Toon posts:

Linux Deleted Data Recovery

Pagina: 1
Acties:

zaterdag 26 april 2003 13:08

Acties:
  • DJ-B
  • Registratie: September 2001
  • Laatst online: 11:49

DJ-B

Topicstarter
Oke vanochtend omstreeks 11:18.59 uur heeft een gebruiker binnen ons simpele thuisnetwerk bestanden verwijderd via zijn windows PC op de Linux server (RH)

Ik heb een log file gemaakt met alle inodes die verwijderd zijn, hier wil ik nu via stat achter de juiste blocks komen. Maar als ik het stat commando geef (in debugfs) dan krijg ik de melding: Filesystem not open.

Iemand enig idee hoe ik dat wel open kan krijgen? ;)

zaterdag 26 april 2003 15:16

Acties:

Verwijderd

Op je vraag (Filesystem not open) kan ik geen antwoord op bedenken.

Ik vraag me alleen wel af of het herstellen/un-deleten van files op een linux bak wel mogelijk is.
Volgens mijn info kan dit (bijna) niet. Delen van platte ascii files zijn misschien terug te halen, maar bijna nooit in z'n geheel. Als 't hier niet om platte ascii bestanden gaat is dit onmogelijk.

Hopelijk was je erbij toen 't gebeurde en heb je meteen maatregelen kunnen nemen, zo niet dan lijkt een herstel actie geen nut te hebben.

Voor jou hoop ik dat ik ongelijk heb, maar ik betwijfel dat.

zaterdag 26 april 2003 15:47

Acties:
  • Eärendil
  • Registratie: Februari 2002
  • Laatst online: 17:30

Eärendil

Het is wel mogelijk, en werkt geloof ik zo:
Je vraagt ext2 om de inodes met de deleted-flag en deleted time na een tijdstip voor het deleten.
Je krijgt dan een lijst met inodes die sinds dat tijdstip verwijderd zijn. Probleem is dan om hier de juiste blocks bij te vinden, dit is nog redelijk eenvoudig voor kleine bestanden (tot 12 blocks dacht ik), maar daarna zit je met niet-datablocks die er steeds tussen zitten. Als je dan iets teruggehaald hebt heeft het nog geen goede naam, dus je moet het handmatig renamen.

Het komt er op neer dat je kleine tekstbestanden wel kan undeleten, en daarna met grep belangrijke bestanden kan terug vinden. Grote bestanden zou ik alleen proberen als het veel tijd kost om het opnieuw te maken en als het er niet te veel zijn.

TS:Heb je het filesystem wel geopend met open /dev/blabla? Waren daar geen foutmelding?

* Eärendil heeft een keer /boot, /bin,/etc en een deel van /home weggegooid, en alleen wat configuratie uit /etc en mail teruggehaald, omdat hij toch opnieuw moest installeren

[ Voor 10% gewijzigd door Eärendil op 26-04-2003 15:49 ]

zondag 27 april 2003 00:57

Acties:
  • Valium
  • Registratie: Oktober 1999
  • Laatst online: 04-05 20:39

Valium

- rustig maar -

* Valium gebruikt gewoon "recover" voor ext2 herstel. Pas nog gedaan. Zit zelfs een soort van textmode undelete wizard achtig iets bij. Best handig. Ik heb er zelf enkele bestanden van een paar honderd MB mee terug gehaald. Geen probleem.

Dat hele "filesystem not open" ken ik niet. Misschien kan hij het niet openen omdat je het filesystem al actief in gebruik hebt. Unmounten dus. Als dat niet kan moet je misschien booten van een rescue-cd.
Reageer