Temat: Odzyskiwanie wiadomości
Powalczyłem jeszcze trochę z ,,odzyskiwaniem'' danych z Nietoperka, i oto wnioski:
W wersji szyfrowanej nieuszkodzony katalog z pocztą zawiera następujące pliki:
(1) messages.ebb - dane skrzynki/folderu z pocztą
(2) messages.ebn - indeksy
Po zrobieniu porządków w folderach ten sam katalog z pocztą zawiera te pliki:
(a) message.bck
(b) message.ibk
(c) message.ebb
(d) message.ebn
(e) part####.bin
Generalnie, plikami indeksów nie będę się zajmował - można je zawsze wykasować a po ponownym uruchomieniu Nietoperz utworzy je od nowa.
Plik (a) to kopia pliku (1), tak samo (b) to kopia pliku (2). Plik (c) to teoretycznie naprawiona wesja (1)/(a), plik (d) to teoretycznie naprawiona wersja (2)/(b). Plik (e) to nie-wiem-co-to-do-końca-jest gdyż ręcznie ,,uszkadzałem'' małe bazy i czasami znajdował się tam uczkodzony e-mail (czyli ten, na obszarze którego wykonałem uszkodzenie).
Teoretycznie, plik (c) powinien po naprawie zawierać odtworoną zawartość folderu z pocztą, za to w rzeczywistości jest odszyfrowaną i niekompletną zawartością folderu pozty, prawdopodobnie Nietoperek rozszyfrowuje folder, próbuje go naprawić, a że mu się to nie udaje, to zostawia go bez zmian. U mnie, w tym pliku na początku zawsze wysępowały dane binarne, potem część jednego e-maila i na przemian dane binarne, treść e-maila.
Eksperymentując, doszedłem do następującej procedury ratowania e-maili:
* Na samym początku należy zidentyfikować właściwe nazwy katalogów, w których są foldery z pocztą. Należy w Nietoperku nacisnąć Alt+Enter i pojawi się okienko właściwości folderu, na jego belce tytułowej, w nawiasach będzie wyświetlona nazwa katalogu. I proszę uważać, u mnie każdy folder Odebrane ma tą samą zaszyfrowaną nazwę katalogu.
* Teraz zamykamy Nietoperka.
* I szukamy i kopiujemy wszystkie katalogi w bezpieczne miejsce.
* Teraz kasujemy zawartość felernych katalogów (tych w katalogu poczty).
* I kopiujemy z zrobionej przed chwilą kopii plik .bck zmieniając mu rozszerzenie na .ebb
* Uruchamiamy Nietoperka. Jeżeli w uszkodzonym folderze pojawią się wiadomości jesteśmy już bardziej happy. Jeżeli nie to możemy spróbować uruchmić Nietoperka jeszcze z raz, lub dwa, czasami pomaga.
* Jak wiadomości się pojawiły, to w tworzymy gdziesik w Windowsie katalog i przeciągamy do niego odzyskane wiadomości. Radzę nie przeciągać wiadomości do jakiegoś tymczasowego foderu w Nietoperku - uszkodzona wiadomość spowoduje, że zdrowy folder zamieni się w uszkodzony.
* Zamykamy Nietoperka.
* Czyścimy folder kasując z niego wszystkie pliki.
* Jeżeli odzyskane zostało tyle wiadomości ile chcieliśmy to proszę przejść do zakończenia, jeżeli nie to ...
* Pozostaje teraz ręczne odzyskiwanie wiadomości z skopiowanego pliku .ebb. Tak jak napisałem w jednym z wątków, za separator wiadomości może służyć znak wykrzknika. Być może po zmianie rozszerzenia pomogą w tym programy TheBat! Message Recovery, ale nie sprawdzłem. Problem mogą mieć jedynie osoby, które mają podpisane cyfrowo e-maile - normalnym jakieś śmiecie na końcu odzyskanego e-maila nie przeszkadzają a im tak.
Nagłówek ma długość 48 bajtów (0x30), jego zerowym bajtem jest znak '!' (wykrzyknik). Bajt 20 (0x14) zawiera flagi wiadomości (przeczytana, zaparkowana, etc.), pod adresem 36 (0x24) znajduje się podwójne słowo (cztery bajty) zawierające długość wiadomości znajdującej się za nagłówkiem.
* To samo można zrobić z plikami .bin. Generalnie jest to ręczna i niewdzięczna robota.
* ZAKOŃCZENIE
* Teraz jeszcze raz się upewniamy, że katalog danego folderu jest pusty, uruchamiamy Nietoperka, importujemy co odzyskaliśmy, robimy porządki i zaczynamy robić regularne kopie zapasowe.
Na koniec dwie uwagi:
* Bardzo miło że RITSi odszyfrowali odzyskane e-maile, tylko jest to takie średnio bepieczne.
* Proszę pamiętać, że od którejś wersji Nietoperek przy wyjściu kompaktuje wszystkie foldery Odebrane. Jeżeli ktoś trzyma całą pocztę tam, ma jej dużo i w jendej sesji dużo jej odbiera, to porządkowanie trwa długo. Windows za to ma limit oczekiwania na zamknięcie programu, po czym bezceremonialnie go zabija. Efekty tego są łatwe do przewidzenia. Datego nie warto trzymać całej poczty w Odebrane, ale jeżeli tak, to sugeruję wyłączenia tego kompaktowania i robienia tego samemu ręcznie co jakiś czas.