erkannter Partitionseintrag hat (etwa) doppelte Datenträgergröße

TestDisk benutzen um verlorene Partitionen wiederherzustellen
Forum rules
Your help is welcome: there are currently few answers or none to most message posted in the German forum!
If you want to post a request for help, please consider using the English forum.
Locked
Message
Author
NassWieEinKieslaster
Posts: 3
Joined: 14 Nov 2022, 09:44

erkannter Partitionseintrag hat (etwa) doppelte Datenträgergröße

#1 Post by NassWieEinKieslaster »

Guten Tag,

als interessierter Laie bitte ich um Unterstützung und Rat zum im Weiteren beschrieben Sachverhalt, insbesondere bei der Interpretation und Auswertung der protokollierten Untersuchungsergebnisse (Logs).

Es gibt diverse Artikel und Arbeiten, die darauf hindeuten, dass die meisten gebrauchten Datenträger vor Besitzerwechsel keine fachgerechte Löschung erfahren haben. Aus technischer Neugier hatte ich mir daher vorgenommen, ein kürzlich erworbenes gebrauchtes Laufwerk, das ich betreiben möchte, zunächst auf mögliche Datenreste zu prüfen.
Ich habe also keine Anhaltspunkte dafür, wie das Laufwerk bisher genutzt worden ist, ob (geschweige denn wie) die Daten des Laufwerks gelöscht wurden, oder wie das Laufwerk bisher partitioniert gewesen war.

Wie bin ich bisher vorgegangen?
i) Zunächst habe ich die S.M.A.R.T.-Daten ausgelesen. Die machen einen unbedenklichen Eindruck.

ii) Dann habe ich TestDisk ausgeführt.
Im ersten Teil hiervon habe ich manuell das klassische 'Intel'-Format als Partitionstabelle gewählt und eine Analyse druchgeführt (Quick und Deep). Dies dauerte wenige Minuten. Im Anschluss habe ich versucht die Dateien der entdeckten Partition aufzulisten.
Danach habe ich das automatisch erkannte EFI/GPT-Format gewählt, dabei allerdings nur den Schnelldurchlauf gewählt und nach kurzer Dauer abgebrochen, da dieser deutlich länger dauert (ca. 10h). Im Anschluss habe ich versucht die Dateien der entdeckten Partition aufzulisten.

Ergebnisse bisher
S.M.A.R.T. - ausgelesen mit 'Samsung Magician'

Code: Select all

Modellname	 Samsung SSD 860 PRO 512GB						
Seriennummer	 S42YNF0K311652J						
Drive Type	 SATA						
Ergebnis	ID	Description					Threshold	Current Value	Worst Value	Raw Data	
		5	Reallocated Sector Count			10		100		100		0	OK
		9	Power-on Hours					0		98		98		7140	OK
		12	Power-on Count					0		99		99		650	OK
		177	Wear Leveling Count				0		98		98		34	OK
		179	Used Reserved Block Count (total)		10		100		100		0	OK
		181	Program Fail Count (total)			10		100		100		0	OK
		182	Erase Fail Count (total)			10		100		100		0	OK
		183	Runtime Bad Count (total)			10		100		100		0	OK
		187	Uncorrectable Error Count			0		100		100		0	OK
		190	Airflow Temperature				0		78		50		22	OK
		195	ECC Error Rate					0		200		200		0	OK
		199	CRC Error Count					0		99		99		4	OK
		235	POR Recovery Count				0		99		99		20	OK
		241	Total LBAs Written				0		99		99		21646734079	OK
Status	'Gut'
testdisk.log

Code: Select all

Mon Nov 14 09:09:11 2022
Command line: TestDisk

TestDisk 7.2-WIP, Data Recovery Utility, November 2022
Christophe GRENIER <grenier@cgsecurity.org>
https://www.cgsecurity.org
OS: Windows 7 (7601) SP1
Compiler: GCC 11.2, Cygwin 3001.4
ext2fs lib: 1.45.3, ntfs lib: 10:0:0, reiserfs lib: none, ewf lib: 20140608, curses lib: ncurses 6.1
disk_get_size_win32 IOCTL_DISK_GET_LENGTH_INFO(\\.\PhysicalDrive0)=500107862016
disk_get_size_win32 IOCTL_DISK_GET_LENGTH_INFO(\\.\PhysicalDrive1)=1500301910016
disk_get_size_win32 IOCTL_DISK_GET_LENGTH_INFO(\\.\PhysicalDrive2)=512110190592
disk_get_size_win32 IOCTL_DISK_GET_LENGTH_INFO(\\.\PhysicalDrive3)=15504900096
disk_get_size_win32 IOCTL_DISK_GET_LENGTH_INFO(\\.\C:)=104752742400
disk_get_size_win32 IOCTL_DISK_GET_LENGTH_INFO(\\.\D:)=976012443648
filewin32_getfilesize(\\.\F:) GetFileSize err Unzulässige Funktion.

filewin32_setfilepointer(\\.\F:) SetFilePointer err Unzulässige Funktion.

Warning: can't get size for \\.\F:
disk_get_size_win32 IOCTL_DISK_GET_LENGTH_INFO(\\.\J:)=15503851520
Hard disk list
Disk \\.\PhysicalDrive0 - 500 GB / 465 GiB - CHS 60801 255 63, sector size=512 - WDC WD50 03ABYX-01WERA0, S/N:WD-WMAYP1870660, FW:01.0
Disk \\.\PhysicalDrive1 - 1500 GB / 1397 GiB - CHS 182401 255 63, sector size=512 - WDC WD15 EARS-00MVWB0, S/N:WD-WCAZA1421591, FW:51.0
Disk \\.\PhysicalDrive2 - 512 GB / 476 GiB - CHS 62260 255 63, sector size=512 - Samsung SSD 860 PRO 512G, S/N:S42YNF0K311652J, FW:RVM0
Disk \\.\PhysicalDrive3 - 15 GB / 14 GiB - CHS 1885 255 63, sector size=512 - USB DISK 3.0, S/N:0A77020930A0, FW:PMAP

Partition table type (auto): EFI GPT
Disk \\.\PhysicalDrive2 - 512 GB / 476 GiB - Samsung SSD 860 PRO 512G
Partition table type: Intel
New options :
 Dump : No
 Align partition: Yes
 Expert mode : Yes

Interface Advanced
Geometry from i386 MBR: head=255 sector=63
check_part_i386 1 type EE: no test
 1 P EFI GPT                  0   0  2 31130 233 63  500118191

Analyse Disk \\.\PhysicalDrive2 - 512 GB / 476 GiB - CHS 62260 255 63
Geometry from i386 MBR: head=255 sector=63
check_part_i386 1 type EE: no test
Current partition structure:
 1 P EFI GPT                  0   0  2 31130 233 63  500118191
No partition is bootable

search_part()
Disk \\.\PhysicalDrive2 - 512 GB / 476 GiB - CHS 62260 255 63
NTFS at 62260/121/5
filesystem size           998952960
sectors_per_cluster       8
mft_lcn                   786432
mftmirr_lcn               2
clusters_per_mft_record   -10
clusters_per_index_record 1
     HPFS - NTFS             78 134 57 62260 121  5  998952960
     NTFS found using backup sector, blocksize=4096, 511 GB / 476 GiB
NTFS at 62260/121/5
filesystem size           998952960
sectors_per_cluster       8
mft_lcn                   786432
mftmirr_lcn               2
clusters_per_mft_record   -10
clusters_per_index_record 1
NTFS: Can't read MFT
     HPFS - NTFS          62260 121  5 124442 107 16  998952960
     NTFS, blocksize=4096, 511 GB / 476 GiB
This partition ends after the disk limits. (start=1000214527, size=998952960, end=1999167486, disk end=1000215216)
Disk \\.\PhysicalDrive2 - 512 GB / 476 GiB - CHS 62260 255 63
Check the hard disk size: HD jumper settings, BIOS detection...
The hard disk (512 GB / 476 GiB) seems too small! (< 1023 GB / 953 GiB)
The following partition can't be recovered:
     HPFS - NTFS          62260 121  5 124442 107 16  998952960
     NTFS, blocksize=4096, 511 GB / 476 GiB

Results
   * HPFS - NTFS             78 134 57 62260 121  5  998952960
     NTFS found using backup sector, blocksize=4096, 511 GB / 476 GiB
$MFT has invalid magic.
ntfs_mft_load(): Failed.
Failed to load $MFT: Input/output error.
Failed to startup volume: Input/output error.
$MFT has invalid magic.
ntfs_mft_load(): Failed.
Failed to load $MFT: Input/output error.
$MFT has invalid magic.
ntfs_mft_load(): Failed.
Failed to load $MFT: Input/output error.
Failed to startup volume: Input/output error.
$MFT has invalid magic.
ntfs_mft_load(): Failed.
Failed to load $MFT: Input/output error.
Not an exFAT boot sector.

