Merkmale von Betriebssystemen

From CGSecurity
Jump to: navigation, search

En.png English De.png Deutsch Es.png Español Fr.png Français


Vorkompilierte ausführbare Dateien sind für DOS, Win32, Linux und Mac OS X verfügbar auf der Herunterladen-Seite.

DOS

Die DOS-Version von TestDisk kann verwendet werden unter

  • MSDOS/FreeDOS
  • Windows 95
  • Windows 98

Die Festplatte muss vom BIOS des Computers erkannt werden.

Beachte: In einigen seltenen Fällen kann es sein, dass die Festplatte direkt an einen der IDE-Anschlüssen der Hauptplatine (Motherboard) angeschlossen werden muß, da einige IDE-Einbaukarten kaputt sind. Sie folgen nicht denselben Standardspezifikationen, die von TestDisk verwendet werden, um das Laufwerk zu finden.

Windows 95

Es muss die DOS-Version verwendet werden. Festplatten und andere Datenträger, die größer als 32 Gigabyte (GB) in der Größe sind, werden unter keiner Version von Windows 95 unterstützt. support.microsoft.com/?id=246818

Windows 98

Es muss die DOS-Version verwendet werden. Windows 98 (mit den richtigen Programmkorrekturen -> patches) kann mit Festplatten größer als 32 GB umgehen; siehe: support.microsoft.com/?id=243450 für etwaige Information die deine Version von Windows 98 betreffen. Um mit Festplatten größer als 137 GB umzugehen, muss die Unterstützung für 48-Bit Logical Block Addressing (LBA) vorhanden sein.

Windows

Die 'Windows'-Version von TestDisk bezieht sich nur auf NT 4/2000/XP/2003; für Win 9x siehe DOS version von TestDisk.

Festplattenbenennung

Die Windows-Versionen von TestDisk benutzen /dev/sdX als Plattenname (wobei 'X' wäre a, b, c... etc. für die erste, zweite, etc. Plattenposition) anstatt 'hdX' (die übliche IDE-Kennzeichnung). Der Linux-Gerätename für SCSI-Festplatten ist 'sdX', aber TestDisk weiß nicht, das es eine IDE, SCSI oder USB-Platte ist, da dieser Name vom cygwin compiler kommt, der benutzt wird um die Windows-Version von TestDisk zu erstellen. Dieser Compiler hat interne Zuordnungen (mappings) zu Windows-Laufwerke, die nur die Namen sdX verwenden.

Fehlende Platte

Wenn eine digitale Kamera oder Smart-Card von TestDisk oder PhotoRec nicht erkannt wird, dann stecke die Speicherkarte in einen USB-Kartenleser.

Windows 2000 und 48-bit LBA

Windows 2000 SP3 fügt Unterstützung für 48-bit Logical Block Addressing (LBA) hinzu, welches dem Betriebssystem einen Zugriff auf Festplatten größer als 137 GB ermöglicht. Aber, 48-Bit LBA-Unterstützung muss in Windows 2000 SP3 oder höher 'aktiviert' werden! Um dies zu tun, muss der Wert EnableBigLba in der Windows-Registrierung durch das Ausführen der folgenden Schritte definiert und richtig gesetzt werden:

  1. Starte den Registrierungs-Editor (e.g., regedit.exe). In Windows, klicke auf Start -> Ausführen, und gib regedit ein.
  2. Navigiere zu dem Registrierung-Unterschlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\atapi\Parameters.
  3. Vom Edit-Menü, wähle Neu, DWORD-Wert.
  4. Schreibe den Name EnableBigLba, und bestätige mit Eingabe.
  5. Doppelklicke auf den neuen Wert, setze ihn auf 1 und klick OK.
  6. Schliesse den Registrierungseditor.
  7. Der Computer muß neu gestartet werden, damit die Änderung sich auswirkt.

Wer mit Regedit nicht vertraut ist, kann versuchen dieses Tool (Hilfsprogramm) stattdessen zu verwenden: www.48bitlba.com/enablebiglbatool.htm

Windows XP und 48-bit LBA

Windows XP Service Pack 1 (SP1) fügt Unterstützung für 48-bit Logical Block Addressing (LBA) hinzu, welches erlaubt, um auf Festplatten größer als 137 GB zuzugreifen. support.microsoft.com/?id=303013

Linux

Linux und 48-bit LBA

Linux-Kernels sind mindestens seit 2.4.19 bereits in der Lage gewesen, auf große Platten (Festplatten über 137 GB, die 48-Bit LBA verwenden) zuzugreifen; und einige frühere Kernel wie Red Hat 7,3 ' s 2.4.18 x, wurden korrigiert (gepatched), so überprüfe die bestimmten Merkmale deiner Installation um es sicher zu wissen. Linux-Kernel 2.2.x und älter sind auf nur 65.535 Zylinder beschränkt.

Vorkompilierte binäre Dateien (binaries)

Das TestDisk-Programm ist mit UPX komprimiert, welches im /tmp -Verzeichnis dekomprimiert und ausgeführt wird. Freier Speicherplatz muss verfügbar sein, und das Ausführen von Dateien (binaries) auf dem eingebundenen (mounted) Dateisystem muss erlaubt sein (wenn notwendig, gebe ein: mount -o remount,exec /tmp ).

Plattengeometrie

Es kann sein, dass das Geometriemenü verwendet werden muss, um die richtige Plattengeometrie einzugeben.

FreeBSD

Unter FreeBSD 5.2-RC1 und möglicherweise anderen Versionen kann es sein, dass das Geometriemenü verwendet werden muss, um die richtige Plattengeometrie einzugeben.

MacOS

TestDisk starten

  1. Öffne das Terminal-Programm, welches sich im Ordner /Programme/Dienstprogramme befindet.
  2. Verwende Terminal-Befehle wie cd (change directory), navigiere zum Ordner, in dem TestDisk heruntergeladen oder installiert ist.
    • Eine zuverlässige Art, dieses zu tun ist, gib cd (Leertaste) ein und ziehe den Ordner der TestDisk enthält ins Terminal-Fenster. Dies kopiert den Pfad des TestDisk-Verzeichnisses nach dem aktuellen Befehl auf die Terminal-Befehlszeile.
    • Wenn sich der TestDisk-Ordner auf den Desktop befindet, würde der Befehl etwa so aussehen, wie: cd ~/Desktop/testdisk-6.4
  3. Gehe im TestDisk-Ordner in den Ordner , wo die ausführbaren Datein gespeichert sind (in darwin/ bei MacOS ports). Der Befehl dafür würde in etwa aussehen wie: cd darwin.
  4. Jetzt ist es Zeit TestDisk (oder PhotoRec) auszuführen. Um dieses zu tun, gib ein sudo ./testdisk (oder sudo ./photorec). Der sudo Befehl teilt dem System mit, testdisk als root ("Administrator", oder "Superuser") auszuführen. Es wird verlangt, dass du dein Kennwort eingibst.

Anwenden von TestDisk

  • Beim Start erscheint Folgendes. Markiere (Highlight) die betreffende Platte und drücke die Eingabetaste, um sie auszuwählen.
Select a media (use Arrow keys, then press Enter):
Disk /dev/disk0 - 80 GB / 74 GiB - CHS 156301488 1 1 (RO), sector size=512
Disk /dev/disk1 - 250 GB / 232 GiB - CHS 488397168 1 1, sector size=512
Disk /dev/rdisk0 - 80 GB / 74 GiB - CHS 156301488 1 1 (RO), sector size=512
Disk /dev/rdisk1 - 250 GB / 232 GiB - CHS 488397168 1 1, sector size=512

  • Sobald die betroffene Platte ausgewählt ist, musst du TestDisk mitteilen, was für ein Typ der Partitionstabelle erwartet wird. Für MacOS-Benutzer ist es wahrscheinlich die [Mac ]-Option.
Disk /dev/rdisk1 - 250 GB / 232 GiB - CHS 488397168 1 1
Please select the partition table type, press Enter when done.
[Intel  ]  Intel/PC partition
[Mac    ]  Apple partition map
[None   ]  Non partioned media
[Sun    ]  Sun Solaris partition
[XBox   ]  XBox partition
[Return ]  Return to disk selection

