From: Henrik Lund Kramshøj <none@hlk--kramse.dk.lh.bsd-dk.dk> Subject: Re: Død harddisk? Date: Sat, 17 Apr 2004 12:56:11 +0200 To: bsd-novice@bsd-dk.dk
On 17/4-2004, at 12.41, Lasse Stig Thomsen wrote:
> Morten Liebach wrote:
>> On 2004-04-17 11:21:23 +0200, Lasse Stig Thomsen wrote:
>>> Hejsa.
>>>
>>> Når jeg prøver at tilgå en bestemt subfolder på min ene harddisk får
>>> jeg følgende fejl (bare ved at skrive ls i den folder hvori folderen
>>> findes.)
>>>
>>> ....tidligere indlæg slettet
> Hejsa.
>
> Den mulighed overvejer jeg også men pt har jeg fået smidt al det data
> jeg gerne vil have fat i over i en lost+found mappe, og hvordan er det
> lige at jeg genskaber de data? Pt hedder de bare noget ala:
pas på!
Hvis du står med et filsystem der er dårligt er det risci-business at
flytte rundt på data!
Det sikreste er som Morten sagde at kopiere hele disken, image med dd
og så bruge noget
forensics software som autopsy og sleuthkit (google er din ven)
Hvis du vælger at fortsætte skal du nok først lige kigge lidt på
strukturen af et UNIX filsystem
hvad er inode, hvordan er det koblet sammen - hvad data har du andre
steder osv.
Mount eventuelt filsystemet read-only og flyt data til en ANDEN disk
- dette er vigtigt da du ellers risikerer at overskrive data ved
flytning rundt
på samme disk
Læs eventuelt også beskrivelsen fra TCT på:
http://www.fish.com/tct/help-recovering-file
men jeg anbefaler altså autopsy og sleuthkit
Mvh
Henrik
-- Henrik Lund Kramshøj, cand.scient, CISSP e-mail: hlk@security6.net, tlf: 2026 6000 www.security6.net - IPv6, sikkerhed, netværk og UNIX
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:25:09 CET