|
| undelete af filer på fat filsystem under L~ Fra : Mads Bondo Dydensbor~ |
Dato : 15-10-05 20:56 |
|
Hej
Jeg sidder her med et fat filsystem (på et sd kort, pt. kopieret til fil jeg
kan loopback mounte). Der er nogen filer på, som en bekendt ved en fejl har
slette. Det burde være rimeligt trivielt at undelete under Windows, men nu
er det jo altså Linux...
Nogen der kender et linux program der kan lave undelete på et fat filsystem?
Jeg har søgt og søgt, men kan ikke finde noget. Jeg har forsøgt med en hex
editor at ændre e5 i dir listings, men det virker ikke for kataloger, og
jeg tror egentlig også man skal fikse fat tabellen op.
Jeg forestiller mig at der burde findes noget der kan det, med de mange
Linux baserede rescue diske til Windows der har været i tidens løb.
Nogen ideer?
Mvh
Mads
--
Mads Bondo Dydensborg mads@dydensborg.dk http://www.madsdydensborg.dk/
Visit http://www.sexuallymutilatedchild.org/ a day when you feel
strong. Warning: highly controversial content.
| |
Mads Bondo Dydensbor~ (15-10-2005)
| Kommentar Fra : Mads Bondo Dydensbor~ |
Dato : 15-10-05 21:36 |
|
Mads Bondo Dydensborg wrote:
> Hej
>
> Jeg sidder her med et fat filsystem (på et sd kort, pt. kopieret til fil
> jeg kan loopback mounte). Der er nogen filer på, som en bekendt ved en
> fejl har slette. Det burde være rimeligt trivielt at undelete under
> Windows, men nu er det jo altså Linux...
>
> Nogen der kender et linux program der kan lave undelete på et fat
> filsystem?
Jeg fandt "fatback", men det virkede ikke så godt - tilsyneladende synes den
ikke rigtigt om den måde chains var lagt efter directories, eller noget i
den stil. Men, nu var det en bestemt type file, så jeg fandt "foremost",
der simpelthen søger et billede igennem, og det virkede rigtigt godt. Pånær
navnene, men dem kan jeg finde fra hexdump.
Ikke super super tilfredsstillende, men rimeligt godt, alt taget i
betragtning.
Mads
--
Mads Bondo Dydensborg mads@dydensborg.dk http://www.madsdydensborg.dk/
"The world holds two classes of men - intelligent men without religion, and
religious men without intelligence."
- Abu'l-Ala-Al-Ma'arri (973-1057) Syrian poet.
| |
Kent Friis (15-10-2005)
| Kommentar Fra : Kent Friis |
Dato : 15-10-05 21:51 |
|
Den Sat, 15 Oct 2005 22:35:42 +0200 skrev Mads Bondo Dydensborg:
> Mads Bondo Dydensborg wrote:
>
>> Hej
>>
>> Jeg sidder her med et fat filsystem (på et sd kort, pt. kopieret til fil
>> jeg kan loopback mounte). Der er nogen filer på, som en bekendt ved en
>> fejl har slette. Det burde være rimeligt trivielt at undelete under
>> Windows, men nu er det jo altså Linux...
>>
>> Nogen der kender et linux program der kan lave undelete på et fat
>> filsystem?
>
> Jeg fandt "fatback", men det virkede ikke så godt - tilsyneladende synes den
> ikke rigtigt om den måde chains var lagt efter directories, eller noget i
> den stil. Men, nu var det en bestemt type file, så jeg fandt "foremost",
> der simpelthen søger et billede igennem, og det virkede rigtigt godt. Pånær
> navnene, men dem kan jeg finde fra hexdump.
>
> Ikke super super tilfredsstillende, men rimeligt godt, alt taget i
> betragtning.
Hmm, hvad med DosEMU? Hvis ikke Mtools-pakken allerede har en
mundelete.
Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.
| |
Mads Bondo Dydensbor~ (17-10-2005)
| Kommentar Fra : Mads Bondo Dydensbor~ |
Dato : 17-10-05 09:00 |
|
Kent Friis wrote:
>>
>> Ikke super super tilfredsstillende, men rimeligt godt, alt taget i
>> betragtning.
>
> Hmm, hvad med DosEMU? Hvis ikke Mtools-pakken allerede har en
> mundelete.
Jeg gad ikke installere en dos emulering (jeg har faktisk en wmvare med en
Windws på, iøvrigt), og mtools havde ikke nogen undelete, så vidt jeg kunne
se.
Mads
--
Mads Bondo Dydensborg mads@dydensborg.dk http://www.madsdydensborg.dk/
Of course the people don't want war. But after all, it's the leaders of the
country who determine the policy, and it's always a simple matter to drag
the
people along whether it's a democracy, a fascist dictatorship, or a
parliament, or a communist dictatorship. Voice or no voice, the people can
always be brought to the bidding of the leaders. That is easy. All you have
to do is tell them they are being attacked, and denounce the pacifists for
lack of patriotism, and exposing the country to greater danger.
- Herman Goering at the Nuremberg trials
| |
Kasper Dupont (18-10-2005)
| Kommentar Fra : Kasper Dupont |
Dato : 18-10-05 05:58 |
|
Mads Bondo Dydensborg wrote:
>
> Det burde være rimeligt trivielt at undelete under Windows,
Det er det ikke. Når en fil er slettet er oplysninger om,
hvor den har ligget, også væk. Så undelete kan altså kun
gætte på, hvor den har ligget, og det gæt er ikke altid
rigtigt. Så muligvis er du lige så godt hjulpet ved selv
at gætte på hvilke dele af din image fil, der udgør den
manglende fil og så klippe det ud.
--
Kasper Dupont
Note to self: Don't try to allocate
256000 pages with GFP_KERNEL on x86.
| |
Mads Bondo Dydensbor~ (18-10-2005)
| Kommentar Fra : Mads Bondo Dydensbor~ |
Dato : 18-10-05 07:59 |
|
Kasper Dupont wrote:
> Mads Bondo Dydensborg wrote:
>>
>> Det burde være rimeligt trivielt at undelete under Windows,
>
> Det er det ikke. Når en fil er slettet er oplysninger om,
> hvor den har ligget, også væk. Så undelete kan altså kun
> gætte på, hvor den har ligget, og det gæt er ikke altid
> rigtigt.
Vi snakker fat her, det er du med på? Og, et filsystem hvor der ikke er
skrevet til, siden sletningen.
Såvidt jeg ved, ligger alle oplysninger der stadig, pånær det første tegn i
filnavnet. Blokkene, med filallokeringschains i, ligger der jo f.eks.
stadig.
Mads
--
Mads Bondo Dydensborg mads@dydensborg.dk http://www.madsdydensborg.dk/
"All thinking men are atheists."
- Ernest Hemingway
| |
Martin Jørgensen (18-10-2005)
| Kommentar Fra : Martin Jørgensen |
Dato : 18-10-05 12:23 |
|
Mads Bondo Dydensborg wrote:
> Kasper Dupont wrote:
>
>
>>Mads Bondo Dydensborg wrote:
>>
>>>Det burde være rimeligt trivielt at undelete under Windows,
>>
>>Det er det ikke. Når en fil er slettet er oplysninger om,
>>hvor den har ligget, også væk. Så undelete kan altså kun
>>gætte på, hvor den har ligget, og det gæt er ikke altid
>>rigtigt.
>
>
> Vi snakker fat her, det er du med på? Og, et filsystem hvor der ikke er
> skrevet til, siden sletningen.
Korrekt.
> Såvidt jeg ved, ligger alle oplysninger der stadig, pånær det første tegn i
> filnavnet. Blokkene, med filallokeringschains i, ligger der jo f.eks.
> stadig.
