Autor Wątek: Odzyskanie danych po przywróceniu ustawień domyślnyh (Samsung S3)  (Przeczytany 841 razy)

0 użytkowników i 1 Gość przegląda ten wątek.

rilicek

  • Geeko's friend
  • SUSE Root
  • *
  • Wiadomości: 2048
  • Kto nie ryzykuje, ten w kozie nie siedzi.
Bawię się w odzyskanie danych po przywróceniu ustawień domyślnych w Samsungu S3. Głownie zależy mi na zdjęciach.
Korzystając z dwóch poradników (https://dflund.se/~jokke/androidfilerecovery/ i https://forum.xda-developers.com/galaxy-nexus/general/guide-internal-memory-data-recovery-yes-t1994705) zgrałem obraz pamięci wewnętrznej tym sposobem:
./adb forward tcp:5555 tcp:5555
./adb shell
su
nc -l -p 5555 -e dd if=/dev/block/mmcblk0
i w drugiej sesji
./adb forward tcp:5555 tcp:5555
nc 127.0.0.1 5555 | pv -i 0.5 > mmcblk0.raw
W obrazie są do odzyskania partycje i pliki. Jak na złość nie ma do odzyskania katalogu DCIM.
drwxrwx--x  1000  1000      4096  1-Jan-2012 01:04 ..
 drwxrwx---     0     0      4096                   lost+found
 drwxrwx---  1023  1023      4096 12-Jun-2017 21:25 media
 drwxrwxr-x  1000  1007      4096  1-Jan-2012 01:10 log
 drwxrwxr-x  1000  1000      4096  1-Jan-2012 01:59 system
 drwxr-x---     0  1007      4096 12-Jun-2017 21:24 dontpanic
 drwxrwx--t  1000  9998      4096 12-Jun-2017 21:41 misc
 drwxr-x--x     0     0      4096  1-Jan-2012 01:09 local
 drwxrwx--x  1000  1000     12288 13-Jun-2017 21:12 data
 drwxrwx--x  1000  1000      4096 12-Jun-2017 21:24 app-private
 drwx------     0     0      4096 12-Jun-2017 21:24 app-asec
 drwxrwx--x  1000  1000      4096 13-Jun-2017 21:12 app-lib
 drwxrwx--x  1000  1000      4096 13-Jun-2017 21:12 app
 drwx------     0     0      4096  1-Jan-2012 01:09 property
 drwxr-x---     0  2000      4096 12-Jun-2017 21:24 ssh
 drwxrwxr-x  1000  1000      4096 12-Jun-2017 21:24 anr
 drwxrwx--x  1000  1000      8192 13-Jun-2017 21:12 dalvik-cache
 drwxrwx--x  1000  1000      4096 12-Jun-2017 21:24 resource-cache
 drwxrwx---  1019  1019      4096 12-Jun-2017 21:25 drm
 drwx--x--x  1000  1000      4096 12-Jun-2017 21:24 security
 drwx------  1000  1000      4096 13-Jun-2017 22:13 backup
 -rw-rw-r--  1000     0         1  1-Jan-2012 01:00 .psm.info
 drwxrwxr-x  1000  1000      4096 12-Jun-2017 21:24 cfw
 drwx--x--x  1000  1000      4096 12-Jun-2017 21:24 user
 srwx------  1000  1000         0  1-Jan-2012 01:00 .socket_stream
 -rw-------     0     0         2 12-Jun-2017 21:24 .layout_version
 srwx------  1000  1000         0  1-Jan-2012 01:00 .pcsync_stream
 srwx------  1000  1000         0  1-Jan-2012 01:00 .mtp_stream
 srwx------  1000  1000         0  1-Jan-2012 01:00 .npswifi_stream
 prw-rw----  1021  1000         0  1-Jan-2012 01:00 .gps.interface.pipe.to_gpsd
 srwxrwxrwx  1013  1000         0  1-Jan-2012 01:00 TMAudioSocketClient
 srwxrwxrwx  1013  1000         0  1-Jan-2012 01:00 TMAudioSocketServer
 -rw-rw-r--  1000     0         6 12-Jun-2017 21:24 .cid.info
 -rw-rw----  1000     0         6 12-Jun-2017 21:24 .rev
 drwxrwxr-x  1000  1000      4096 12-Jun-2017 21:25 clipboard
 drwxrwx---  1000  1000      4096 12-Jun-2017 21:25 monitor
 prw-rw----  1000  1000         0  1-Jan-2012 01:00 .gps.interface.pipe.to_jni
 drwxrwxr-x 10122  1000      4096 12-Jun-2017 21:26 sc
 -rw-------  1000  1000      6400  1-Jan-2012 01:09 smart_stay_hash.dmc
 -rwx------  1000  1000         8  1-Jan-2012 01:03 hidden_volume.txt
 drwx------  1021  1000      4096 13-Jun-2017 20:15 gps
 drwx------  1000  1000      4096  1-Jan-2012 01:10 tombstones
Przy odzyskiwaniu plików przy pomocy photorec udało mi się odzyskać około 170 plików jpg, niestety miniaturek a nie zdjęć.
Używałem też TestDisk 7.0, lecz nie ma w nim opcji [Undelete].

