellt.

~: ddrescue /dev/sdb /media/jschoen/My\ Passport/image.img

Nachdem ddrescue erfolgreich durchgelaufen ist (dauert etwas… 🙂 ), hatte ich zwar ein lesbares Festplattenimage, aber noch keine „mountbare“ Partition. Dazu waren 2 weitere Schritte nötig:

~: apt-get install sleuthkit

Nach der Installation des Sleuth-Kits (Spürhund) konnte ich über mmls (media management list, Teil des Sleuth-Kits) die „Partitionstabelle“ des Festplattenimages auslesen:

~: mmls /media/jschoen/My\ Passport/image.img
DOS Partition Table
Offset Sector: 0
Units are in 512-byte sectors
 
      Slot      Start        End          Length       Description
000:  Meta      0000000000   0000000000   0000000001   Primary Table (#0)
001:  -------   0000000000   0000000062   0000000063   Unallocated
002:  000:000   0000000063   0976751999   0976751937   NTFS / exFAT (0x07)
003:  -------   0976752000   0976773167   0000021168   Unallocated

Hier ist die Partition 002 interessant. Sie beginnt ab dem Sektor 63, und pro Sektor werden 512 Bytes veranschlagt. Der Trick beim Mounten des Images ist dann, ein Loop-Device zu verwenden, und den Mount erst ab einem Offset von 32256 Bytes (512 * 63) beginnen zu lassen:

~: mount -o loop,offset=32256 /media/jschoen/My\ Passport/image.img /mnt/temp

Danach konnte auf die Partition wie gewohnt mit dem Dateibrowser oder der Konsole zugegriffen werden. Daten kopiert, Welt gerettet 🙂

Grüße und einen Guten Rutsch in 2017!

Hannes

Befehlsfolge nochmal zusammenhängend:

~: apt-get install gddrescue
~: ddrescue /dev/sdb /media/jschoen/My\ Passport/image.img
~: apt-get install sleuthkit
~: mmls /media/jschoen/My\ Passport/image.img
~: mount -o loop,offset=32256 /media/jschoen/My\ Passport/image.img /mnt/temp
~: cd /mnt/temp
~: profit :-)
Dieser Eintrag wurde veröffentlicht in IT. Lesezeichen auf den Permanentlink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert