USB-Stick Datenrettung mit Linux
2013-05-16 von Mario
Im ersten Schritt muss das “Laufwerk” gefunden werden, in dem der USB-Stick eingebunden wurde.
1 | $ mount |
Als Ergebnis wurde unter anderem folgendes angezeigt:
1 | /dev/sdc1 on /media/E800-F6D1 type vfat |
Der USB-Stick wurde unter /dev/sdc1 eingebunden. Der nächste Schritt war es, ein Abbild des Sticks zu erstellen.
1 | $ sudo dd if=/dev/sdc1 of=usb-backup.iso |
In diesem Fall war der USB-Stick 4 GB groß. Mit einem neuen Konsolenfenster, wurde die Zeit bis zur Fertigstellung des Imagefiles, durch den watch Befehl überbrückt.
1 | $ watch -n 2 ls -lh |
Nachdem das Imagefile fertiggestellt war, kam das sleuthkit zum Einsatz. Der Befehl fls listet alle Dateien und Verzeichnisse in einem forensischen Image auf.
1 | $ fls -f fat -d -p usb-backup.iso |
| Parameter | Beschreibung |
| -f fstype | File system type (use ‘-f list’ for supported types) |
| -d | Display deleted entries only |
| -p | Display full path for each file |
| -r | Recurse on directory entries |
Folgende Treffer wurden angezeigt:
1 2 | r/r * 5: Testdatenr/r * 7: geheim.txt |
Der Befehl icat (sleuthkit) kopiert Dateien anhand der Inode.
1 | $ icat -f fat usb-backup.iso 7 > tmp.txt |
Die Datei geheim.txt und deren Inhalt konnte wiederhergestellt werden.
Kategorie: IT Schlagwörter: IT, Linux, Security, Software, Ubuntu, USB