Recuperar dades del ext2 (i ext3)

Reading time: 2 – 4 minutes

Llegint per linuxsecurity m’he trobat un article molt interessant amb links
a articles encara més interessants sobre la quantitat de cosetes q
té el nostre estimat i obsolet ext2, però q l’ext3
manté…

tb podem trobar coses tan itneressants com les següents en
l’article:

Let us start with the classic method to hide material on UNIX filesystems (not
even ext2 specific). Run a process that keeps the file open and then remove the
file. The file contents are still on disk and the space will not be reclaimed
by other programs. It is worthwhile to note that if an executable erases
itself, its contents can be retrieved from /proc memory image: command “cp
/proc/$PID/exe /tmp/file” creates a copy of a file in /tmp.

Hem direu q no us heu kedat flipats després de llegir això, a ki
no li ha passat mai q borra un dimoni sense voler i té el procés
rulant i llavors ha d reinstal·lar el paquet sencer. Doncs ja veieu q
facil és recuperar-lo de la RAM i tornar-lo a posar al nostre HD.

En l’article tb es comenta com recuperar fitxer borrats amb el /bin/rm, sempre
q no s’hagin sobre-escrit, és clar. De fet, hi ha un mini-HOWTO q parla
del tema:

-Linux Ext2fs Undeletion mini-HOWTO

i si el q volem és un programet q ens faci la feina:

e2undel
recover

De fet l’article en qüestió el q realment ens plateja
és:

On a 4GB Linux partition, the block size is typically 4K (chosen automatically
when the mke2fs utility is run to create a filesystem). Thus one can reliably
hide up to 4KB of data per file if using a small file. The data will be
invulnerable to disk usage, invisible from the filesystem, and, which is more
exciting for some people, undetectable by file integrity checkers using file
checksumming algorithms and MAC times. Ext2 floppy (with a block size of 1KB)
allows hiding data as well, albeit in smaller chunks.

Cosa q tots sabiem, però q segurament no ens haviem plantejat mai
aprofitar aquest espai. Doncs si ara ho volem fer ja tenim una eina per
fer-ho:

bmap

bé ara ja us he posat el carmel a la boca, o sigui, q si voleu
més info l’article és aquest:

Linux
Data Hiding and Recovery