res55
Anmeldungsdatum: 22. April 2009
Beiträge: 578
Wohnort: Schweiz
|
Mein Computer wurde von der Polizei beschlagnahmt. Ich habe ein Anrecht auf ein Backup. Jedoch wird ein IT-Forensiker das ganze betreiben oder überwachen, damit ich nichts am Computer löschen kann (Beweisvernichtung). Die Polizei darf noch nicht an die Daten, der Rechner ist in einer Plastiktüte und versiegelt. Sie bekommen nur Zugang nach einem richterlichen Beschluss in ca 1 Monat.
Also wird der PC in meiner Gegenwart entsiegelt und dann das Backup und danach wieder neu versiegelt. In dieser Zeit bewachen wir uns gegenseitig: D.h. die eingesetzte Methode muss folgende Bedingungen erfüllen: 1. Ich muss in einer minimalen Zeit eine bestehende Kubuntu-HDD auf eine externe HDD klonen. Ca 2 TB. 2. Am Besten von einer Life-CD aus, dann braucht es kein Einloggen oder eine unübersichtliche GUI-Bedienung. 3. Ein Opensource-System, auf das wir uns einigen können. Vielleicht sogar, dass die Polizei nach meinen Vorgaben die Life-CD selbst herstellt, damit sie sich sicher sein können, dass die App nicht hintenherum etwas anderes macht. Beim Suchen nach einer Lösung bin ich auf Clonezilla gestossen, was grundsätzlich dafür geeignet erscheint. Da eventuell mein Anwalt anwesend sein muss, der jede Stunde viel Geld kostet, möchte ich das natürlich so schnell wie möglich abwickeln. Hat jemand eine Idee, welche tools dafür geeignet sind? Gruss Res
|
DJKUhpisse
Supporter, Wikiteam
Anmeldungsdatum: 18. Oktober 2016
Beiträge: 17650
Wohnort: in deinem Browser, hier auf dem Bildschirm
|
Eine Option wäre, dd zu nutzen, das kopiert aber alles bitgenau, dauert daher auch lange. Willst du einfach nur an die Daten oder willst du die komplette Platte/Partition klonen? Wenn du nur an die Daten willst, die Partition aber verschlüsselt ist, so würde ich da mein PW nicht eingeben. Muss denn dein Anwalt dauerhaft dabei sein?
|
woko1754
Anmeldungsdatum: 12. November 2008
Beiträge: 801
Wohnort: Lübeck
|
Vielleicht rescuezilla: https://rescuezilla.com/
|
voxxell99
Anmeldungsdatum: 23. September 2009
Beiträge: 3903
Wohnort: da, wo andere Urlaub machen. :)
|
Das nutze ich auch, dauert aber schon für 19 GB von SSD ca 10 Minuten mit Kompression. Ohne soll die neue Version aber deutlich schneller sein.
|
STRAGIC-IT
Anmeldungsdatum: 3. Januar 2006
Beiträge: 3242
Wohnort: Fürth
|
Hallo res55,
wir nutzen aktuell immer noch die Live-CD mit REDO-BACKUP. Damit stellt man ein transportables Image her, das man dann jederzeit auf ein neues Laufwerk aufspielen kann. Funktioniert seit Jahren hervorragend und hat noch nie ein Problem fabriziert. Der Kunde bekommt das Image dann zusätzlich auf einer HDD o.ä. gespeichert mit. Bye
HS
|
res55
(Themenstarter)
Anmeldungsdatum: 22. April 2009
Beiträge: 578
Wohnort: Schweiz
|
DJKUhpisse schrieb: Eine Option wäre, dd zu nutzen, das kopiert aber alles bitgenau, dauert daher auch lange.
deswegen nicht gerade meine Wahl. Die Dauer ist der kritische Punkt. Ich hatte mit rsync mal ein älteres Backup angetestet und nach 12 Std. abgebrochen. Es braucht speed.
