mit dd platte überschrieben?

L

LateRiser

Well-Known Member
Hallo Ihr,

erstmal vorweg.... "ich bin ein Idiot und wer lesen kann ist klar im Vorteil"

Problematik:

Ich wollte meine Fileserverplatte mit Geli verschlüsseln und habe die Anleitung von FreeBSD (http://www.freebsd.org/doc/de/books/handbook/disks-encrypting.html) Schritt für Schritt durchgeführt (aber nicht bis zum Ende).

Den Befehl:
Code: 
dd if=/dev/random of=/dev/ad4s1.eli bs=1m

habe ich abgebrochen, da ich (leider erst zu spät) gelesen habe das die Festplatte mit Zufallszahlen überschrieben wird.

Gibt es eine Möglichkeit das Laufwerk soweit wiederherzustellen, dass ich die Daten, die "noch nicht" überschrieben worden sind lesen kann?

ein
Code: 
ll /dev/
gibt mir

Code: 
crw-r-----  1 root    operator    0,  96 Nov 15 09:50 ad4
crw-r-----  1 root    operator    0,  99 Nov 15 09:50 ad4s1

Wenn ich mit fdisk oder Label die Platte anzeigen lassen, sieht es so aus, als ob die Platte leer ist. Aber ich hoffe und Bete das dem nicht so ist.

Für "jede" Hilfe bin ich sehr Dankbar!!!!

Late Riser

PS: Ich habe einen Teil der Festplatte jede Nacht (mit dump und versch. Leveln) auf eine externe Festplatte gesichert. Die Daten kann ich zurückspielen.... aber ich hätte auch gerne die nicht-gesicherten Daten zurück :)
 
Zuletzt bearbeitet:
spontan faellt mir jetzt auch nichts anderes ein als ein tool zu schreiben mit dem du manuell ein kaputtes dateisystem beackern kannst.
ich hab vor jahren mal so etwas fuer ext2 geschrieben...


aber selbst dann musst du noch glueck haben und irgendwo die richtige adresse fuer ein directory finden.

ich wuerde mal sagen: gewoehne dich an den gedanken dass deine daten weg sind.
 
Man gewöhnt sich an alles.... ich weiss :) Aber momentan ist die Hoffnung noch nicht gestorben :)
Ehrlich gesagt,.... habe ich gar keine Ahnung wie man so ein Programm schreibt. Von daher... hat sich das erstmal erledigt...
Wie gesagt, ich habe ja nicht die ganze Platte überschrieben :) Kann man den Rest "irgendwie" wiederherstellen? :D
 
Wenn Du die Metadaten überschrieben hast - was sehr wahrscheinlich ist, die stehen soweit ich weiss am Anfang des Slice - und kein GELI Metadatenbackup vorliegt, hast Du selbst mit dem richtigen Schlüssel praktisch keine Chancen mehr irgend etwas von der Platte zu bekommen. Falls Du trotz Metadatenverlust doch einen Weg findest an die Datenfragmente zu kommen, bist Du in Zukunft ein gern gesehener Gast auf Cryptokonferenzen oder bei 3-Buchstaben Organisationen.
 
Sind die Daten denn nun verschlüsselt oder nicht? Die Frage ist, sind die Metadaten wirklich weg? GELI schreibt wie alle GEOM-Klassen die Metadaten ans Ende des Providers. Wenn du rechtzeitig abgebrochen hast, hast du vielleicht Glück... Ansonsten, schaue dir einmal ffs2recov (http://www.freshports.org/sysutils/ffs2recov/) an. Damit kann man auch völlig demolierte Dateisysteme noch auslesen. Zumindest partiell.
 
Wenn die Metadaten am Ende stehen, hatte ich wohl LUKS im Kopf. Falls die Daten noch da sind, könnte man mit mit 'geli dump -v /dev/ad4s1' evtl. noch was davon sehen?!
 
ed1949 schrieb:
Wenn die Metadaten am Ende stehen, hatte ich wohl LUKS im Kopf. Falls die Daten noch da sind, könnte man mit mit 'geli dump -v /dev/ad4s1' evtl. noch was davon sehen?!
Zum Vergrößern anklicken....


Ohje... hört sich ja alles bescheiden an :(

Aber ich hab mir mal die Metadate mit "geli dump..." ausgeben lassen:

Code: 
Metadata on /dev/ad4s1:
     magic: GEOM::ELI
   version: 0
     flags: 0x0
      algo: AES
    keylen: 128
  provsize: 978727404544
sectorsize: 4096
      keys: 0x01
iterations: 56313
      Salt: 01ff796198381a4483e1ef85a3b73c454f56a4246e0b133fce0fcf6a2b177be55b4858858706a9dfbd0fe7eaa8702d3bbb4fa0976ea0f92574b3c60f343ff084
Master Key: 0b51efc7f339d03593e301f2b482a875e35cf74041c8e6f8abc1f782b356 [...]
  MD5 hash: fb5e47641c469db443 [...]

Done.

Ist das jetzt was gutes? :D

Sorry... aber ich kenne mich nicht sooooo gut mit dem Kram aus :(
 
Ahso... ich denke/hoffe die Verschlüsselung war nicht komplett. Ich hab ja nach ca. 5-10 Minuten den Vorgang abgebrochen (Die Platte hat eine Größe von ca. 1TB).
 
