grooveboxxer schrieb:
aber kann mir mal erklären, wie auf daten zugegriffen werden kann, wenn man z.b lange auf einer HD herumhüpft, sie vom Eiffelturm knallt o.ä. check das einfach nicht
Zunächst mal: "Zugreifen" heisst nicht, daß 1-2-3 alles wieder da ist, heile, funktional und korrekt benannt. Es geht hier um Autopsie - der Patient ist und bleibt tot. Wir suchen Beweise und Spuren.
Wenn du deine Platte jetzt aus dem Fenster wirfst, wird der Lesekopf einmal heftig aufditschen und kaputt sein. Vermutlich wird die Platine einen Haarriss bekommen und defekt sein. Sicherlich wird der eigentliche Datenträger mechanisch dejustiert.
Für dich und mich ist das jetzt ein Totalschaden.
Trotzdem: Du kannst dir das Innenleben einer Festplatte vorstellen wie mehrere CDs auf einer Stange (Datendöner
): Selbst wenn du in eine CD einen Nagel reindrischst, sind ja nur die Daten auf DIESER SPUR zerstört. Davor befinden sich 30 Minuten unbeschädigte Musik - und dahinter auch. Selbst bei einem Quer-Riss wird ja immer nur ein Byte zerschnitten - rundherum kommen dann wieder "heile".
Daher wird der eigentliche Datenträger aus der Festplatte ausgebaut und in ein neues Gehäuse (Neue Leseköpfe, Platine, Motor,...) eingebaut. Das ist eine "normale" Festplattenelektronik mit vielen Extras: Ähnlich wie bei enem Plattenspieler kann der Arm justiert werden, bis man auf einem Oszi sieht, daß man die ideale Einstellung gefunden hat.
Jetzt kann man die LowLevel Daten auf der Platte lesen. Im Gegensatz zu einem normalen System geben sich deren Kisten aber auch mal mit einem halben Sektor zufrieden, wenn sie den ganzen nicht lesen können. Man nimmt, was man kriegen kann. Das ist natürlich ein Verhalten, welches man auf seinem normalen Rechner nicht haben WILL. Der soll Alarm schlagen, wenns klemmt.
Jetzt hat man für eine 20Gig-Platte ein solides 20 Gig-File in einem Block, welches man stückeln muß.
War der Rechner gar nicht beschädigt, sondern nur formatiert (Wie beim OP), liest man die Platte ganz normal aus und erhält ebenfalls ein dickes 20-Gig-File.
Und nun?
Jetzt muß man das Datenpaket digital in Scheiben schneiden
, sprich: Dateien ausgraben.
Dazu muß man Wissen: Dateien fangen nicht irgendwo auf der Platte an. eine Platte ist aufgeteilt in Sektoren, und eine Datei beginnt immer exakt auf einem Sektor. Um einen Dateianfang zu prüfen, muss man sich also die Sektoranfänge angucken.
Stell dir einfach vor: Ein Buch ist beschädigt. Das Inhaltsverzeichnis ist weg. Also mußt du dir alle Seiten angucken und bloß die erste Zeile lesen. Du wirst dann Seiten finden, die fangen so an:
"sie die Tür des Wagens, stieg ein und...."
Hm. Unbrauchbar.
Andere Seiten fangen so an:
"13. Der Fisch
Es war ein Montagmorgen,..."
Ha. Sowas suchen wir!!!
Das KANN falsch sein. Wenn der Setzer des Buches gepennt hat, können wir zum Beispiel auf sowas stoßen:
"Es passierte am(Seitenwechsel)3. April während der Mittagspause.(Absatz)John ging zum Auto..."
Das nennt man dann "false positive".
Übertragen auf den soliden Datenblock, macht man sowas:
Code:
head -c 15 geheime_dataen.dat |hexdump -C
00000000 42 4d 36 0c 00 00 00 00 00 00 36 00 00 00 28 |BM6.......6...(|
Hier beginnt etwas mit "BM". Das ist nicht zwingend eindeutig, zum Beispiel könnte es eine Textdatei sein, in die jemand als erstes Wort "BM" reingeschrieben hat. Kann sein. ABER: Alle BMP-Bilddateien von Windows haben diese Zeichen als Kennung vorne drin. Es ist also lohnenswert, mal zu probieren, dieses Sektor mit den folgenden zusammenzufassen und zu gucken, ob man die entstandenen Datei als Bild aufkriegt.
Andere Beispiele:
Code:
ratti@ratti:/disk2/archiv/filme$ head -c 15 GEHEIM |hexdump -C
00000000 00 00 01 ba 21 00 01 00 05 80 34 07 00 00 01 |....!.....4....|
ratti@ratti:/disk2/archiv/filme$ head -c 15 AUCHGEHEIM |hexdump -C
00000000 00 00 01 ba 21 00 01 00 19 80 0a cf 00 00 01 |....!..........|
ratti@ratti:/disk2/archiv/filme$ head -c 15 VOLLGEHEIM |hexdump -C
00000000 00 00 01 ba 21 00 01 00 09 80 19 79 00 00 01 |....!......y...|
Auf den ersten Blick: Keine Gemeinsamkeiten. Auf den Zweiten: Alle Dateien fangen an mit "00 00 01 ba 21 00 01 00". Und tatsächlich sind das alles mpeg-Filme.
Bei TIFF-Dateien kann man sogar unterscheiden: "MM" steht für "Motorola-Rechner", "II" für "Intel". Motorola stimmt inzwischen nicht mehr, trotzdem ist die Kennung erhalten geblieben. II-Tiffs kommen vom PC, MM-Tiffs vom Mac. Den Dialog kennt jeder Photoshopper: Abspeichern im Macintosh-oder Windows-Format?
Fast alle Dateitypen lassen sich so identifizieren. Das Tool heisst "file", ist ein OpenSource-Projekt, sammelt sogenannte "magic"-Files, in denen nur Dateianfänge gespeichert sind und versucht, alle Möglichen Dateien so zu identifizieren.
Sollte dir mal wieder ein durchgeknallter Windowsler einen komischen Anhang per Mail schicken, den du mit nix aufkriegst, speichere ihn als Datei ab und tippe im Terminal
file Dateiname
...und du kriegst sehr wahrscheinlich die korrekte Antwort: Mal wieder ein ausführbares Windows-Virus-Wurm-Trojaner-Programm mit der erlogenen Namenserweiterung ".jpg". Haha. Aber wir sind cool. Wir haben "file".
Zurück zur Plattenautopsie:
Als Resultat der ganzen Prozedur erhält man einen Ordner mit 4 Millionen Dateien drin, deren Namen futsch ist, und die "7645634.doc" oder "3456t3456.mp3" heissen. Die meisten davon sind kaputt, weil der Rechner viel raten und probieren mußte. Aber es bleibt genug heiles Material übrig, um die nächsten Jahre eine Zelle mit einem homosexuellen sizilianischen Bauarbeiter zu teilen, der wegen Körperverletzung einsitzt. Und ciao!
Gruß, Ratti