Willst du einfach nur an die Daten oder willst du die komplette Platte/Partition klonen?
Das Linux will ich eh neu aufsetzen. Also nur das Home-verzeichnis. Leider nicht auf einer eigenen Partition.
Wenn du nur an die Daten willst, die Partition aber verschlüsselt ist, so würde ich da mein PW nicht eingeben.
ich hatte mich bislang nicht mit verschlüsselten Partions befasst. Daher ist sie unverschlüsselt. Weil ich keinerlei Verbrechen begangen habe, habe ich nicht mit der Notwendigkeit gerechnet, etwas zu verschlüsseln. Jetzt bin ich politisch im Widerstand gegen den Great Reset (World Economic Forum) aktiv, die im Kontext der Corona-PLANdemie eine "Neue Globale Weltordnung" ohne nationale Demokratien realisieren wollen. Und das schlägt schon mal die Polizei zu und versucht einen zu kriminalisieren. In Diktaturen gibt es oft keine politischen Gefangenen, sondern nur Straftäter. Man muss nur die Gesetze entsprechend formulieren bzw. ausdehnen.
Muss denn dein Anwalt dauerhaft dabei sein?
Ja, weil ich nicht einen Tag lang ohne WC-Gang das überwachen kann und ich ausser einem Anwalt niemanden als Zeugen dabei haben kann. Also muss ich den Anwalt für die ganze Zeit bezahlen. Das Honorar kriege ich auch nach dem gewonnenen Prozess nicht wieder.
|
res55
(Themenstarter)
Anmeldungsdatum: 22. April 2009
Beiträge: 578
Wohnort: Schweiz
|
STRAGIC-IT schrieb: Hallo res55,
wir nutzen aktuell immer noch die Live-CD mit REDO-BACKUP. Damit stellt man ein transportables Image her, das man dann jederzeit auf ein neues Laufwerk aufspielen kann. Funktioniert seit Jahren hervorragend und hat noch nie ein Problem fabriziert. Der Kunde bekommt das Image dann zusätzlich auf einer HDD o.ä. gespeichert mit. Bye
HS
Danke für den Tipp. Kannst Du mir eine Grössenordnung für die nötige Zeit angeben, die das Tool braucht. Im schnellsten Modus: also ohne Kompression.
|
sebix
Moderator, Webteam
Anmeldungsdatum: 14. April 2009
Beiträge: 5334
|
res55 schrieb: Danke für den Tipp. Kannst Du mir eine Grössenordnung für die nötige Zeit angeben, die das Tool braucht. Im schnellsten Modus: also ohne Kompression.
Da gibt es zu viele Parameter um die Frage pauschal zu beantworten. Zb ist die Geschwindigkeit der beiden Festplatten, die Kabelverbindungen, eventuelle Write-Blocker dazwischen und der verwendete Rechner relevant.
|
voxxell99
Anmeldungsdatum: 23. September 2009
Beiträge: 3903
Wohnort: da, wo andere Urlaub machen. :)
|
Jetzt bin ich politisch im Widerstand gegen den Great Reset (World Economic Forum) aktiv, die im Kontext der Corona-PLANdemie eine "Neue Globale Weltordnung" ohne nationale Demokratien realisieren wollen. Und das schlägt schon mal die Polizei zu und versucht einen zu kriminalisieren. In Diktaturen gibt es oft keine politischen Gefangenen, sondern nur Straftäter. Man muss nur die Gesetze entsprechend formulieren bzw. ausdehnen.
