Wiederherstellen von Text aus einer indizierten und nun beschädigten RTF-Datei mit Windows.edb

1057
Thor

Mein Laptop mit SSD-Laufwerk hatte einen plötzlichen Stromausfall, und beim erneuten Booten der Fenster schien eine RTF-Datei als Folge beschädigt worden zu sein (obwohl die Datei auf der Festplatte gespeichert wurde) gespeichert - also habe ich nicht damit gerechnet) - die RTF-Datei ist jetzt nur noch eine Seite mit Quadraten.

Es ist eine wichtige Datei, daher möchte ich versuchen, sie wiederherzustellen. Ich kann nach eindeutigem Text suchen, von dem ich wusste, dass er sich in der Datei im Startmenü befand, und er zeigt die Datei in den Suchergebnissen an und zitiert sogar Textfragmente aus der Datei. Ich möchte also versuchen, den Text zu extrahieren, den Windows Index eindeutig dort hat, und ihn auf diese Weise wiederherzustellen.

Ich habe den Windows-Suchdienst deaktiviert und dann den gesamten Ordner C: \ ProgramData \ Microsoft \ Search \ Data \ Applications \ Windows einschließlich meiner 9 GB-Windows.edb-Datei kopiert.

Wie kann ich den fraglichen Text am besten aus meiner 9-GB-EDB-Datei suchen und abrufen? Ein professioneller forensischer Spezialist erwähnt hier, dass er es tut, aber seine Methode nicht erwähnt.

Windows Grep vielleicht? Gibt es eine Syntax, auf die ich bei der Suche nach dem Text achten muss? Gibt es ein bestimmtes Werkzeug?

Auch wenn es eine andere Möglichkeit gibt, eine beschädigte RTF-Datei wie diese wiederherzustellen, bei der der Text aus Quadraten besteht, wäre dies eine große Hilfe.

Vielen Dank

0
Wie wichtig ist diese Datei? Die Datei oder Fragmente befinden sich möglicherweise an anderer Stelle auf Ihrer Festplatte. Leider kann es sich bei dem Ort um Speicherplatz handeln, den Ihr Betriebssystem als "freien Speicherplatz" ansieht, so dass die Wahrscheinlichkeit des Überschreibens sehr wahrscheinlich ist. Wenn es wichtig genug ist, erstellen Sie ein forensisches Bild. (Je früher, desto besser ... ein einzelner Schreibvorgang an der falschen Stelle auf der Festplatte kann eine Wiederherstellungsoption zerstören.) Windows FIND ist wahrscheinlich fast so nützlich wie Grep. (grep hat mehr Leistung / Flexibilität, aber eine einfache Suche wird wahrscheinlich auch für Sie gut sein.) Vielleicht [TestDisk] (http://cgsecurity.org/wiki/TestDisk) TOOGAM vor 7 Jahren 0

1 Antwort auf die Frage

0
Dan

Hier ist ein Artikel, der beschreibt, wie das geht . Der Autor des Papiers hat ein Google-Code-Projekt für ein Tool namens libesedb, das diese Datei für Sie parsen wird. Woanware hat auch ein kostenloses Tool (EseDbViewer) . Wenn Sie ein kommerzielles Tool wünschen, hat Passware ein Tool geschrieben, das dies auch tut. Es gibt auch zusätzliche kommerzielle Tools .

Sie können auch versuchen, die RTF-Datei in einen Hex-Editor zu laden und zu sehen, ob Sie auch einen für Menschen lesbaren Text sehen können.

Verwandte Probleme