SVJH var der engang noget der hed Norton Undelete/Norton utilities som
klarede den slags opgaver for mig. Jeg kender ingen alternativer bortset
fra at jeg svagt erindrer at der vistnok fulgte en undelete kommando med
til en dos-version omkring v.6?
Begge skulle kunne klare jobbet, hvis du kan opdrive dem. Det eneste det
kræver af dig, er at du laver en boot-disc og dem kan du svjh downloade
på nettet?
Med venlig hilsen / Best regards
Martin Jørgensen
--
---------------------------------------------------------------------------
Home of Martin Jørgensen - http://www.martinjoergensen.dk
| |
Kasper Dupont (18-10-2005)
| Kommentar Fra : Kasper Dupont |
Dato : 18-10-05 12:53 |
|
Mads Bondo Dydensborg wrote:
>
> Kasper Dupont wrote:
>
> > Mads Bondo Dydensborg wrote:
> >>
> >> Det burde være rimeligt trivielt at undelete under Windows,
> >
> > Det er det ikke. Når en fil er slettet er oplysninger om,
> > hvor den har ligget, også væk. Så undelete kan altså kun
> > gætte på, hvor den har ligget, og det gæt er ikke altid
> > rigtigt.
>
> Vi snakker fat her, det er du med på?
Ja.
> Og, et filsystem hvor der ikke er
> skrevet til, siden sletningen.
Ja.
>
> Såvidt jeg ved, ligger alle oplysninger der stadig, pånær det første tegn i
> filnavnet.
Det er så forkert. Det er korrekt, at første tegn i filnavnet
overskrives med 0xE5 (så vidt jeg husker) for at indikere, at
filen er slettet. Derudover overskrives alle de tilhørende
indgang i FAT tabellerne med 0 for at indikere, at de er frie.
> Blokkene, med filallokeringschains i, ligger der jo f.eks.
> stadig.
Nej. Datablokkene ligger der stadigvæk. Men hele kæden i FAT
tabellen er overskrevet. Den eneste blok, der stadig findes
oplysninger om, er den første, som der peges på direkte fra
directory indgangen.
Det som undelete værktøjer til FAT gør er, at de bruger
oplysningen fra directory indgangen til at finde den første
blok og så gætter de på, hvor resten ligger. Og gætter de
forkert, så er det bare tough luck.
Faktisk må undelete kunne gøres meget mere pålideligt på de
fleste andre filsystemer end FAT, da alle andre jeg kender
har oplysninger om filers placering adskilt fra bitmappen
over frie blokke.
--
Kasper Dupont
Note to self: Don't try to allocate
256000 pages with GFP_KERNEL on x86.
| |
Mads Bondo Dydensbor~ (18-10-2005)
| Kommentar Fra : Mads Bondo Dydensbor~ |
Dato : 18-10-05 13:13 |
|
Kasper Dupont wrote:
>> Blokkene, med filallokeringschains i, ligger der jo f.eks.
>> stadig.
>
> Nej. Datablokkene ligger der stadigvæk. Men hele kæden i FAT
> tabellen er overskrevet. Den eneste blok, der stadig findes
> oplysninger om, er den første, som der peges på direkte fra
> directory indgangen.
>
Jeg var af den opfattelse at datablokkene indeholder henvisninger til den
næste datablok - jeg kan se andre steder at du har ret. Jeg undskylder.
Mads
--
Mads Bondo Dydensborg mads@dydensborg.dk http://www.madsdydensborg.dk/
Today, the record companies are saying MP3s are the biggest evil. Tomorrow
they're going to say they're the greatest thing when they figure
them out.
