Uszkodzona partycja z ważnymi danymi

[utf-8]

Mam poważny problem, spory czas temu zaczął mi się psuć dysk. Ale nadal z niego korzystałem bo miałem na nim oryginalny plik potrzebny jako dowód sądowy. Po kilku miesiącach stwierdziłem że nie ma sensu dalsza praca na dysku który gubi dane i wymieniłem go na nowy. Niestety nie mogłem skopiować oryginalnego pliku którego data utworzenia jest dowodem w sprawie i pozostawiłem go na dysku tworząc jedynie jego kopie na CD.
Po pewnym czasie podłączyłem uszkodzony dysk przez USB żeby skopiować wszystko ze starego dysku i ewentualnie pomyśleć co zrobić z tym oryginalnym plikiem. Samo podłączenie przebiegło bez problemów, postanowiłem uruchomić stary system przez USB.
Przy starcie Linux wykrył błędy na dysku  i zaczął je naprawiać jak to robił wielokrotnie w przeszłości. Pojawił się ekran logowania ale próba zalogowania wywaliła jakiś błąd więc uruchomiłem kompa ponownie. Wtedy ujrzałem jakiś błąd gruba, kolejny raz zrestartowałem kompa i uruchomiłem system z dysku lokalnego. Niestety tym razem okazało się że zamontowane z USB zostały tylko partycje z Windowsem na których nie ma nic istotnego.
Spojrzałem co się stało i ustaliłem że format dwóch partycji z Linuxem przestał być rozpoznawany. Próbowałem przywrócić tablice partycji dla pewności ale nic to nie dało, problem jest z partycjami a nie z ich tablicą. Są one rozpoznawane jako partycje Linuxa ale próba ręcznego zamontowania poleceniem:

mount -t ext3 /dev/sdb1 /media/starydysk1

daje taką odpowiedź:

mount: niewłaściwy typ systemu plików, błędna opcja, błędny superblok na /dev/sdb1,
       brak strony kodowej lub programu pomocniczego albo jeszcze inny błąd
       W niektórych przypadkach przydatne informacje można
       znaleźć w logu systemowym (np. dmesg | tail)

Sytuacje pogarsza fakt że nie jestem pewien jaki system plików tam ustawiłem kilka lat temu gdy formatowałem dysk. Na pewno jest to jakiś ext, stawiam że wersja 3 jak w poleceniu. Na szczęście mogę eksperymentować na partycji / bo dane z niej nie są mi potrzebne.
Zwracam sie z prośbą do ludzi którzy eksperymentowali z dyskami o podpowiedź jak odczytać te uszkodzone partycje. Szukam też porady jak utworzyć kopię pliku z udokumentowaną datą utworzenia oryginału. Czy utworzenie obrazu partycji zachowuje oryginalne daty plików?

[Paweł Kraszewski]

Wybacz za ostre słowa: Jako były ekspert policyjny zajmujący się odzyskiem danych - za samą pracę na dysku, który zawiera dowód sądowy (i to taki, którego data jest istotna)  powinieneś się rozpędzić i jebnąć głową o ścianę.

Dysk od początku powinien leżeć w kopercie bąbelkowej, a wiedząc że jest uszkodzony, jego kopia narzędziami kryminalistycznymi (nawet darmowymi) powinna być na drugim dysku w kopercie obok.

Teraz, jak dysk się posypał, to masz g*o nie dowód. Chyba, że sąd zarządzi badania biegłemu, ale któraś strona będzie za to musiała zapłacić.

Dodatkowo - data utworzenia/modyfikacji pliku daje się tak łatwo manipulować bez pozostawiania śladu, że w mojej opnii nie ma żadnej wartości dowodowej. Nie wiem, czy jesteś świadkiem, powodem czy pozwanym - załóżmy, że powodem (P). Czyli przeciw tobie jest obrońca (O) a między wami sąd (S). Ze względu na sypnięcie dysku, sąd albo obona zawołali biegłego (B)

