Festplattenforensik

F

frood

Grünschnabel
Hi zusammen,

ich hab nen Fehler gemacht: Ich hab mit meiner Kickstartinstallation ein CentOS auf meinem neuen Storageserver installiert. Das hat mir beide Hardwareraidarrays mit einem neuen LVM überschrieben. Das erste Array ist mir egal, aber auf dem zweiten Array lagen Daten von denen ich aus Platzgründen leider kein Backup mehr hab.

Aufbau des zweiten Arrays war folgender:

Hardware Raid 5
LVM
cryptsetup container

Besteht irgendeine Chance wieder an die Daten des cryptsetup containers ran zu kommen?

Aktuell läuft ein GRML auf der Maschine. Ich teste aktuell mit gpart ob die alte Partitionstabelle noch gefunden wird. Leider hab ich zuvor das LVM auch mit einem GRML eingerichtet, sodass ich leider kein Backup der LVM Konfiguration mehr habe.

Ich befürchte beinahe, dass die Daten wirklich weg sind. Wenn aber noch jemand eine Idee hat, dann gerne her damit.

Gruß
Andi
 
Hallo

Wenns hier um die Partitionstabelle geht, hilft ev. testdisk weiter.

Ansonsten ist gerade Caine 4.0 rausgekommen, eine Forensiklivedvd (1,/GB) mit allen möglichen tools zur PC-Forensik/Rettung/Sicherung




mfg
schwedenmann
 
Hi,

ich hab grad mal einen simplen dd angeworfen:

# dd if=/dev/sdb of=sdb.img count=100 bs=512
# strings sdb.img | head
EFI PART
;kaG^
LUKS
cbc-essiv:sha256
sha1
27464475-b569-453f-a3e4-99677a46925d
Bmsu
44a0K
QcSc
*1:+m

Das sieht stark nach meiner Partition und meinem LUKS Container aus.

Mal schauen ob man das so hinkrieg, dass ich da wieder ein LVM rein bekomme und man die Daten wieder lesen kann.

Gruß
Andi

P.S.: @schwedenmann: Danke für den Tipp, aber ich glaube mit herkömmlicher Forensiksoftware komme ich hier nicht weiter bevor ich nicht den crypsetup Container auf bekommen hab. Genau dafür ist der ja da, dass man die Daten nur lesen kann, wenn der offen ist. Ich lass mich da aber auch gerne eines besseren belehren.
 
Hi schwedenmann,

testdisk war kein schlechter Tipp, das läuft aktuell aber immernoch durch. Mal gucken wie gut die Möglichkeiten sind die Partitionen damit wieder herzustellen.

Aktuell fahre ich vorher noch einen zweiten Lösungsansatz. Ich baue gerade mein Raid1 in ein Raid0 um, sodass ich dort ausreichend Platz für den LUKS Container hab. Ich hab mir im hexeditor mal den Anfang der Partition angeguckt und möchte jetzt versuchen den kompletten Container in eine neue Partition zu dumpen. Das sollte mit dd und geschickt gesetzten offsets eigentlich sauber funktionieren. Wenn ich den Container damit dann wieder aufkrieg kann ich ja mein Raid5 platt machen und die Daten nochmal neu rüber kopieren.

Ich halte euch auf dem Laufenden.

Viele Grüße
Andi
 

Ähnliche Themen

Fileserver LVM post mortem

Diagnose- / Backup- / Partion- / Recoverytool... Sammlung

Zurück
Oben