Moment mal. Du hast ein "geli init ..." auf die Platte ausgeführt, auf der die Daten lagen. Anschließend dies "dd if=/dev/random ..." drauf ausgeführt? In dem Fall sind die noch nicht überschriebenen Daten natürlich noch unverschlüsselt vorhanden.
 
War die Abfolge: Platte mit unverschlüsselten Daten -> geli init -> geli attach -> dd? Dann sind tatsächlich noch Teile der Daten unverschlüsselt auf Platte. Die herangehensweise war aber falsch, da man mit geli nicht so einfach einen unverschlüsselten Slice in eine Verschlüsselten umwandeln kann. Normalerweise würde ich die folgende Sequenz nutzen: Backup -> dd auf den Slice -> geli init -> geli attach -> Backup zurückspielen.

Ach ja, wenn Du fertig bist oder Dich entschieden hast auf die Daten die nicht im Backup sind zu verzichten, solltest Du einen neuen geli init machen. Den Masterkey im Forum zu verbreiten ist keine besonders gute Idee... ;)
 
Zuletzt bearbeitet:
Bei dem Verschlüsseln mit Geli habe ich Schritt für Schritt das BSD-Handbuch befolgt.
Einen Teil der Daten sichere ich ja Nacht für Nacht.... aber halt nicht alle :(

Code: 
# dd if=/dev/random of=/root/da2.key bs=64 count=1
# geli init -s 4096 -K /root/da2.key /dev/da2
     -> Enter new passphrase:
     -> Reenter new passphrase:

# geli attach -k /root/da2.key /dev/da2
     -> Enter passphrase:

[B]# dd if=/dev/random of=/dev/da2.eli bs=1m[/B]

Den Befehl habe ich dann abgebrochen.
 
Dann sind die unverschlüsselten Daten bis auf das was geli init und der abgebrochene dd überschrieben haben noch da. Wenn die Daten wirklich wichtig waren, würde ich das Laufwerk per dd auf eine andere Platte, die gross genug ist, kopieren (Achtung: Dabei nicht noch mehr kaputt machen). Dann auf der Kopie mit dem Recovery Tool oder mit Forensic-Tools schauen, was man noch rausbekommt. Ob die Daten den Aufwand wert sind musst Du selbst entscheiden.
 
'sleuthkit' und 'the coroners toolkit' laufen auch auf FreeBSD. Ich würde aber erst mal ffs2recov versuchen. Wenn man die Daten mit Hilfe der Forensikwerkzeuge rausholen möchte ist das sehr viel Arbeit. Das lohnt sich nur wenn die Daten entsprechend wertvoll sind. Bei einem nächtlichen Backup - also <24h Datenverlust - vermute ich mal das sich ein Versuch mit dem/den Recoverytools lohnt, das graben mit Forensiktools aber eher nicht mehr.
 
Ich glaub hier ist alle schiefgegangen was schiefgehen kann.... grmpf...
die nächtlichen Backups haben nicht Verzeichnisse (die ich angegeben habe) gedumpt. Sondern nur ein Verzeichnis... zwar das absolut wichtigste... aber dennoch... ARGH!

ich versuch mich gerade an ffs2recov und gpart ... mal sehen was passiert.

Den Wikieintrag zur Datenrettung habe ich auch schon gelesen.... nur habe ich momentan keine andere Festplatte die so groß ist. Die müsste ich dann erst besorgen :)

Scalpel werde ich auch mal testen :)

Vielen Dank!!!!
 
Ich habe vor nicht allzu langer Zeit einen ähnlichen Fehler gemacht. Auch wenn die Ursachen darin lagen bei einem Befehl den falschen Switch verwendet zu haben kam es auch hier dazu, dass die Platte mit Zufallsdaten beschrieben wurde. Zur Datenrettung habe ich UFS-Explorer verwendet. Das Programmm ist zwar ziemlich teuer aber aus meiner Erfahrung wirklich sein Geld wert. Es funktioniert mit einer ganzen Reihe von Dateisystemen. Ich habe damals viel probiert und ein Bekannter hat mich darauf aufmerksam gemacht. Das Programm lief zwar die ganze Nacht, aber meine Daten waren wieder da. Das Programm läuft leider nur unter Windows, also musst du u.U. die Platte in einen anderen Rechner einbauen.

Wie gesagt. Das Ding ist ziemlich teuer, also würde ich wenn du niemanden kennst, der es besitzt erstmal etwas anderes versuchen.

Ich hoffe, due kannst deine Daten retten. Viel Glück!

Athaba
 
Du hast recht. Entweder ist die Software deutlich billiger geworden oder ich habe die mit etwas anderem verwechselt.

Ist ja auch egal.. Die Software ist jedenfalls sehr gut und kann Partitionen und Daten auf teilweise mit Zufallsdaten gefüllten Partitionen retten. Ich hatte die Pro-Version in Verwendung. Ich war ziemlich verzweifelt, weil der Datenverlust doch ziemlich weh tat. War eine Kette von Missgechicken und Dummheit, während ich mein Netzwerk und die einzelnen Systeme umkrempeln wollte.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben