Anforderungen

Zugegeben: Die mit dem ext3undel-Paket gelieferten Skripte sind nichts verglichen mit den Tools, die sie benutzen. Im Prinzip tun sie nichts weiter, als die Arbeit zu organisieren. Daher sind sie für den eigentlichen Job auf ihre "großen Helfer" angewiesen:

Sleuthkit

SleuthKit ist ein komplettes forensisches Framework. Die Benutzung der Kommandozeilen-Programme erfordert eine gewisse Kenntnisse dessen, was da hinter den Kulissen abgeht. Es gibt zwar auch ein grafisches Frontend, welches aus dem Web-Browser bedient wird - da es jedoch für "echte" Forensiker gedacht ist, kommt ein gewisser Overhead gleich mit daher (z.B. muss man zuerst einen "Fall" anlegen, ein Team zuweisen, usw.). ext3undel benutzt einfach die Kommandozeilen-Programme, und kann daher diese Schritte beiseite lassen.

foremost

Die ersten vier Buchstaben des namens foremost verweisen wiederum auf die Forensik. Dieses Programm ist dazu gedacht, alle Daten einer (gelöschten) Platte wiederherzustellen. Auch dieses Programm ist wiederum komplett über die Kommandozeile zu steuern, und erkennt eine Reihe von Dateitypen von Haus aus - während ihm zusätzliche erst mit den entsprechenden Pattern beigebracht werden müssen.

PhotoRec

Als Recovery-Tool für Digitalkameras gestartet, ist PhotoRec mittlerweile von Haus aus wesentlich mächtiger als foremost: Über 200 Dateitypen sind ihm bereits bekannt, und es werden ständig mehr. Und anders als foremost verfügt PhotoRec über eine interaktive Shell - lässt sich also im Notfall auch vom Laien "stand-alone" verwenden. Aus unserer Sicht ist es klar die erste Wahl, was die Wiederherstellung angeht. Um SleuthKit kommen wir dennoch nicht herum, da wir zuerst herausfinden müssen, wo wir suchen sollen…

Was wird nun wirklich gebraucht?

Zunächst benötigen wir auf jeden Fall SleuthKit, um die Position der gesuchten Datei auf der Partition herauszufinden. Dann jedoch kann zwischen foremost und PhotoRec gewählt werden - wobei wir klar letzteres empfehlen, da es wesentlich mehr Dateiformate beherrscht.