Dateiendungen bzw. Signaturen von OpenOffice?

PhotoRec benutzen um verlorene Dateien wiederherzustellen
Post Reply
Message
Author
Andriool
Posts: 3
Joined: 24 Mar 2013, 18:47

Dateiendungen bzw. Signaturen von OpenOffice?

#1 Post by Andriool » 25 Mar 2013, 15:15

Liebe Foristen.
Ich habe ein Problem und vielleicht habt Ihr einen Tipp für mich, bevor ich mich an unseren genialen Programmierer, Christophe Grenier, wende.

Ich möchte speziell alle gelöschten OpenOfficeCalc Dateien mit den Endungen *.sdc bzw. *.ods wiederherstellen.
Diese Datei-Endungen werden der URL zufolge unterstützt.
http://www.cgsecurity.org/wiki/File_For ... y_PhotoRec
Doch wenn ich unter 'Win XP' im Admin-Modus 'photorec_win.exe' anklicke und nach Auswahl des 'Mediums' die zweite HPPS-NTFS Partition anwähle und schließlich zu 'File Opt' wechsle, dann sind diese Dateiendungen nicht enthalten. Unter den unpassenden Dateiendungen steht mir nur die Wahl offen, den ersten Eintrag zu wählen: 'Custom Own custom signatures'

Der andere Ansatz, in der 'cmd-Konsole' '^' über Parameter 'photorec_win' zu steuern, eröffnet mir die Optionen:
[/log] [/debug] [/d recup_dir] [version] und [file.dd:file.e01:device]

Zu letzterer Option ist anzumerken:
*.e01 gehört zu 'Encase'
*.dd wird in der Liste unterstützter Dateiendungen nicht aufgeführt.
Daraus schließe ich:
Wenn e01 zu Encase-Dateien gehört, müsste *.dd imho als *.dd* zu verstehen sein.
file könnte imho mit * gleichzusetzen sein.

Mit Notepad.exe habe ich die Dateien file.e01, file.dd und file.ddf erstellt und gelöscht. Doch dann scheiterten eigene Testläufe mit diesen Vorgaben :
photorec_win [file.dd:file.e01:D] oder
photorec_win [file.dd:file.e01:D:]
photorec_win [file.dd:file.e01:D:\]
photorec_win file.dd:file.e01:D
photorec_win file.dd:file.e01:D:
photorec_win file.dd:file.e01:D:\
photorec_win /file.dd:file.e01:D
photorec_win /file.dd:file.e01:D:
photorec_win /file.dd:file.e01:D:\

Ich tippe mal darauf, dass ich bei der Syntax der Aufrufe Fehler mache und ging einem anderen Gedankengang nach, bevor ich hier wegen der Befehls-Syntax frage.

Ich dachte, wenn die Signatur von *.sdc erhältlich ist, könnte ich in 'photorec_win' über 'Custom Own custom signatures' das Gewünschte erreichen.

Doch der Wert der gefundenen Signatur
http://www.nationalarchives.gov.uk/PRON ... signatures
weicht von der als Beispiel vorgegebenen Signatur ab:
http://www.cgsecurity.org/wiki/Add_your ... o_PhotoRec

Nun stehe ich vor den Fragen,
was ich bisher falsch gemacht haben könnte (Umgebungsvariablen, Syntax) und
wie ich mit diesem Programm Dateien mit sdx bzw. odc wiederherstellen kann.

Hat jemand von Euch einen Tipp für mich?
Andriool

PS: Ich habe im Zusammenhang mit 'photorec_win' und OpenOffice-Dateien etliche Suchen auch im englischsprachigen durchgeführt, viele Anleitungen (im Zusammenhang mit Photo-Dateien) gelesen und postete meine Frage in keinem anderen Forum.

Sponsored links

User avatar
Fiona
Posts: 2836
Joined: 18 Feb 2012, 17:19
Location: Ludwigsburg/Stuttgart - Germany

Re: Dateiendungen bzw. Signaturen von OpenOffice?

