Recuperar dados do espaço livre no disco 600Go após este disco ter sido dd de = / dev / {este disco} com dados 4Go

Navegue suas respostas
1

Estou preso em um problema complicado. Contexto: Ontem eu fiz um script de clonagem para o meu pi de framboesa que dd um sistema de arquivos inteiro pi em execução em um sdcard local em um computador conectado através de ethernet. Era tarde, eu estava morrendo de fome e cansado: eu coloco o pi em ... /dev/sda , meu computador fs principal, em vez de /dev/sdb (o cartão SD). Porque tudo estava rodando na memória eu não notei o erro antes de reiniciar esta manhã ...: cry:

Então, ao invés do meu 600go + filesystem (que foi repartido com LVM , sem criptografia, rodando o debian jessie, mas eu não lembro da partição inicial sheme) agora eu recebo um sistema de arquivos 4go raspberry pi que nem sequer está inicializando braço. ::chorar, chorar, chorar: (estou em amd64 btw)

Minha partição atual sheme se parece com: 

SCSI1 (0,0,0) (sda) 640.1GB ATA Hitachi HTS54756
n° 1 primary 64.0MB fat16
n° 2 primary 4.0GB ext4
pri/log 636.1GB free space

ou, no modo lsblk: 

NAME                          MAJ:MIN RM   SIZE RO TYPE MOUNTPOINT
sda                             8:0    0 4G  0 disk 
├─sda1                          8:1    0   64M  0 part /boot
├─sda2                          8:2    0     4G  0 part /

Tanto quanto me lembro, antes era algo como: 

NAME                          MAJ:MIN RM   SIZE RO TYPE MOUNTPOINT
sda                             8:0    0 640.1G  0 disk 
├─sda1                          8:1    0   2?M  0 part /boot
├─sda2                          8:2    0     ?K  0 part 
└─sda5                          8:5    0 ?G  0 part 
  ├─mycomputer--vg-root   254:0    0   ?G  0 lvm  /
  ├─mycomputer--vg-swap_1 254:1    0   ?G  0 lvm  [SWAP]
  ├─mycomputer--vg-var    254:2    0   ?G  0 lvm  /var
  ├─mycomputer--vg-tmp    254:3    0   ?M  0 lvm  /tmp
  └─mycomputer--vg-home   254:4    0 ?G  0 lvm  /home

Tudo o que preciso de voltar foi em /dev/sda5

AFAIK, o que o comando dd fez ontem foi:

  1. escrevendo todos os bits no primeiro 4go
  2. convertendo o "resto" (636.1 GB) em "espaço livre"

Se eu estiver certo, então meus dados (localizados na parte restante) ainda precisam estar em algum lugar. Em algum lugar no nada do "espaço livre". Objetivo: gostaria de recuperar minhas coisas.

Graças à minha estupidez, posso aprender algo sobre forense. Mas por enquanto estou no ponto zero. No momento estou baixando Caine linux live , mas não tenho certeza do que devo fazer.

  • Existe uma maneira de despejar todos os bits localizados em "espaço livre" e analisar isso?
  • Ou existe uma maneira de recriar um sistema de arquivos LVM sobre o espaço livre? Sem moldar nada? (Eu não penso assim ...)

Por enquanto, eu tento aprender noções básicas de Etapas básicas da análise forense de sistemas Unix

Thx para qualquer ajuda.

    
por Guillaume Fe 02.12.2015 / 11:57

1 resposta

2

Dê uma olhada no link para obter uma lista de ferramentas. Verifique a seção "Escultura de dados".

Pelo que parece, você pode acabar usando uma ferramenta de criação de arquivos - como o link .

Em teoria, você também deve começar imaginando o disco (ou pelo menos tenha cuidado para não escrever nele novamente).

Eu serei honesto: você deve ser capaz de recuperar pedaços de arquivos, baseados em padrões como arquivos mágicos. se você tiver MUITO de dados e não estiver procurando por nada específico, será desafiador juntar tudo sem uma estrutura de sistema de arquivos.

Boa sorte!

    
por 02.12.2015 / 12:51

Tags

Como fazer o downgrade do alongamento para Jessie passando comandos sftp para conexão sftp em um arquivo