När papperskorgen tömts

Det finns ett växande intresse för ”dataarkeologi”, som handlar om att återvinna information från föråldrade datamedia eller format. Några amerikanska utbildningsinstitutioner har sammanställt en programsvit för ändamålet baserad på fri programvara, BitCurator, och det anordnades nyligen en workshop kring denna på Kungliga biblioteket (Göteborgs universitetsbibliotek 2014). BitCurator innehåller grafiska program som kan skapa diskavbildningar i olika format (Guymager) och sedan analysera dessa och skapa olika rapporter med statistik över bl.a. olika typer av personlig information (t.ex. telefonnummer och e-postadresser) och filtyper som finns lagrade på disken. Det skall också gå att få åtkomst till och kopiera filer, inklusive borttagna filer, i diskavbildningen via det grafiska gränssnittet, något som jag dock inte fick att fungera, trots att jag kunde montera avbilderna och öppna dem i filsystemet.

Via svitens hemsida (BitCurator Team 2014) går det att ladda ned en virtuell maskin för VirtualBox eller en ISO-fil som kan användas för att skapa t.ex. en installations-dvd. Dessa nedladdningar innehåller alltså en Linuxdistribution (Ubuntu 14.04) med de BitCurator-specifika programmen förinstallerade. Många av de program som ingår i sviten finns i dagsläget inte tillgängliga i Windowsversioner (även om det i alla fall vore juridiskt möjligt för vem som helst att kompilera om dem; vilka tekniska hinder som finns vet jag inte), och genom den aktuella distributionsmetoden slipper arkiv- och biblioteksinstitutioner göra sig besväret att installera Linux från grunden på arbetsstationerna.

Jag kan dock fråga mig varför de valt att utgå från Ubuntu med det förhållandevis tunga GNOME/Unitygränssnittet för dessa program som i sig är resurskrävande (de rekommenderar att man konfigurerar den virtuella maskinen för minst två processorkärnor och 4 GB RAM) – en mer resurssnål skrivbordsmiljö (som Xfce eller LXDE, se (Wimpress 2014) för jämförelse) hade kanske varit ett bättre val. Visserligen innehåller sviten skript gjorda för filhanteraren Nautilus i GNOME, men dessa är knappast oundgängliga för svitens funktioner och Nautilus går dessutom att integrera även i andra skrivbordsmiljöer.

För den som redan har GNU/Linux installerat finns många av de funktioner BitCurator erbjuder tillgängliga via systemets kärnverktyg (och detsamma gäller sannolikt om man använder t.ex. en modern Mac med OS X, någon BSD-variant eller, åtminstone när det gäller viss funktionalitet, Cygwin under Windows), även om man då ofta får klara sig utan grafiskt gränssnitt. Kommandot dd kan användas för att skapa ”råa” diskavbildningar. Följande (# markerar att kommandot skall köras som administratör, t.ex. med sudo före) skapar en avbild av enheten /dev/sdc (SCSI- eller ATA-hårddiskar i Linuxsystem får enhetssökvägar enligt mönstret /dev/sda, /dev/sdb, …) i filen bkupimg.dd i den aktuella katalogen:

# dd if=/dev/sdc of=./bkupimg.dd

För att komma åt filer i avbilden via filsystemet går det sedan att montera den som en s.k. loop-enhet. Förbered den med losetup:

# losetup --partscan --find --show bkupimg.dd

Avbildningen kommer då att kopplas till loopenheten loop0 om denna inte är upptagen sedan tidigare. För att sedan t.ex. montera den första partitionen i avbildningen under katalogen /mnt:

# mount /dev/loop0p1 /mnt

Ge följande kommando för att avmontera partitionen och ta bort loopenheten efter avslutat arbete:

# umount /mnt
# losetup -d /dev/loop0

Om det finns borttagna filer i avbildningen kan man använda ett verktyg som Testdisk (CGSecurity 2014), som dock inte ingår i kärnprogrammen i GNU/Linux, för att försöka återställa dessa. Fungerar inte detta går det att söka igenom en rå diskavbildning manuellt efter filfragment. Om man har en stor diskavbildning kan den då göras mer lätthanterlig genom att man hackar upp den. Följande kommando delar upp filen bkupimg.dd i 800 MB stora filer som får namn enligt mönstret bkupimgsplaa, bkupimgslab, …:

split -b 800M bkupimg.dd bkupimgspl

Om man hittar filfragment i en avbildning kan man sedan också använda dd för att ”skära ut” dessa. Om du vill kopiera ett framgent på 9760 byte, som börjar 283 254 688 byte in i filen bkupimgsplad, till filen utflykt:

dd bs=1 skip=283254688 count=9760 if=bkupimgsplad of=utflykt

Med detta tillvägagångssätt kan det gå att återvinna text från filer som raderats ur filsystemet för länge sedan – jag trodde mig ha ett bra sådant exemepel med en gammal hårddisk själv; det visade sig dock att de aktuella filerna inte var raderade ur filsystemet utan flyttats till en annan katalog. Vill man verkligen göra sig av med informationen i sina filer räcker det alltså inte att radera dem på vanligt sätt (eller formatera om disken), utan man får t.ex. använda ett kommando som shred för att skriva över dem (och även här finns komplikationer med moderna s.k. journalförande filsystem (Free Software Foundation 2013)). Jag håller det för troligt att en ganska stor andel av alla datoranvändare inte känner till detta utan tror att informationen är borta när de tömt papperskorgen.

Referenser

BitCurator Team. 2014. ”Software”. http://wiki.bitcurator.net/index.php?title=Software.

CGSecurity. 2014. ”TestDisk”. http://www.cgsecurity.org/wiki/testdisk.

Free Software Foundation. 2013. ”shred invocation”. https://www.gnu.org/software/coreutils/manual/html_node/shred-invocation.html.

Göteborgs universitetsbibliotek. 2014. ”BitCurator workshop”. http://www.ub.gu.se/samlingar/digital/workshop/.

Wimpress, Martin. 2014. ”Memory consumption of Linux desktop environments”. http://flexion.org/posts/2014-03-memory-consumption-of-linux-desktop-environments.html.

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *