» »

Clonezilla: težave s rekonstrukcijo slike diska

Clonezilla: težave s rekonstrukcijo slike diska

Plamenjak ::

Disk image (slike diska) večinoma delam s Clonezillo in skoraj vedno zadeva deluje brez težav. Tokrat pa je očitno prišlo do neke napake (ne vem katere, morda se je računalnik zaradi pregrevanja samodejno ugasnil sredi procesa) in datoteke, ki sem jih dobil kot rezultat kloniranja diska, niso popolne. Kar hočem povedati je, da v mapi, ki sem jo ustvaril, niso vse datoteke, ki bi morale nastati pri kloniranju. Notri ni recimo datoteke s končnico .parted, ki je precej pomembna. Zdaj pa me zanima ali je mogoče ostale datoteke (razvidne iz priloge) nekako pretvoriti v surov format (raw) in jih sestaviti skupaj tako, da bi prišel do delne slike diska ali vsaj do nekaterih datotek? Težava je v tem, da je bilo na tistem računalniku medtem eden čez drugega nameščenih več operacijskih sistemov, tako da datoteke, ki jo iščem, s forenzično rekonstrukcijo (vsaj s pomočjo zastonjskih programov tipa Recuva) najbrž ne bi več dobil, pa tudi dostopa nimam več do tiste mašine.

...



Skratka, kako iz tega delnega imidža diska narediti nekaj uporabnega, če ne nov delujoč imidž, pa vsaj dostop do shranjenih datotek.

Hvala za morebitno pomoč.
  • zavaroval slike: bluefish ()

RejZoR ::

Ne. Naredi image še enkrat. Sej izvorni disk imaš še vedno. Neki obnavljat ne moreš niti nočeš nekaj napol, ker pri takih zadevah kjer gre za byte correct copy ne moreš neki na približno obnavljat (kar lahko počneš na file system nivoju kjer lahko pogrešiš kakšno fuč datoteko). Če pa ti manjka ravno del kjer je bil MFT ali folder structure pa je konec.
Angry Sheep Blog @ www.rejzor.com

Plamenjak ::

RejZoR je izjavil:

Ne. Naredi image še enkrat. Sej izvorni disk imaš še vedno. Neki obnavljat ne moreš niti nočeš nekaj napol, ker pri takih zadevah kjer gre za byte correct copy ne moreš neki na približno obnavljat (kar lahko počneš na file system nivoju kjer lahko pogrešiš kakšno fuč datoteko). Če pa ti manjka ravno del kjer je bil MFT ali folder structure pa je konec.

Saj prav to je težava, izvornega diska nimam več. Pa tudi če bi lahko dobil dostop do njega, je zdaj že prepozno, ker je bil čez nameščen najprej Ubuntu, potem formatiran, pa na novo Windows 7.

RejZoR ::

Zakaj nisi ponovil postopka že takoj, če ti je zadeva crknila sredi kloniranja?
Angry Sheep Blog @ www.rejzor.com

Plamenjak ::

Zato, ker sem vmes (med kloniranjem) šel za dve uri stran od PCja, ko sem se vrnil, je bil že ugasnjen, nisem pa naknadno preveril vsebine fajlov. Po toči zvonit je prepozno, bom za drugič vedel - prej nisem imel težav s kloniranjem, zato pač nisem pomislil, da lahko gre takole spontano kaj narobe. Potem misliš, da iz teh podatkov, ki so neposrečeno klonirani, ni mogoče pridobiti nazaj dela datotek?

misek ::

A ni tukaj samo ena particija z NTFS sistemom? Torej bi vsaj iz tega lahko na roke kaj restavriral. Če je slika particije celotna.
Glede ne to da Clonezilla uporablja odprte formate to ne bi smel biti problem.

Plamenjak ::

Ja, res gre samo za eno ntfs particijo, na kateri je bil nameščen tako OS kot tudi vse datoteke. In kako bi zadevo "na roke" restavriral?

misek ::

Na "roke" bi restavriral tako, da malce analiziraš, kako natančno Clonezilla deluje in kaj je v posamezni datoteki. Seveda če je vsebina pomembna.

Plamenjak ::

Sem upal, da za to obstaja kakšna že utečena in dobro znana pot, ki bi mi prihranila odkrivanje tople vode:)

misek ::

Saj obstaja - Google.

How to restore and mount a Clonezilla Image with partclone
Lahko pa tudi shraniš datoteke na eno particijo ter popraviš boot loader.

RejZoR ::

Zato je pametno vedno primerjat predvideno velikost imagea in nato še dejansko. Še posebej v primeru če ne veš ali je bilo uspešno ali ne.
Angry Sheep Blog @ www.rejzor.com

Plamenjak ::

Hvala za pomoč, se bom čez vikend lotil rekonstrukcije.

Plamenjak ::

How to Mount Clonezilla Images

1. Prepare a large disk in Linux
2. Say if your image is /home/partimag/YOURIMAGE/, and the image is /home/partimag/YOURIMAGE/hda1.ntfs-img.aa, hda1.ntfs-img.ab...
run
"file /home/partimag/YOURIMAGE/hda1.ntfs-img.aa"
to see it's gzip, bzip or lzop image.

Tukaj se je pojavila prva težava. Ukaz "/media/57E072FD319D2C57/clone# file sda1.ntfs-ptcl-img.gz.ab" vrže ven tole informacijo "ntfs-ptcl-img.gz.ab: data", tako da ne vem za katero vrsto datoteke sploh gre.

b ::

Kaj pa datoteka .aa? S tem da je precej verjetno, da je gzip. Torej dobiš image z gzcat hda1.ntfs-img.[a-z][a-z] > hda1.ntfs-img

Potem pa mountaš tale hda1.ntfs-img (oz. kar pač imaš od njega) z ntfs-3g in upaš, da je gor vse kar rabiš.

Plamenjak ::

/media/57E072FD319D2C57/clone$ cat sda1.ntfs-ptcl-img.gz* | gzip -d -c | ntfsclone --restore-image -o sda1.img -
ntfsclone v2.0.0 (libntfs 10:0:0)

gzip: stdin: not in gzip format

Napiše, da ni gzip format. Datoteke .aa pa ni notri, kaže, da gre za nepopoln klon (najbrž se je proces ustavil). Od .ab do .av so, sem jih dal v scrshoot nekaj postov višje.

b ::

A lahko izključiš skrivanje končnic, da se dejansko vidi, kakšne datoteke imaš na voljo? Sumim, da je tista prva .gz (oblika zapisa zvoka) v resnici .aa.

In naredi točno tako, kot sem jaz. da1.ntfs-ptcl-img.gz* je nekaj drugega kot da1.ntfs-ptcl-img.gz.[a-z][a-z] (vrstni red se lahko spremeni).

Zgodovina sprememb…

  • spremenilo: b ()

Plamenjak ::

B, zunanji disk, na katerem imam te fajle, zdaj melje, v konzoli seveda ne kaže ničesar. Se bo proces samodejno prekinil, če zmanjka prostora na disku? Prav tako me zanima kaj si misli pod skrivanjem končnic fajlov (kolikor vem, so tisto celotna imena datotek) ... če je kakšen ukaz za to, se priporočam, ker sem novinec v svetu linuxa.

b ::

Ne gre za Linux, seznam datotek na sliki zgoraj je brez končnic vsaj v dveh primerih. V windows explorerju imaš nekje možnost "skrij končnice datoteke za znane tipe" ali nekaj podobnega, tisto je vključeno (razvidno iz slike, da se ne vidijo povsod "prave" končnice).

Zdaj ko sem še enkrat pogledal, mi je jasno, tista datoteka je .au (med .at in .av :) Zadnja pa je verjetno .az (answerd wizard file wtf je to?)

Ja, če bo zmanjkalo prostora, se bo zadeva 100% ustavila :)

Zdaj boš vsaj videl, kaj bo prišlo ven iz vsega skupaj, ampak meni deluje obetavno.

Plamenjak ::

Tudi jaz ne vem kaj je "answered wizard file":) Sem malo brskal po netu, nisem našel nič uporabnega.

Ja, zadeva se je ustavila, na disku zmanjkalo prostora. Ni problema, bom vzel večji disk, vrgel tiste fajle gor in tam še enkrat ponovil vse skupaj. Poročam o rezultatih.

amigo_no1 ::

Ja, če bo zmanjkalo prostora, se bo zadeva 100% ustavila :)

Hja, pri usb ključkih s fake kapaciteto piše dalje vsebino (in zraven prepiše obstoječe podatke :D).

b ::

amigo_no1 je izjavil:

Ja, če bo zmanjkalo prostora, se bo zadeva 100% ustavila :)

Hja, pri usb ključkih s fake kapaciteto piše dalje vsebino (in zraven prepiše obstoječe podatke :D).


Drži, ampak ni ravno povezano s to temo...

misek ::

Zadnja extenzija nima popolnoma nobenega pomena. Kot vidite je gzip datoteka razsekana na 2 GB datoteke. Zato na koncu .gz.ab, .gz.ac, ... Podobno kot pri velikih .rar datotekah na rapidshare in podobnih servisih. Pravilen cat ukaz jih lepo sestavi nazaj eno za drugo v pravem vrstnem redu. Kolikor gledam bi moralo biti tako, kot je napisal b (za .gz mora biti . nato *):
cat sda1.ntfs-ptcl-img.gz.*

b ::

@misek: nisem napisal tega. .* se ne expanda nujno po abecednem redu, zato je treba bit bolj natančen. [a-z] bo zmeraj po vrsti.

Plamenjak ::

Če poizkusim mountati tisti "spajkani" image (sda1.ntfs-img), ki je nastal po zgornjih navodilih, se zgodi sledeče:

/media/0DFD96802D6AEB49/clone# mount -o loop -t ntfs sda1.ntfs-img /mnt
NTFS signature is missing.
Failed to mount '/dev/loop0': Invalid argument
The device '/dev/loop0' doesn't seem to have a valid NTFS.
Maybe the wrong device is used? Or the whole disk instead of a
partition (e.g. /dev/sda, not /dev/sda1)? Or the other way around?

Je pa res, da je image fajl na zunanjem (sdc) disku, čisto mogoče je, da sem postavil neustrezen ukaz.

Plamenjak ::

Še vedno težave z mountanjem, pa sem poizkusil že več možnosti. Skrbi me tudi, ker tisti velik fajl (sda1.img) ukaz "file" prikaže kot "data". Sem mislil, da bo image ali kaj takšnega.

file /media/0DFD96802D6AEB49/clone/sda1.img
/media/0DFD96802D6AEB49/clone/sda1.img: data

Sicer pa tole:

ntfs-3g /media/0DFD96802D6AEB49/clone/sda1.img mnt/
NTFS signature is missing.
Failed to mount '/media/0DFD96802D6AEB49/clone/sda1.img': Invalid argument
The device '/media/0DFD96802D6AEB49/clone/sda1.img' doesn't seem to have a valid NTFS.
Maybe the wrong device is used? Or the whole disk instead of a
partition (e.g. /dev/sda, not /dev/sda1)? Or the other way around?

in še enkrat:

/media/0DFD96802D6AEB49/clone# mount -o -loop -t ntfs sda1.img /mnt
NTFS signature is missing.
Failed to mount '/media/0DFD96802D6AEB49/clone/sda1.img': Invalid argument
The device '/media/0DFD96802D6AEB49/clone/sda1.img' doesn't seem to have a valid NTFS.
Maybe the wrong device is used? Or the whole disk instead of a
partition (e.g. /dev/sda, not /dev/sda1)? Or the other way around?

poweroff ::

Če prav razumem, je image diska razsekan na več kosov. Ki se jih da sestavit s cat ukazom oz. če gre za gzipane datoteke z zcat ukazom.

Torej, kot je rekel b:

gzcat hda1.ntfs-img.[a-z][a-z] > skupni_hda1.ntfs-img

Tole bi ti ven moralo dati datoteko skupni_hda1.ntfs-img

Možno je pa, da to ni particija, pač pa celoten disk... V tem primeru uporabi tale ukaz:
sudo losetup -r /dev/loop0 skupni_hda1.ntfs-img -o $((32 * 512)) && sudo mount /dev/loop0 /mnt
sudo poweroff

b ::

Verjetno je kar particija, ker je image poimenoval clonezilla po dejanskem imenu - hdb1. Po mojem je problem, ker manjka prvi od razrezanih delov - tisti s končnico .aa. (zcat bo kljub temu opravil svoje, ga ne moti pretirano, ker je gzip stream compressor)

Kako recoverat NTFS, kateremu manjka lep kos od začetka fs-ja... je pa above my paygrade :)

Zgodovina sprememb…

  • spremenilo: b ()

Plamenjak ::

Mislim, da je disk, to pa zato, ker sem naredil image celega diska (imel je eno particijo na kateri je bil OS in ostali fajli).