(O->S) Wysoki Sądzie, czy mogę zadać biegłemu pytanie?
(S->O) Tak
(O->B) Czy datę utworzenia bądź modyfikacji pliku można zmienić w sposób nie pozostawiający żadnych śladów?
(B->S) Tak, wysoki sądzie (biegły niezależnie od "zapraszającego" i zadającego pytanie zawsze odpowiada sędziemu). Przy znajomości budowy dysku i za pomocą powszechnie dostępnych narzędzi można ustawić dowolną datę pliku jak i manipulować jego zawartością i nazwą. Przy użyciu odpowiednich narzędzi ingerencja taka nie zostawi śladów na dysku.
(O->S) Wysoki Sądzie, dziekuję biegłemu za opinię. W zaistniałej sytuacji wnoszę o odrzucenie przez Wysoki Sąd dowodu w postaci dysku twardego.
(S) Proszę zaprotokołować, że na podstawie opinii biegłego i na wniosek obrony odrzucam dowód w postaci dysku twardego nr...

[ Kurtyna ]

[1709]

live-cd Knoppix potrafi czasami zamontowac uszkodzone partycje,
podkreslam, czasami.

[ultr]

Po pierwsze, jak napisał pkraszewski, wykazałeś się nieprzeciętną głupotą.

> [...] pliku którego data utworzenia jest dowodem w sprawie [...]
Po drugie, wątpię, by data utworzenia pliku na Twoim prywatnym dysku, który do tego nie został nawet uprzednio zabezpieczony przez właściwe organy, miała jakąkolwiek wartość.
Datę utworzenia zmienia się jednym poleceniem, czego druga strona mająca przynajmniej kompetentnego biegłego na pewno nie omieszka podnieść w tej sprawie.
Prędzej trzeba by zbadać kolejność utworzenia plików w samym filesystemie bazując na jego algorytmach, ale to wymaga grubszej analizy i potrzebujesz do tego kopii całego dysku.

Po trzecie kup inny dysk (najlepiej identyczny) i zrób na nim fizyczną kopię całego tego dysku (polecenie dd z parametrem /dev/sdX). Możesz ewentualnie skopiować zawartość do pliku na innym (większym) dysku. To kopiowanie bajt po bajcie całej zawartości dysku łącznie z danymi partycji i systemów plików - większej ilości danych o dysku/pliku już nie da się utrwalić.

Po czwarte, nie próbuj już więcej montować tego dysku, bo tylko możesz bardziej uszkodzić dane. Jeśli już chcesz go montować, to zrób najpierw kopię jak powyżej i montuj ją w trybie read-only, żeby zachować zgodność z oryginałem.

[utf-8]

Myślę że powinienem trochę wyjaśnić sytuację, plik który ma być dowodem jest zdjęciem zniszczeń. Data oryginału potrzebna jest po to żeby nikt nie podważył że zostało wykonane później i przedstawia celowe szkody. Plik ten nie jest też głównym dowodem w sprawie i dlatego nie podszedłem do jego zabezpieczenia super poważnie.
Jestem wdzięczny za napisane przez was wskazówki dotyczące zabezpieczania dysków, z pewnością przydadzą się mi i innym w przyszłości. Jednak jak dobrze zauważył ultr mając odpowiednie umiejętności można dowolnie zmieniać dane cyfrowe. Samą kopie dysku można bez problemu podważyć jeśli nie była poświadczona przez kogoś upoważnionego. W sprawach kryminalnych zajmuje się tym prokuratura/policja ale w sprawach cywilnych każdy jest zdany na własną rękę. I tu zaczynają się schody, nikt normalny ci nie chce tego poświadczyć i pozostaje ci tylko zrobić to za kasę u specjalisty. Tylko że kasa jaką trzeba za to zapłacić przekroczy często kwotę sporu.
Prokuratura zaleca w takich sytuacjach nagrywać dowody cyfrowe na nośnikach jednokrotnego zapisu czyli np poczciwym CD. Ale jak to bywa z naszym sądownictwem nikt tam nie pomyślał że przy nagrywaniu płyty zmienia się data pliku, co można w pewnych sytuacjach użyć do unieważnienia dowodu.
Chciałem odzyskać ten oryginalny plik ponieważ w przypadku gdy data powstania zostanie podważona to sprawa będzie się ciągnęła przez dodatkowy rok. A pewnie wiecie jak to jest natknąć się na gnidę w sądzie, która zamiast przyjąć wyrok będzie tylko kombinować jak tu napsuć nerwów i przeciągać sprawe w nieskończoność.