  • An dieser Stelle solltest du die Platte analysieren, um zu sehen, ob TestDisk bestimmen kann, dass die Partition Map die möglicherweise beschädigte Version auf dem Laufwerk ersetzt. Wähle [ Analyse ] vom Menü und bestätige mit der Eingabetaste.
Disk /dev/rdisk1 - 250 GB / 232 GiB - CHS 488397168 1 1
[ Analyse  ]  Analyse current partition structure and search for lost partition
[ Advanced ]  Filesystem Utils
[ Geometry ]  Change disk geometry
[ Options  ]  Modify options
[ Quit     ]  Return to disk selection

  • Die folgende Anzeige erscheint und erlaubt dir, TestDisk mitzuteilen, ob die Partitionen "Primary" (primäre) oder "Deleted" (gelöschte) Partitionen sind. Ich bin nicht sicher, ob es äußerst wichtig ist, irgendwelche als "D" zu kennzeichnen --ich glaube, dass sie standardmäßig zu "P" werden. Wähle Proceed, und bestätige mit Eingabe.
Current partition structure:
 1 P partition_map                  1         63         63
 2 P Free                          64     262207     262144
 3 P HFS                       262208  162267199  162004992
 4 P Free                   162267200  162529343     262144
 5 P HFS                    162529344  324534335  162004992
 6 P Free                   324534336  324796479     262144
 7 P HFS                    324796480  488397151  163600672

     P=Primary  D=Deleted

[Proceed ] [  Save  ]

  • Nach dem Analysieren erscheint eine Anzeige, die dich über die gefundenen Partitionen informiert ( die Partitionen werden grün gefärbt sein). Bestätige mit Eingabe, um zur Anzeige aller gefundenen Partitionen zurückzukehren, welche in etwa wie die Anzeige unten aussieht. Diese Informationen sollten dringend für später kopiert oder gedruckt werden, sie wird dafür benötigt um die Partitionstabelle neu mit Hilfe von pdisk zu schreiben. In eine Textdatei zu kopieren, wird empfohlen, da eine unsachgemäße Partitionierung des Laufwerks weitere Probleme verursachen könnte. Sobald kopiert wurde, wähle [ Quit ] und beende TestDisk.
Current partition structure:
     Partition                  Start        End    Size in sectors
 1 P partition_map                  1         63         63
 2 P Free                          64     262207     262144
 3 P HFS                       262208  162267199  162004992
 4 P Free                   162267200  162529343     262144
 5 P HFS                    162529344  324534335  162004992
 6 P Free                   324534336  324796479     262144
 7 P HFS                    324796480  488397151  163600672

[  Quit  ] [ Write  ]

Jetzt kannst du diese Information mit pdisk verwenden, um deine Partition Map neu zu schreiben.

Reparieren/Neuschreiben der Partition Map auf dein Laufwerk

Hinweis: pdisk ist für Mac PowerPC-Partitionstabelle, nicht für Mac Intel-Partitionstabelle.

Um die von TestDisk gegebene Partition Map neu zu schreiben, verwende den Befehl pdisk. Wenn pdisk "No partition map exists," ausgibt, kann es notwendig sein, die Platte zu initialisieren. Sobald die Platte initialisiert ist, können die numerischen Einträge, die die Partition definieren, vervollständigt, und ein Name kann der Partition ("rec_part" im Beispiel unten) zugewiesen werden. Die folgende Information sind von TestDisk gegeben,

Disk /dev/rdisk1 - 160 GB / 149 GiB - CHS 312581808 1 1                                                                                       
     Partition               Start        End    Size in sectors                                                                              
P HFS                       262208  312581791  312319584    

die erforderlichen pdisk-Befehle sind:
pdisk: No valid block 1 on '/dev/rdisk1'
Edit /dev/rdisk1 -
Command (? for help): c
No partition map exists
Command (? for help): i
Command (? for help): c
First block: 262208
Length in blocks: 312319584
Name of partition: rec_part
Command (? for help): w
Command (? for help): q

PhotoRec: Ändern der Besitzrechte von Dateien

Da PhotoRec als Root ausgeführt ist, gehören die von PhotoRec wiederhergestellte Dateien auch dem Root-Benutzer. Benutze den id-Befehl, um deinen Benutzernamen und Gruppennamen zu erhalten. Um den Besitz von Dateien und Verzeichnisse zu ändern, verwende sudo chown -R username:groupname recup_dir.*

Zurück zu TestDisk