[gl-como] tar

~redShadow~ redshadow@hackzine.org
Gio 12 Giu 2008 00:48:50 CEST 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

pirla wrote:
> Il giorno mer, 11/06/2008 alle 22.27 +0200, ~redShadow~ ha scritto:
>> -----BEGIN PGP SIGNED MESSAGE-----
>> Hash: SHA1
> 
>> confermo dopo test su macchina virtuale, il filesystem è sputtanato ed è
>> trasformato in archivio tar.. ma i dati non sono stati cancellati dalla
>> partizione, semplicemente non c'è + il registro di dove si trova la roba
>> e una parte all'inizio del disco è stata sovrascritta.. ma i dati sono
>> ancora la sul disco -> c'è ancora la possibilità di recuperare roba
> 
> ehm ehm
> belle le prove con le macchine virtuali eh?
> Allora, red, da te non me lo sarei aspettato...... la prova che hai
> fatto non è significativa.
> 
> Dunque, analizziamo il comando
> 
> tar cf /dev/sda1
> purtroppo questo da solo ci dice poco, perché non sappiamo da dove sia
> stato lanciato il comando.
> 
> Allora facciamo ipotesi
> 
> Ipotesi 1.
> Il comando è stato lanciato da /
>         risultato, dato che è stato detto che i dati risiedono su altro
>         disco, vuol dire che l'output del tar prende tutto l'albero /
>         compresi tutti gli special file di /dev ma soprattutto tutti i
>         file system montati (per esempio la home).
>         Allora... se il totale da salvare supera la dimensione
>         di /dev/sda1 il risultato è che il tar sovrascrive tutta la
>         partizione, e quindi i dati non li hai più.
>         
> Ipotesi 2.
> Il comando è stato lanciato /home
>         risultato, come sopra...
>         dando per scontato che la /home o cmq le dir dei dati da
>         backuppare è maggiore del filesystem dove risiede la root.
>         Almeno per me è così, quasi sempre, anche se ormai il
>         partizionamento di default evita di fare tante partizioni
>         separate, ognuna per un compito ben preciso.
>         
> In ogni caso, comunque i dati non sono sufficienti a diagnosticare cosa
> è successo.
> E in ogni caso, anche se si recupera qualcosa, è già abbastanza chiaro
> che non ci sono margini di soluzione al problema per via della distanza
> tra il problema e la soluzione :-)
> 


beh dipende anche da come fa tar a leggere i file.. dato che dubito che
carichi tutto in ram di colpo, se va a leggere i file uno a uno dal
filesystem, a un certo punto dovrebbe dare errore quando tale filesystem
va in crasha.. se invece si precarica tutti gli indirizzi dei file su
disco, alla fine dovrebbe creare un archivio sufficientemente stretto da
non sovrascrivere file che sta leggendo (gli header del file tar devono
essere + stretti dello spazio occupato dal filesystem però..) in questo
caso dovrebbe essere ancora possibile recuperare almeno i dati che erano
contenuti nella cartella corrente...

poi rimangono i casi di symlink (anche hardlink forse?), fifo e cartella
corrente su un'altra partizione

vabbè comunque mediante analisi magnetica del disco comunque si potrebbe
ancora recuperare roba di sicuro probabilmente.. bisognerebbe fare un po
di calcoli e potrebbe fare comodo anche il dump della memoria usata da
tar durante la compressione.. in questo modo si potrebbe cercare di
ricostruire quel che c'era sul disco anche aiutandosi sapendo cosa è
stato scritto nell'archivio e da dove è stato preso

vabbè dai vado a dormire, comunque il disco sputtanato della macchina
virtuale è ancora li per fare esperimenti.. :D

- --
~redShadow~ - ilSAMU
- ----------------------------------------------------------------
* redshadow[at]hackzine[dot]org
* redshadowhack[at]gmail[dot]com
* http://hackzine.org
* http://wiki.hackzine.org
* samu[at]comolakerovers[dot]net
* http://comolakerovers.net
- ----------------------------------------------------------------
"[A-Za-z0-9\-_]*\\[at\\][A-Za-z0-9\-_]*\\[dot\\][a-zA-Z]*"
- ----------------------------------------------------------------
GPG Key signature:
050D 3E9F 6E0B 44CE C008 D1FC 166C 3C7E EB26 4933
- ----------------------------------------------------------------
Registered Linux-User: #440008
> GENTOO Linux 2008 (the best)
> Debian GNU/Linux 4.0etch && sid
..and sometimes MacOSX
- ----------------------------------------------------------------
"Software is like sex: it's better when it's free!"
			-- Linus Torvalds
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.9 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iEYEARECAAYFAkhQVlIACgkQFmw8fusmSTN6aACgwC9giKklJ+Vdo0H09Pamb+R2
gLcAmQGRweGj1niwvdcHRFkWN7sAzi6x
=DPm5
-----END PGP SIGNATURE-----

Maggiori informazioni sulla lista gl-como