#2 Post by Fiona » 25 Mar 2013, 20:15

Öfters sind Dateitypen in Familen zusammengefasst.
Open Office könnte auch Zip.Dateiformat sein.
Gehe in PhotoRec in File Opt und drücke s am alle Dateitypen abzuwählen.
Scroll dann ganz nach unten zu Zip und aktiviere es.
Scanne erneut.
Teile es mit.

Viele Grüße

Fiona

Andriool
Posts: 3
Joined: 24 Mar 2013, 18:47

Re: Dateiendungen bzw. Signaturen von OpenOffice?

#3 Post by Andriool » 25 Mar 2013, 22:23

Hallo Fiona.
Danke für Deine rasche Antwort.
Ich habe es genauso so gemacht wie Du es beschrieben hast. Die einzige Abweichung wäre die Option 'Freespace'.
Und damit 'PhotoRec' etwas zu finden hat, wurden zuvor die Dateien test.sxc und test.ods mit OpenCalc auf D: abgespeichert und dann gelöscht.

Doch wurden diese beiden mit OpenCalc generierten und gelöschten Dateien nicht gefunden.
Gefunden und 'geborgen' wurde stattdessen eine 'echte' und intakte zip-Datei.
Um Fragen zuvorzukommen, habe ich den 'Report' an das Ende dieses Posts kopiert.

Es bestehen nach wie vor zwei Fragen:

1.) Wo ist denn der Syntaxfehler in der Befehlssequenz in der cmd-Konsole, wenn die Dateien file.dd, file.ddf und file.e01 erstellt und dann gelöscht wurden?
'photorec_win [file.dd:file.e01:D]' oder 'photorec_win file.dd:file.e01:D\' ?
In beiden Fällen werden ehemals vorhandene, aber nun gelöschte Dateien nicht angezeigt. 8-)

2.) Hat jemand einen Hinweis zum Wert der oben verlinkten Signatur-Datei für Office-Files, deren Bedeutung ich vergebens mit einem Hex-Editor zu entschlüsseln versuchte?
http://www.nationalarchives.gov.uk/PRON ... signatures
Ich bin bereit, Hinweisen zu folgen.
(kenne den Text unter http://www.cgsecurity.org/wiki/Add_your ... o_PhotoRec oder unter
http://forum.cgsecurity.org/phpBB3/phot ... t2056.html )

Vielen Dank im Voraus
(werde in der Zwischenzeit weiterprobieren und recherchieren)
Andriool


<?xml version='1.0' encoding='UTF-8'?>
<dfxml xmloutputversion='1.0'>
<metadata
xmlns='http://www.forensicswiki.org/wiki/Categ ... ensics_XML'
xmlns:xsi='http://www.w3.org/2001/XMLSchema-instance'
xmlns:dc='http://purl.org/dc/elements/1.1/'>
<dc:type>Carve Report</dc:type>
</metadata>
<creator>
<package>PhotoRec</package>
<version>6.14-WIP</version>
<build_environment>
<compiler>GCC 4.7, Cygwin 1007.17</compiler>
<compilation_date>2013-03-23T18:59:35</compilation_date>
<library name='libext2fs' version='1.42.2'/>
<library name='libewf' version='20120504'/>
<library name='libjpeg' version='80'/>
<library name='libntfs' version='10:0:0'/>
</build_environment>
<execution_environment>
<os_sysname>Windows</os_sysname>
<os_release>Windows XP SP3</os_release>
<os_version>Windows XP SP3</os_version>
<host>Sonne</host>
<arch>i686</arch>
<uid>400</uid>
<start_time>2013-03-25T21:26:40+0900</start_time>
</execution_environment>
</creator>
<source>
<image_filename>/dev/sda</image_filename>
<sectorsize>512</sectorsize>
<device_model>FUJITSU MHVAT</device_model>
<image_size>100030242816</image_size>
<volume>
<byte_runs>
<byte_run offset='0' img_offset='47180238336' len='50717044224'/>
</byte_runs>
<block_size>4096</block_size>
</volume>
</source>
<configuration>
</configuration>
<fileobject>
<filename>f7596456.zip</filename>
<filesize>2030507</filesize>
<byte_runs>
<byte_run offset='0' img_offset='51069623808' len='2030507'/>
</byte_runs>
</fileobject>

Post Reply

Who is online

Users browsing this forum: No registered users and 0 guests