- Gene Kan, Gnutella developer
| |
Kasper Dupont (18-10-2005)
| Kommentar Fra : Kasper Dupont |
Dato : 18-10-05 15:17 |
|
Mads Bondo Dydensborg wrote:
>
> Jeg var af den opfattelse at datablokkene indeholder henvisninger til den
> næste datablok
Det ville være ret usædvanligt at blande data og metadata på
den måde. Det eneste filsystem jeg kender, som gør det, er det
oprindelige Amiga filsystem. (Som jeg dog ikke kender i så
store detaljer). I hver data sektor var de første 24 bytes
brugt på metadata, der var således kun plads til 488 bytes
data per sektor.
--
Kasper Dupont
Note to self: Don't try to allocate
256000 pages with GFP_KERNEL on x86.
| |
Mads Bondo Dydensbor~ (18-10-2005)
| Kommentar Fra : Mads Bondo Dydensbor~ |
Dato : 18-10-05 21:15 |
|
Kasper Dupont wrote:
> Mads Bondo Dydensborg wrote:
>>
>> Jeg var af den opfattelse at datablokkene indeholder henvisninger til den
>> næste datablok
>
> Det ville være ret usædvanligt at blande data og metadata på
> den måde.
Tjaeh. Jeg regner med at FAT er ret lamt
Mads
--
Mads Bondo Dydensborg mads@dydensborg.dk http://www.madsdydensborg.dk/
So the lesson of BBC is that if you're misleading about whether the
government misled you into war, management must resign. What about the
simpler case -- you're just misleading about going to war?
- Lawrence Lessig (30.01.2004) on BBC and the Iraqi war
| |
Kasper Dupont (19-10-2005)
| Kommentar Fra : Kasper Dupont |
Dato : 19-10-05 12:08 |
|
Mads Bondo Dydensborg wrote:
>
> Tjaeh. Jeg regner med at FAT er ret lamt
Der er det, men af helt andre årsager.
FAT er oprindeligt designet med 12 bits adresser.
Det betød mere kompliceret kode uden nogen væsentlig
pladsbesvarelse.
Datablokke findes ved at gennemløbe en kædet liste,
dermed vil random access gå urimeligt langsomt.
FAT er oprindeligt designet uden support for sletning
af filer. Det blev introduceret som en lappeløsning
i DOS 1.1.
FAT er oprindeligt designet uden support for directories.
Det blev introduceret som en lappeløsning i DOS 2.0.
FAT er oprindeligt designet med support for et meget
begrænset karaktersæt. Det blev udvidet med en sær
lappeløsning på et tidspunkt, hvor man allerede havde
reserveret et tegn til brug for slettede filer.
FAT 16 er oprindeligt designet med en begrænsning på
filsystemets størrelse på 32MB. I DOS 4.0 blev der
lavet en lappeløsning, som hævede grænsen til 2GB.
FAT 32 som mange havde forventet ville komme med DOS
4.0 blev først en realitet ved det andet release af
Windows 95. Men der anvendes stadigvæk kædede lister,
som nu er endnu længere end før.
Længere filnavne og endnu større karaktersæt blev
introduceret med Windows 95. Det skete med en
lappeløsning, som betød at ældre software simpelthen
ville se fejlbehæftede directory indgange.
Og på et tidspunkt fik Microsoft sågar patent på nogle
af disse dårlige lappeløsninger. Men det endte vist
med at blive underkendt, da dårlige lappeløsninger
ikke var nogen ny opfindelse.
--
Kasper Dupont
Note to self: Don't try to allocate
256000 pages with GFP_KERNEL on x86.
| |
Niels Elgaard Larsen (18-10-2005)
| Kommentar Fra : Niels Elgaard Larsen |
Dato : 18-10-05 23:49 |
|
Mads Bondo Dydensborg skrev:
> Hej
>
> Jeg sidder her med et fat filsystem (på et sd kort, pt. kopieret til fil
> jeg kan loopback mounte). Der er nogen filer på, som en bekendt ved en
> fejl har slette. Det burde være rimeligt trivielt at undelete under
> Windows, men nu er det jo altså Linux...
Hvad er det for nogle filer. Hvis det er billeder, findes der recoverjpeg.
--
Niels
| |
|
|