| die letzten Änderungen * Seitenstruktur * Stichwortsuche :


logo_puschin.jpg

Startseite

Knowledge base



Kontakt

Impressum

Knowledge base - Forensik

Knowledge base

9 Benutzer online Druckversion




zurück



Forensik
Einbinden von Raid-Volumes in ein System zwecks Untersuchung

Folgendes Problem: Auf einem System soll ein Festplatten-Image eingebunden werden. Leider stellt sich die Partitionstabelle des Images wie folgt dar:


root@joshua:/media/INTENSO/03# fdisk -l image250GB.img

Disk image250GB.img: 250.1 GB, 250059350016 bytes
255 heads, 63 sectors/track, 30401 cylinders, total 488397168 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk identifier: 0x000da8a2

         Device Boot      Start         End      Blocks   Id  System
image250GB.img1   *        2048      976895      487424   fd  Linux raid autodetect
image250GB.img2          976896   488396799   243709952   fd  Linux raid autodetect



D.h. es handelt sich um ein Image einer Festplatte aus einem Raid-Verbund.

Jetzt kann man wie folgt vorgehen:

Zunächst identifiziert man die Partition, deren Inhalt von Interesse ist. Da es sich bei der ersten Partition vermutlich um die Boot-Partition ohne besondere Daten handelt, wenden wir uns der zweiten Partition zu und erstellen zu dieser Partition ein Device:


losetup -o $((976896*512)) /dev/loop1 image250GB.img



Jetzt gibt es ein Device /dev/loop1 welches man weiterverwenden kann.

So kann man damit z.B. ein Raid-Verbund anlegen und diese Festplatten-Partition hinzufügen:


mdadm --assemble /dev/md1 /dev/loop1 --run



Das Anlegen kann man mit

mdadm --detail /dev/md1


kontrollieren:


/dev/md1:
        Version : 1.2
  Creation Time : Fri Dec 27 10:42:52 2013
     Raid Level : raid1
     Array Size : 311951168 (297.50 GiB 319.44 GB)
  Used Dev Size : 311951168 (297.50 GiB 319.44 GB)
   Raid Devices : 2
  Total Devices : 1
    Persistence : Superblock is persistent

    Update Time : Wed Feb  3 14:10:06 2016
          State : clean, degraded
Active Devices : 1
Working Devices : 1
Failed Devices : 0
  Spare Devices : 0

           Name : debian:1
           UUID : a6834e87:85da5018:86a76ef3:9e278690
         Events : 219

    Number   Major   Minor   RaidDevice State
       0       7        1        0      active sync   /dev/loop1
       1       0        0        1      removed



Was jetzt noch passieren kann ist folgendes beim Mounten der Partition:

# mkdir /mnt/loop1
root@joshua:/media/INTENSO/03# mount -o ro,noatime /dev/md1 /mnt/loop1
mount: unknown filesystem type 'LVM2_member'



Das deutet darauf hin, dass hier mit LVM gearbeitet wird, ggf. muss die VolumeGroup erst aktiviert werden:


# lvscan

  inactive          '/dev/vg/swap' [5,59 GiB] inherit
  inactive          '/dev/vg/root' [226,71 GiB] inherit

# lvchange -a y vg/swap



Danach kann man die entsprechende Partition mounten:

mount /dev/mapper/vg-root /mnt/loop1


zurück



Knowledge base wurde zuletzt bearbeitet am 12.07.13 durch Frank

www.puschin.de
login

<body bgcolor='#FFFFFF' link='#000000' vlink='#000000' alink='#000000' text='#000000'><font face='Verdana' size='2'><strong>www.puschin.de</strong><br>Die Webseite http://www.puschin.de bietet eine interessante Webseite zu vielen Themen aus dem Bereich Linux und Windows. Man findet hier Tipps und Tricks zu cms php apache postfix openxchange tomcat windows linux firewall <br><br><font face='Verdana' size='2'><li><a href='cms.php?print=&aktion=thema_anzeigen&menue_id=191'>Startseite</a><font face='Verdana' size='2'><li><a href='cms.php?print=&aktion=thema_anzeigen&menue_id=63'>Knowledge base</a><font face='Verdana' size='2'><li><a href='cms.php?print=&aktion=thema_anzeigen&menue_id=57'>Kontakt</a><font face='Verdana' size='2'><li><a href='cms.php?print=&aktion=thema_anzeigen&menue_id=9'>Impressum</a></body>