Przypominam że tematem wątku jest moja uszkodzona partycja, a toczyć dyskusję na temat zabezpieczania danych do sądu byłoby lepiej w osobnym temacie.

[ultr]

Lepiej skopiować dysku niż poleceniem dd się nie da, bo to tworzy wierną kopię całego dysku fizycznie bajt po bajcie.
Wgrywając potem taki obraz (plik o rozmiarze całego dysku) na nowy dysk (przyjmijmy, że identyczny model) otrzymasz identycznie spartycjonowany dysk z identycznymi danymi.

Oczywiście musisz przygotować na tę kopię tyle miejsca ile pomieści dysk (wraz z "pustym" miejscem, bo przy tej operacji nie ma ono znaczenia).

Przed rozpoczęciem kopiowania wszystkie partycje z tego dysku powinny być odmontowane. Najlepiej zrobić to z systemu zabootowanego z CD (każdy ma polecenie dd).

Co do odzyskania pliku:
Sam plik (dane) masz skopiowany, więc zależy Ci raczej na odzyskaniu w miarę sprawnego systemu plików, który zawiera informację o dacie powstania/modyfikacji pliku. Warto więc zrobić kopię dysku i poeksperymentować na niej z zamontowaniem systemu i naprawieniem systemu plików. Gdy to się uda, polecam odłożyć taką sprawną kopię na półkę i traktować już jako dowód.

Z innej beczki:
Ponieważ to zdjęcie, powinno zawierać informacje kiedy zostało zrobione, jakim aparatem, itd. To tak zwane metadane, które w zdjęciach najczęściej zapisuje się w tagach EXIF. Te informacje zachowane są w samym formacie pliku, więc nie są zależne od kopiowania, przenoszenia czy nagrywania pliku na CD.
Odczytać możesz je z konsoli np. poleceniem "exiv2 nazwapliku.jpg".
To równie dobry dowód, jeśli nie lepszy, jak data stworzenia pliku na dysku.

[roobal]

Jeśli zdjęcie jest na dysku, to podejrzewam, że z jakiejś kamery? Jeśli robiłeś zdjęcie aparatem lub telefonem i skopiowałeś na dysk, to właściwie data utworzenia również się zmieniła. Poza tym takie informacje jak data i godzina wykonania zdjęcia zapisywane są w EXIF.

http://pl.wikipedia.org/wiki/Exchangeable_Image_File_Format

[utf-8]

Faktycznie zapomniałem o EXIF, czyli jednak prokuratura nie jest taka głupia jakby się wydawało. Albo i jest bo oni każą nagrywać na CD każdy rodzaj plików hehehe
Niestety u mnie w EXIF nie ma daty, albo zdjęcia były zmniejszane, albo robione jakimś telefonem co tego nie dodaje. Ale sam pomysł z metadanymi był bardzo dobry.

Odnośnie dysku to skorzystałem z polecanego polecenia dd i fsck na partycji systemowej. Wyczyściło mi partycje z plików ale wypełnił się katalog lost+found i tam zapewne znalazłbym ewentualne stracone pliki. Problem w tym że znaleźć coś w takim burdelu to masakra. Może znacie sposoby jak odzyskać oryginalny układ plików.
Partycji z danymi które chcę odzyskać jeszcze nie ruszyłem bo jest wielka i nie miałem wolnego dysku do jej skopiowania. Może na niej sytuacja nie będzie tak zła.

[Paweł Kraszewski]

Teraz możesz sobie ewentualnie posortować po typach (sprytne użycie polecenia file), bo oryginalnej struktury już raczej nie odzyskasz.

Co do EXIF - każdy telefon, który miałem - dodawał EXIF-a. Więc prawdopodobnie zdjęcie było manipulowane (zmniejszane, kadrowane). Co generalnie jeszcze bardziej osłabia jego wartość dowodową - w mojej opinii każdy papug o IQ >= 50 odstrzeli taki dowód.

OT: Według mnie ciężko udowodnić, że zdjęcie powstało "nie później niż" w krótkich okresach czasu, rzędu dni (w długich OK - na przykład budynki się zmieniają, znikają, pojawiają. Śnieg pojawia się i znika, itd). "Nie wcześniej niż" ok, wystarczy sfotografować się z bieżącą gazetą.