Macie jakiś pomysł jak odzyskać katalog DCIM i zdjęcia w nim zawarte? Czy użycie narzędzi Windowsowych da lepsze efekty?

PS.
Zgrywanie obrazu pamięci przy pomocy polecenia
./adb shell su -c "cat /dev/block/mmcblk0" | pv > mmcblk0.raw przynosi gorsze efekty - w obrazie nie ma partycji do odzyskania.


openSUSE Leap 42.2

Fisiu

  • Geeko's friend
  • Maniak SUSE
  • *
  • Wiadomości: 4591
      • la manzana
Odp: Odzyskanie danych po przywróceniu ustawień domyślnyh (Samsung S3)
« Odpowiedź #1 dnia: Czerwiec 16, 2017, 07:35:17 pm »
A może by tak z partycją mmcblk0p12 gadać? Bo to chyba na niej były dane użytkownika.

rilicek

  • Geeko's friend
  • SUSE Root
  • *
  • Wiadomości: 2048
  • Kto nie ryzykuje, ten w kozie nie siedzi.
Odp: Odzyskanie danych po przywróceniu ustawień domyślnyh (Samsung S3)
« Odpowiedź #2 dnia: Czerwiec 18, 2017, 05:11:09 am »
Ściągnąłem obraz samej partycji.

Ani w obrazie partycji, ani w obrazie całej pamięci nie odnajduję charakterystycznego początku plików jpg:
FF D8 FF E1 3E C4 45 78 69 66
Znalazłem kilkanaście ciągów Exif II*
45 78 69 66 00 00 49 49 2A 00 08ale nie należały one do plików zrobionych urządzeniem Samsung.

Czy wpływ na znalezienie plików może mieć montowanie katalogu ze zdjęciami w systemie plików sdcardfs?
/data/media /mnt/shell/emulated sdcardfs rw,nosuid,nodev,relatime,uid=1023,gid=1023 0 0

mount
rootfs / rootfs ro,relatime 0 0
tmpfs /dev tmpfs rw,nosuid,relatime,mode=755 0 0
devpts /dev/pts devpts rw,relatime,mode=600 0 0
proc /proc proc rw,relatime 0 0
sysfs /sys sysfs rw,relatime 0 0
none /acct cgroup rw,relatime,cpuacct 0 0
tmpfs /mnt/secure tmpfs rw,relatime,mode=700 0 0
tmpfs /mnt/asec tmpfs rw,relatime,mode=755,gid=1000 0 0
tmpfs /mnt/obb tmpfs rw,relatime,mode=755,gid=1000 0 0
none /dev/cpuctl cgroup rw,relatime,cpu 0 0
/dev/block/mmcblk0p9 /system ext4 ro,noatime,barrier=1,data=ordered 0 0
/dev/block/mmcblk0p3 /efs ext4 rw,nosuid,nodev,noatime,barrier=1,journal_async_commit,data=ordered,noauto_da_alloc,discard 0 0
/dev/block/mmcblk0p8 /cache ext4 rw,nosuid,nodev,noatime,errors=panic,barrier=1,journal_async_commit,data=ordered,noauto_da_alloc,discard 0 0
/dev/block/mmcblk0p12 /data ext4 rw,nosuid,nodev,noatime,barrier=1,journal_async_commit,data=ordered,noauto_da_alloc,discard 0 0
/sys/kernel/debug /sys/kernel/debug debugfs rw,relatime 0 0
/data/media /mnt/shell/emulated sdcardfs rw,nosuid,nodev,relatime,uid=1023,gid=1023 0 0
openSUSE Leap 42.2