Tole mi izpiše, če sledim Matthajevim navodilom (skupin fajl sem poimenoval sda1.img

/media/0DFD96802D6AEB49/clone# losetup -r /dev/loop0 sda1.img -o $((32 * 512)) && sudo mount /dev/loop0 /mnt
mount: bločna naprava /dev/loop0 je zaščitena pred pisanjem, priklapljam samo za branje
mount: tip dat. sistema mora biti podan

misek ::

Po moje ima b prav ko pravi da manjka prvi del vsaj glede na problem tukaj. V tem primeru sta dve datoteki - aa in ab. Če bi potreboval samo datoteke bi tole img datoteko odprl z recovery programom RStudio in restavriral podatke (datoteke).

b ::

Zihr se nekaj da rešit, samo vprašanje kaj - če imaš gzipane datoteke velike 2GB, pomeni da ti manjka prvih ~2-4GB diska. Če imaš srečo, bo to samo sistem. Kot sem pa rekel, pojma nimam katere recovery programe za NTFS se uporabi v ta namen.

solatko ::

Počasi se boste naučili, spremembe v sistemu clonirati tako, da je vsak popravek slika zase in če je zadnji pokvarjen, vzameš pač enega prej in izgubiš samo zadnje podatke. Če vsakokrat prepišeš celotno sliko diska in gre kaj narobe, ti ne ostane nič. Na pol clonirano sliko boš težko povrnil, ker zgleda približno tako kot p2p, ko sestavlja paketke in na koncu formira celotno sliko iz katere pa lahko potem vlečeš posamezne datoteke.
Problem je tudi, če slučajno pobereš zlobno kodo, slike ne boš uspešno posnel, ko jo boš hotel obnoviti, bo napisalo, da slika ni vredu.
Delo krepa človeka

misek ::

Kot sem napisal: jaz bi uporabil RStudio in to kreirano veliko datoteko. Sem tako reševal podatke iz slike diska.

poweroff ::

OK, za recovery priporočam photorec, ki je del paketa testdisk.

Torej:
sudo su
apt-get install testdisk
photorec imefajla.img

Potem ti naredi nov direktorij (recup.1 ali nekaj takega) in notri nameče najdene datoteke.
sudo poweroff

solatko ::

Če je izdelava slike prišla skoraj do konca in manjka samo ureditev koščkov, sicer pa ne bo nič.
Delo krepa človeka

poweroff ::

Ni nujno. Sam sem rekonstruiral tudi podatke iz diska, ki je bil formatiran (quick format) in nato gor nameščen drug OS.
sudo poweroff

solatko ::

To je drugo, sem tudi sam še gledal, kaj je na rabljenih diskih, ki sem jih kupil in so bili varno formatirani. Tu gre za poseben sistem, ki ga imajo programi za cloniranje particij Acronis, clonezilla....., obliko, ki jo lahko bereš, dobijo te slike malo pred koncem postopka (uporabljam True image in sem poizkusil, zaradi profesionalne radovednosti), failov, ki bi bili berljivi, enostavno ni, do malo pred koncem, kot, da bi bilo vse kriptano, ti pa brez pravega ključa ne moreš nič prebrat. To je verjetno zato, ker se te kopije lahko pošilja tudi v oblak, na omrežje in drugam, da ne pridejo do podatkov tisti, ki jih nič ne briga.
Delo krepa človeka

b ::

Ne bo ravno držalo, solatko.

Če je slika diska oz. particije 1:1 (brez kompresije in brez izpuščanja "praznih" delov), potem je čisto vseeno, ali poskusiš prebrati bit z diska ali iz slike - dobil boš isto.

Če pa program za kloniranje/backupiranje/whatever pozna datotečni sistem na disku, potem ne bo brezveze v image pisal delov diska, ki so po njegovem prazni. V tem primeru pa drži to kar si rekel, da ni več mogoče prebrati raznih pobrisanih datotek.

