4
Datenrettung mit Scalpel unter Linux: Header für RAR
Hallo,
ich muss versuchen 2 RAR-Teilarchive von einer externen Festplatte mit ext4 zu retten. Ich hatte da schon früher einmal Erfolg entweder mit ext4magic und Scalpel. In meinem aktuellen Fall hab ich mit ext4magic nichts gefunden, obwohl die Lösung erst vor ca. 36 Stunden passiert ist und kaum Daten geschrieben wurden. Ich bin da grad nicht sicher ob es ein Problem für ext4magic darstellt, wenn der Unterordner in dem die Daten lagen auch gelöscht wurde. Ich möchte noch scalpel versuchen, auch damit hab ich schon einmal Daten von ext4 wiederherstellen können. Scalpel braucht dafür einen Header und/oder Footer in einer Config-Datei und RAR findet sich dort nicht. Für ZIP und PDF sieht das ganze z. B. so aus:
Warum hier für PDF 2 Einträge sind sind, weiß ich nicht. Wie finde ich den richtigen Eintrag für RAR-Dateien? Sind technisch gesehen die RAR-Teilarchive (*rar.part1) etwas anderes als RAR-Dateien?
ich muss versuchen 2 RAR-Teilarchive von einer externen Festplatte mit ext4 zu retten. Ich hatte da schon früher einmal Erfolg entweder mit ext4magic und Scalpel. In meinem aktuellen Fall hab ich mit ext4magic nichts gefunden, obwohl die Lösung erst vor ca. 36 Stunden passiert ist und kaum Daten geschrieben wurden. Ich bin da grad nicht sicher ob es ein Problem für ext4magic darstellt, wenn der Unterordner in dem die Daten lagen auch gelöscht wurde. Ich möchte noch scalpel versuchen, auch damit hab ich schon einmal Daten von ext4 wiederherstellen können. Scalpel braucht dafür einen Header und/oder Footer in einer Config-Datei und RAR findet sich dort nicht. Für ZIP und PDF sieht das ganze z. B. so aus:
# case size header footer
#extension sensitive
pdf y 5000000 %PDF %EOF\x0d REVERSE
pdf y 5000000 %PDF %EOF\x0a REVERSE
zip y 10000000 PK\x03\x04 \x3c\xacWarum hier für PDF 2 Einträge sind sind, weiß ich nicht. Wie finde ich den richtigen Eintrag für RAR-Dateien? Sind technisch gesehen die RAR-Teilarchive (*rar.part1) etwas anderes als RAR-Dateien?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3929253043
Url: https://administrator.de/contentid/3929253043
Ausgedruckt am: 23.11.2024 um 15:11 Uhr
4 Kommentare
Neuester Kommentar
Hallo,
dann packe doch einfach mal ein Archiv als MultiRar und schaue dir den Header an. Den trägst du dann ein.
In der Hilfe/Manual von Scalpel wird doch bestimmt auch drinstehen wie die Config aufgebaut ist.
wäre vielleicht nen Anfang.
Und natürlich vorher von der Platte ne Sicherung machen und vom Image arbeiten, aber das versteht sich ja von selbst.
Gruß
Xolger
dann packe doch einfach mal ein Archiv als MultiRar und schaue dir den Header an. Den trägst du dann ein.
In der Hilfe/Manual von Scalpel wird doch bestimmt auch drinstehen wie die Config aufgebaut ist.
rar y 5000000 Rar! %EOF\x0d REVERSEUnd natürlich vorher von der Platte ne Sicherung machen und vom Image arbeiten, aber das versteht sich ja von selbst.
Gruß
Xolger
Wie die config aufgebaut ist schon, zwei bsp. Hab ich ja im Beitrag, da seh ich aber keine echte Logik.
Wie bekomme ich die header und footer für rar heraus? Google spuckt mir sehr verschiedene Angaben aus.
Wie bekomme ich die header und footer für rar heraus? Google spuckt mir sehr verschiedene Angaben aus.
Schau dir doch mal eine pdf , eine zip und eine rar Datei in einem Dateiviewer an und du wirst erkennen was vom Header angegeben wurde.
Lies dir mal den folgenden Artikel durch
https://www.linux-magazin.de/ausgaben/2008/06/selbst-geschnitzt/
Ggf ist Foremost eine bessere Alternative zu Scalpel, da hier für rar schon einiges implementiert wurde.
https://www.linux-magazin.de/ausgaben/2008/06/selbst-geschnitzt/
Ggf ist Foremost eine bessere Alternative zu Scalpel, da hier für rar schon einiges implementiert wurde.
