ddrescue – mounten von Festplattenimages

Hallo zusammen,

anbei ein kleines Beispiel, wie man mittels ddrescue und dem Sleuth-Kit Festplattenpartitionen mounten und auslesen kann. Das „corpus delicti“ war eine Notebook-Festplatte, SATA, 2,5″ und hatte die beste Zeit schon hinter sich. Das installierte Windows XP wollte nichtmehr booten, und von den dort gespeicherten Daten gab es keine Sicherung.

Die Festplatte per USB/SATA Adapter an ein Kubuntu-Notebook zu stecken, wurde vom Dateibrowser mit „unable to mount“ quittiert. Auch über die Konsole war die Festplatte nicht dazu zu bewegen, ihr Dateisystem zugänglich zu machen (Device sdb1 not ready… jaja…). Kurzerhand habe ich dann über ddrescue ein Image der Platte erstellt.

Nachdem ddrescue erfolgreich durchgelaufen ist (dauert etwas… 🙂 ), hatte ich zwar ein lesbares Festplattenimage, aber noch keine „mountbare“ Partition. Dazu waren 2 weitere Schritte nötig:

Nach der Installation des Sleuth-Kits (Spürhund) konnte ich über mmls (media management list, Teil des Sleuth-Kits) die „Partitionstabelle“ des Festplattenimages auslesen:

Hier ist die Partition 002 interessant. Sie beginnt ab dem Sektor 63, und pro Sektor werden 512 Bytes veranschlagt. Der Trick beim Mounten des Images ist dann, ein Loop-Device zu verwenden, und den Mount erst ab einem Offset von 32256 Bytes (512 * 63) beginnen zu lassen:

Danach konnte auf die Partition wie gewohnt mit dem Dateibrowser oder der Konsole zugegriffen werden. Daten kopiert, Welt gerettet 🙂

Grüße und einen Guten Rutsch in 2017!

Hannes

Befehlsfolge nochmal zusammenhängend:

 

Dieser Eintrag wurde veröffentlicht in IT. Lesezeichen auf den Permanentlink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*