V primeru clonezilla je tako, če delaš image z uporabo ntfsclone, ki prebere NTFS in naredi image velik približno toliko, kolikor je podatkov. Če pa uporabiš dd, potem se naredi image celotnega diska.

Anyway, to s težavo OP-ja nima neposredne povezave, hotel sem samo dopolnit, kar je napisal solatko.

poweroff ::

solatko, preberi si knjigo File System Forensic Analysis od Briana Carrierja. Ti bo marsikaj postalo jasno, predvsem kako Photorec in Testdisk delujeta.

Skratka, če je narejen image (v stilu dd-ja), potem se obnavljat da. Če pa se dela kopija podatkov (po možnosti inkremenetalno), je pa seveda druga pesem.
sudo poweroff

solatko ::

Precej se ukvarjam z obnavljanji pobrisanih datotek in vam povem, da slika true image, je kompresirana in, če ni o.k. ne moreš nič prebrat. Za Clonezillo ne vem, ker še nisem probaval, vendar, bi jaz poiskusil s programom, ki obnavlja particije, tako, da bi dobil prejšnjo in morda bi se dalo večino slik in dokumentov rešit, tudi če je bilo formatirano.
Delo krepa človeka

poweroff ::

Particije sicer obnavlja testdisk.

Če je zadeva kompresirana z znano kompresijo, se morda da tudi dekompresirat...
sudo poweroff

solatko ::

Jaz uporabljam drugo orodje.
Verjetno bi se dalo, morda tudi kdaj poizkusimo, samo je treba pregledat, kako kompresira in kako dekompresira, če ni v Acronisu preveč skrito.
Delo krepa človeka

Plamenjak ::

Žal se oglašam bolj pozno, šele danes mi je zneslo, da sem preizkusil testdisk/photorec kakor je predlagal Matthai. Zadeva sicer deluje, dobil sem 18 GB fajlov ven, vendar so v .txt, .gpg, .mpg oblikah in gre za očitno precej popačene datoteke. Nenavadno se mi zdi, da je iz 41 GB velikeg .img fajla dobil "le" za 18 GB datotek. Sem še enkrat poizkusil, ravnokar melje, da vidim, če nisem pomotoma (sicer dvomim) zbral zgolj rekonstrukcije particije. Poročam o rezultatih.

Plamenjak ::

Hja, proces sem večkrat ponovil in vselej dobil iste rezultate. Približno 25 datotek v velikosti 18,9 GB, žal vse precej neuporabne. Razen če ima še kdo kakšen predlog/nasvet. Je mogoče kakšna opcija, da se iz teh velikih datotek dobi kaj pametnega?

 rekonstrukcija podatkov iz slike diska

rekonstrukcija podatkov iz slike diska

solatko ::

Cele particije ne boš nikoli obnovil na uporabno vrednost, ker slika ni bila narejena do konca. Morda bi bilo bolje iskati posamezne datoteke, z znano končnico in s specifičnimi orodji.
Bi pa kakšen mojster, obnovil večino sliki in dokumentov, težje je z glasbenimi in filmskimi datotekami. Odvisno kaj rabiš.
Delo krepa človeka

misek ::

Plamenjak, poskusi z različnimi programi. Katerega jaz preferiram sem že napisal.

Plamenjak ::

Ok, ni druge, v najslabšem primeru se bom naučil nekaj koristnih reči:) Prvi je na vrsti RStudio.

misek ::

NTFS ima dve tabeli Master File Table (MFT) - ena je redundantna. Zato mi je čudno, da si uspel dobiti tako malo število datotek.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

kloniranje diska

Oddelek: Pomoč in nasveti
354699 (3829) solatko
»

Disk Cloning - ghost image (strani: 1 2 )

Oddelek: Programska oprema
537403 (5823) thebaloh
»

Kako instalirati Linux in xp?

Oddelek: Operacijski sistemi
62325 (2246) Blinder
»

zunanji USB disk na Suse

Oddelek: Operacijski sistemi
121373 (1246) kriko1
»

Linux / net

Oddelek: Pomoč in nasveti
221610 (1283) roscha

Več podobnih tem