Festplattenforensik

Dieses Thema im Forum "Laufwerke / Speichermedien" wurde erstellt von frood, 20.03.2013.

  1. frood

    frood Grünschnabel

    Dabei seit:
    20.03.2013
    Beiträge:
    3
    Zustimmungen:
    0
    Hi zusammen,

    ich hab nen Fehler gemacht: Ich hab mit meiner Kickstartinstallation ein CentOS auf meinem neuen Storageserver installiert. Das hat mir beide Hardwareraidarrays mit einem neuen LVM überschrieben. Das erste Array ist mir egal, aber auf dem zweiten Array lagen Daten von denen ich aus Platzgründen leider kein Backup mehr hab.

    Aufbau des zweiten Arrays war folgender:

    Hardware Raid 5
    LVM
    cryptsetup container

    Besteht irgendeine Chance wieder an die Daten des cryptsetup containers ran zu kommen?

    Aktuell läuft ein GRML auf der Maschine. Ich teste aktuell mit gpart ob die alte Partitionstabelle noch gefunden wird. Leider hab ich zuvor das LVM auch mit einem GRML eingerichtet, sodass ich leider kein Backup der LVM Konfiguration mehr habe.

    Ich befürchte beinahe, dass die Daten wirklich weg sind. Wenn aber noch jemand eine Idee hat, dann gerne her damit.

    Gruß
    Andi
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 schwedenmann, 20.03.2013
    schwedenmann

    schwedenmann Foren Gott

    Dabei seit:
    18.11.2003
    Beiträge:
    2.635
    Zustimmungen:
    2
    Ort:
    Wegberg
    Hallo

    Wenns hier um die Partitionstabelle geht, hilft ev. testdisk weiter.

    Ansonsten ist gerade Caine 4.0 rausgekommen, eine Forensiklivedvd (1,/GB) mit allen möglichen tools zur PC-Forensik/Rettung/Sicherung




    mfg
    schwedenmann
     
  4. frood

    frood Grünschnabel

    Dabei seit:
    20.03.2013
    Beiträge:
    3
    Zustimmungen:
    0
    Hi,

    ich hab grad mal einen simplen dd angeworfen:

    # dd if=/dev/sdb of=sdb.img count=100 bs=512
    # strings sdb.img | head
    EFI PART
    ;kaG^
    LUKS
    cbc-essiv:sha256
    sha1
    27464475-b569-453f-a3e4-99677a46925d
    Bmsu
    44a0K
    QcSc
    *1:+m

    Das sieht stark nach meiner Partition und meinem LUKS Container aus.

    Mal schauen ob man das so hinkrieg, dass ich da wieder ein LVM rein bekomme und man die Daten wieder lesen kann.

    Gruß
    Andi

    P.S.: @schwedenmann: Danke für den Tipp, aber ich glaube mit herkömmlicher Forensiksoftware komme ich hier nicht weiter bevor ich nicht den crypsetup Container auf bekommen hab. Genau dafür ist der ja da, dass man die Daten nur lesen kann, wenn der offen ist. Ich lass mich da aber auch gerne eines besseren belehren.
     
  5. frood

    frood Grünschnabel

    Dabei seit:
    20.03.2013
    Beiträge:
    3
    Zustimmungen:
    0
    Hi schwedenmann,

    testdisk war kein schlechter Tipp, das läuft aktuell aber immernoch durch. Mal gucken wie gut die Möglichkeiten sind die Partitionen damit wieder herzustellen.

    Aktuell fahre ich vorher noch einen zweiten Lösungsansatz. Ich baue gerade mein Raid1 in ein Raid0 um, sodass ich dort ausreichend Platz für den LUKS Container hab. Ich hab mir im hexeditor mal den Anfang der Partition angeguckt und möchte jetzt versuchen den kompletten Container in eine neue Partition zu dumpen. Das sollte mit dd und geschickt gesetzten offsets eigentlich sauber funktionieren. Wenn ich den Container damit dann wieder aufkrieg kann ich ja mein Raid5 platt machen und die Daten nochmal neu rüber kopieren.

    Ich halte euch auf dem Laufenden.

    Viele Grüße
    Andi
     
  6. #5 art4core, 17.07.2013
    art4core

    art4core Mitglied

    Dabei seit:
    04.01.2010
    Beiträge:
    28
    Zustimmungen:
    0
    und?
     
Thema:

Festplattenforensik