Sicher, dass das die Polizei bei dir ist und nicht der Nervenarzt? 😀
|
frostschutz
Anmeldungsdatum: 18. November 2010
Beiträge: 7657
|
Wenn die Festplatte eher leer ist, dann ist rsync (oder sonst ein Dateibasiertes Tool) am schnellsten. Wenn die Festplatte eher voll ist, dann ist dd schneller als rsync (lineares Auslesen statt viele langsame Seeks (mind. 1 Seek pro Datei, bei fragmentierten Dateien mehr)). Für einen Forensiker kommt was anderes als dd gar nicht in Frage, da der sich auch für gelöschte Dateien interessiert. Da Festplatten jederzeit kaputt gehen können, ist ddrescue besser als dd. ddrescue kann mit Lesefehlern umgehen und gibt dir ausserdem das Protokoll (mapfile) was kopiert wurde und was nicht. ddrescue kann sehr lange dauern wenn es sich an Lesefehlern lange aufhält, umgehen kann man das mit der --min-read-rate Option, die setzt du auf 10M oder so und gut. Festplatten sind langsam, 2TB kopieren dauert auch unter idealen Bedingungen paar Stunden (z.B. 255 Minuten bei einer WD20EARS, grober Richtwert von smartctl -a, extended selftest polling time, bei jeder Platte anders). Unter suboptimalen Bedingungen ( per USB2 angeschlossen, etc ... ) entsprechend länger. Sorge auf jeden Fall dafür daß auch die Zielplatte schnell ist. Wenn du da mit einer SMR Platte ankommst, kannst du zwei-drei Tage lang warten... (Seagate Backup Plus, mein größter Fehlkauf was Festplatten angeht, bricht auf Schreibgeschwindigkeit unter USB2-Niveau ein) Es gibt keine Möglichkeit diese Zeit zu verkürzen, es sei denn du weißt ganz genau, daß du dich ohne hin nur für das Unterverzeichnis X interessierst und du kopierst dann nur das und läßt den Rest links liegen (Auswahlkopie statt Vollkopie).
|
STRAGIC-IT
Anmeldungsdatum: 3. Januar 2006
Beiträge: 3242
Wohnort: Fürth
|
Hallo res55,
das "Problem" ist da eher die Hardware. Auf eine ext. USB-HDD dauert es länger als auf eine ext. USB-SSD. Dann noch die Begrenzungen USB2 oder USB3. Das dauert schon länger… Laut Gesetz solltest Du aber die Zeit haben, Dein EIGENTUM entsprechend zu sichern. Wir hatten so einen Vorfall bei einem Kunden auch schon mal im Service. Der Kripo-Mann hat dann halt die ca. 3½ Std. mit Kaffee trinken und zusehen verbracht. Bye
HS
|
Thomas_Do
Moderator
Anmeldungsdatum: 24. November 2009
Beiträge: 8525
|
2 TB zu kopieren dauert immer einige Zeit. Selbst bei zwei internen NVME brauchst Du ~15 min. Auf eine externe Platte wird das viel länger dauern und dann damit richtig teuer. Ich würde mir überlegen, ob ich die Daten wirklich (vollständig) brauche, bzw. anderweitig wiederherstellen kann. Gibt es ein Backup der Nutzerdaten? Wenn es eins gibt, das beschlagnahmt wurde, würde ich das kopieren, weil sich der Kopiervorgang auf die wichtigen Daten beschränken würde. Gibt es ein nicht-beschlagnahmtes Backup, nimm das. Gibt es kein Backup, waren die Daten wohl auch nicht so wichtig.
|
sebix
Moderator, Webteam
Anmeldungsdatum: 14. April 2009
Beiträge: 5334
|
frostschutz schrieb: Für einen Forensiker kommt was anderes als dd gar nicht in Frage, da der sich auch für gelöschte Dateien interessiert.
Kleine Korrektur: In dem Fall kommt dd bzw ddrescue nur in Kombination mit einem zertifizierten Write-Blocker (ein extra Geraet!) in Frage, sonst ist das nicht gerichtsfest. Und diese Write-Blocker sind (wegen der Zertifizierung) nicht guenstig. Die werden zwischen der zu backuppenden Festplatte und dem Analyse-Geraet gesteckt. Das wird hier aber anscheinend nicht gefordert.
Da Festplatten jederzeit kaputt gehen können, ist ddrescue besser als dd. ddrescue kann mit Lesefehlern umgehen und gibt dir ausserdem das Protokoll (mapfile) was kopiert wurde und was nicht.
Wenn man aber keine Lesefehler erwartet, wuerde ich wegen der Geschwindigkeit zu dd raten, sofern das in Frage (siehe die anderen Kommentare mit der Abwaegung Groesse der Festplatte vs. Menge an Daten darauf)
Sorge auf jeden Fall dafür daß auch die Zielplatte schnell ist. Wenn du da mit einer SMR Platte ankommst, kannst du zwei-drei Tage lang warten... (Seagate Backup Plus, mein größter Fehlkauf was Festplatten angeht, bricht auf Schreibgeschwindigkeit unter USB2-Niveau ein)
Zur Erklaerung: Mit SMR ist Shingled Magnetic Recording gemeint, im Gegensatz zum klassischen Conventional Magnetic Recording (CMR)
|
res55
(Themenstarter)
Anmeldungsdatum: 22. April 2009
Beiträge: 578
Wohnort: Schweiz
|
voxxell99 schrieb: Jetzt bin ich politisch im Widerstand gegen den Great Reset (World Economic Forum) aktiv, die im Kontext der Corona-PLANdemie eine "Neue Globale Weltordnung" ohne nationale Demokratien realisieren wollen. Und das schlägt schon mal die Polizei zu und versucht einen zu kriminalisieren. In Diktaturen gibt es oft keine politischen Gefangenen, sondern nur Straftäter. Man muss nur die Gesetze entsprechend formulieren bzw. ausdehnen.
Sicher, dass das die Polizei bei dir ist und nicht der Nervenarzt? 😀
wie lange willst Du noch wegschauen? Bis es zu spät ist?
|
frostschutz
Anmeldungsdatum: 18. November 2010
Beiträge: 7657
|
sebix schrieb: Kleine Korrektur: In dem Fall kommt dd bzw ddrescue nur in Kombination mit einem zertifizierten Write-Blocker (ein extra Geraet!) in Frage, sonst ist das nicht gerichtsfest.
Ja, wenn ich das so schreibe dann meine ich das rein vom Prinzip her (Rohdaten vs. Dateibasiert). Mit der ganzen Problematik drum herum (Versiegelung, Gerichtsfestigkeit, Anwalt, Bürokratie, etc.) kann ja ohnehin niemand helfen.
Wenn man aber keine Lesefehler erwartet, wuerde ich wegen der Geschwindigkeit zu dd raten, sofern das in Frage (siehe die anderen Kommentare mit der Abwaegung Groesse der Festplatte vs. Menge an Daten darauf)
ddrescue wird nur dann langsam, wenn tatsächlich Lesefehler auftreten. Und das kann man wie gesagt, auch beeinflussen wie lange sich ddrescue an diesen aufhält. Bei Lesefehlern bleibt dd sonst auch hängen und dd hat da noch ganz andere Probleme (z.B. die Default-Blocksize von 512 Bytes, und mögliche Korruption bei conv=noerror,sync, ...). ddrescue ist eben das Programm das auch auf unerwartete Fälle ein wenig vorbereitet ist und eine Resume-Funktion hat. Wenn du sonst da stehst (Lesefehler, Absturz, Stromausfall, USB-Wackler bei 90%) und wieder von vorne anfangen kannst ist es nicht so lustig. Klar kann man auch ein abgebrochenes dd resumen, aber da müssen dann auch erstmal alle Beteiligten mitmachen... In einem 2. Terminal ein dmesg -w oder journal --follow laufen lassen um Platten-/Kabel-/etc.-Probleme direkt zu bemerken von daher auch nicht so verkehrt. Bei Festplatten kommt auch noch hinzu daß diese zum Ende hin langsamer werden. Wenn also das Programm anzeigt, daß der Kopiervorgang noch 2 Stunden dauern wird... dann dauert es eher noch drei Stunden als zwei.
|