Hallo zusammen,
anbei ein kleines Beispiel, wie man mittels ddrescue und dem Sleuth-Kit Festplattenpartitionen mounten und auslesen kann. Das „corpus delicti“ war eine Notebook-Festplatte, SATA, 2,5″ und hatte die beste Zeit schon hinter sich. Das installierte Windows XP wollte nichtmehr booten, und von den dort gespeicherten Daten gab es keine Sicherung.
Die Festplatte per USB/SATA Adapter an ein Kubuntu-Notebook zu stecken, wurde vom Dateibrowser mit „unable to mount“ quittiert. Auch über die Konsole war die Festplatte nicht dazu zu bewegen, ihr Dateisystem zugänglich zu machen (Device sdb1 not ready… jaja…). Kurzerhand habe ich dann über ddrescue ein Image der Platte erstellt.
~: ddrescue /dev/sdb /media/jschoen/My\ Passport/image.img
Nachdem ddrescue erfolgreich durchgelaufen ist (dauert etwas… 🙂 ), hatte ich zwar ein lesbares Festplattenimage, aber noch keine „mountbare“ Partition. Dazu waren 2 weitere Schritte nötig:
~: apt-get install sleuthkit
Nach der Installation des Sleuth-Kits (Spürhund) konnte ich über mmls (media management list, Teil des Sleuth-Kits) die „Partitionstabelle“ des Festplattenimages auslesen:
~: mmls /media/jschoen/My\ Passport/image.img DOS Partition Table Offset Sector: 0 Units are in 512-byte sectors Slot Start End Length Description 000: Meta 0000000000 0000000000 0000000001 Primary Table (#0) 001: ------- 0000000000 0000000062 0000000063 Unallocated 002: 000:000 0000000063 0976751999 0976751937 NTFS / exFAT (0x07) 003: ------- 0976752000 0976773167 0000021168 Unallocated
Hier ist die Partition 002 interessant. Sie beginnt ab dem Sektor 63, und pro Sektor werden 512 Bytes veranschlagt. Der Trick beim Mounten des Images ist dann, ein Loop-Device zu verwenden, und den Mount erst ab einem Offset von 32256 Bytes (512 * 63) beginnen zu lassen:
~: mount -o loop,offset=32256 /media/jschoen/My\ Passport/image.img /mnt/temp
Danach konnte auf die Partition wie gewohnt mit dem Dateibrowser oder der Konsole zugegriffen werden. Daten kopiert, Welt gerettet 🙂
Grüße und einen Guten Rutsch in 2017!
Hannes
Befehlsfolge nochmal zusammenhängend:
~: apt-get install gddrescue ~: ddrescue /dev/sdb /media/jschoen/My\ Passport/image.img ~: apt-get install sleuthkit ~: mmls /media/jschoen/My\ Passport/image.img ~: mount -o loop,offset=32256 /media/jschoen/My\ Passport/image.img /mnt/temp ~: cd /mnt/temp ~: profit :-)