3. Datenrettungsprogramm?

Datenrettungsprogramm?

  • T

    Hallo.

    mich würde einmal folgendes Konzept intressieren:

    Es gibt doch Datenrettungssoftware, welche gelöschte oder beschädigte Daten von einem Datenträger retten kann.

    Mich würde folgendes intressieren:
    Wenn ich z.B. von einer Digital-Kamera-Karte .jpg Dateien retten möchte, wie funktioniert das?

    Wenn die Karte formatiert wurde, sind die Daten ja noch auf der Karte vorhanden, es existiert meines Wissens nach nur kein FAT-Eintrag zu der Datei.
    Wie können derartige Dateien wiedergefunden werden?
    Gibt es einen Dateistart und Dateistop Marker?

    Beispiel:
    Ich schreibe eine Textdatei auf deine Diskette.
    In dieses Datei schreibe ich "Test Test".
    Anschließend lösche ich die Datei.
    Wenn ich nun mit einem Hexeditor die Diskette öffne, sehe ich das Fat Dateisystem.
    Die Daten, welche in der Text-Datei standen, sind noch da, ich sehe "Test Test".
    Lediglich der Eintrag in der Dateitabelle für die Datei ist weg.

    Frage:
    Irgend jemand eine Idee, wie man die Datei nun retten kann?
    Ich weiß ja nicht, wie ich die Dateitabelle wiederherstellen kann...?
    Im Prinzip sieht mein Ansatz so aus, dass ich jetzt den Bereich mit "Test Test" in eine neue Datei auf der Platte kopieren würde.
    Und genau da ist mein Problem: Wie stelle ich Datei-Anfang und -Ende fest?

    Es geht mir eigentlich nur um .jpg Dateien von Digital-Kamera-Karten.
    Demnach würde es mir schon helfen, wenn ich wüsste, wie das bei .jpg funktionieren könnte.

    Bin für jede Idee dankbar.

    mfg

    trequ

    0
  • T

    Hi

    durch auswertung der einzelnen sektoren auf dem Datenträger. Jede Datei hat einen charakteristischen aufbau. (textdateien mal ausgenommen selbst die könnte man mittels einer heufigkeitsverteilung erkennen). JPAG hat doch einen bestimmten datei aufbau/Haeder ( die ersten 4 buchstaben müsten sogar JPAG oder so sein). damit liese sich zumindest schon mal der Anfang einer datei finden (512 byts). Wenn du glück hast findest du auch einträge vom Dateisystem, durch die du dateigrösse und startposition ermitteln kanst. Wenn das Dateisystem nicht total fragmentiert ist, werden dateie segmente hintereinander abgespeichert.

    Der rest ist dann ein Pussel spielen. Welche kombination von sektoren ergibt eine brauchbare JPAG datei.

    gruss und viel spass beim dateien restaurieren.

    ps. wird bei einem Format wirklich nur die fat gelöscht? Wie so dauert dann hin und wieder das format so ewig lang?

    0
  • T

    Hallo,

    Termite schrieb:

    ps. wird bei einem Format wirklich nur die fat gelöscht? Wie so dauert dann hin und wieder das format so ewig lang?

    Soweit ich weiß, ja.
    Der Rest der Zeit wird eine Prüfung durchgeführt.
    Aber das Ergebniss einer Schnellformatierung und einer normalen Formatierung ist immer das gleiche.

    Termite schrieb:

    JPAG hat doch einen bestimmten datei aufbau/Haeder ( die ersten 4 buchstaben müsten sogar JPAG oder so sein). damit liese sich zumindest schon mal der Anfang einer datei finden (512 byts).

    OK, das hilft mir schon mal weiter, thx.

    Termite schrieb:

    Wenn das Dateisystem nicht total fragmentiert ist, werden dateie segmente hintereinander abgespeichert.

    Der rest ist dann ein Pussel spielen. Welche kombination von sektoren ergibt eine brauchbare JPAG datei.

    Demnach fängt eine Datei nicht bei Sektor XY an und läuft x Sektoren weit, bis das Ende ereicht ist?

    mfg
    trequ

    0
  • N

    zu dem thema gibts 'ne coole software. guckst du: http://www.x-ways.net/forensics/index-d.html
    die haben auch 'ne testversion

    0
  • T

    Hi

    Dateien werden in 512 Byte happen auf Datenträgern verteilt ( oder vielfachen davon ). Um nun aus diesen kleinen Happen wieder eine Daei herzustellen, gibt es bei windows die Fat. hier steht drin, welches der nachfolgende dateihappen ist. Kennst du den ersten, kannst du die restlichen finden.
    Aus geschwindigkeits gründen versucht man einen kontinuierlichen lehse und schreibvorgang zu ereichen, indem man möglichst viele blöcke am Stück schreibt / liest. Bei mechanischen Datenträgern wie Festplatten oder Flopies ist das extremer als bei flaschmedien. Da irgendwann mal der Datenträger voll ist, und eine enue Datei nicht mehr am Stück geschrieben werden kann, werden die durch löschen entstandenen lücken zum speichern genutzt.

    Du kanst ja mal die Fat eines noch nicht formatierten Datenträger anschauen. Da Wirst du vielicht sehen wie die Dateifragmente auf einem Datenträger verteilt sind. Schau auch mal im ASM Forum vorbei, dort sind einige links zum Aufbau des Fat Dateisystems zu finden.

    gruss

    0
  • T

    Und zum Aufbau eines jpg's: http://atlas.hs-niederrhein.de/fb07/lehrende/hardt/computergrafik/bildformate.htm#JPG

    0
Anmelden zum Antworten