   * HPFS - NTFS             78 134 57 62260 121  5  998952960
     NTFS found using backup sector, blocksize=4096, 511 GB / 476 GiB
Can't open filesystem. Filesystem seems damaged.

interface_write()
 1 * HPFS - NTFS             78 134 57 62260 121  5  998952960

search_part()
Disk \\.\PhysicalDrive2 - 512 GB / 476 GiB - CHS 62260 255 63
NTFS at 62260/121/5
filesystem size           998952960
sectors_per_cluster       8
mft_lcn                   786432
mftmirr_lcn               2
clusters_per_mft_record   -10
clusters_per_index_record 1
     HPFS - NTFS             78 134 57 62260 121  5  998952960
     NTFS found using backup sector, blocksize=4096, 511 GB / 476 GiB
NTFS at 62260/121/5
filesystem size           998952960
sectors_per_cluster       8
mft_lcn                   786432
mftmirr_lcn               2
clusters_per_mft_record   -10
clusters_per_index_record 1
NTFS: Can't read MFT
     HPFS - NTFS          62260 121  5 124442 107 16  998952960
     NTFS, blocksize=4096, 511 GB / 476 GiB
This partition ends after the disk limits. (start=1000214527, size=998952960, end=1999167486, disk end=1000215216)
Disk \\.\PhysicalDrive2 - 512 GB / 476 GiB - CHS 62260 255 63
Check the hard disk size: HD jumper settings, BIOS detection...
The hard disk (512 GB / 476 GiB) seems too small! (< 1023 GB / 953 GiB)
The following partition can't be recovered:
     HPFS - NTFS          62260 121  5 124442 107 16  998952960
     NTFS, blocksize=4096, 511 GB / 476 GiB

Results
   * HPFS - NTFS             78 134 57 62260 121  5  998952960
     NTFS found using backup sector, blocksize=4096, 511 GB / 476 GiB
$MFT has invalid magic.
ntfs_mft_load(): Failed.
Failed to load $MFT: Input/output error.
Failed to startup volume: Input/output error.
$MFT has invalid magic.
ntfs_mft_load(): Failed.
Failed to load $MFT: Input/output error.
$MFT has invalid magic.
ntfs_mft_load(): Failed.
Failed to load $MFT: Input/output error.
Failed to startup volume: Input/output error.
$MFT has invalid magic.
ntfs_mft_load(): Failed.
Failed to load $MFT: Input/output error.
Not an exFAT boot sector.

   * HPFS - NTFS             78 134 57 62260 121  5  998952960
     NTFS found using backup sector, blocksize=4096, 511 GB / 476 GiB
Can't open filesystem. Filesystem seems damaged.

interface_write()
 1 * HPFS - NTFS             78 134 57 62260 121  5  998952960
simulate write!

write_mbr_i386: starting...
write_all_log_i386: starting...
No extended partition
Partition table type (auto): EFI GPT
Disk \\.\PhysicalDrive2 - 512 GB / 476 GiB - Samsung SSD 860 PRO 512G
Partition table type: EFI GPT

Interface Advanced
hdr_size=92
hdr_lba_self=1
hdr_lba_alt=1000215215 (expected 1000215215)
hdr_lba_start=34
hdr_lba_end=1000215182
hdr_lba_table=2
hdr_entries=128
hdr_entsz=128
check_part_gpt failed for partition
 1 P MS Reserved                   34     262177     262144
 1 P MS Reserved                   34     262177     262144
New options :
 Dump : No
 Align partition: Yes
 Expert mode : Yes

Analyse Disk \\.\PhysicalDrive2 - 512 GB / 476 GiB - CHS 62260 255 63
hdr_size=92
hdr_lba_self=1
hdr_lba_alt=1000215215 (expected 1000215215)
hdr_lba_start=34
hdr_lba_end=1000215182
hdr_lba_table=2
hdr_entries=128
hdr_entsz=128
check_part_gpt failed for partition
 1 P MS Reserved                   34     262177     262144
Current partition structure:
No FAT, NTFS, ext2, JFS, Reiser, cramfs or XFS marker
 1 P MS Reserved                   34     262177     262144
 1 P MS Reserved                   34     262177     262144

search_part()
Disk \\.\PhysicalDrive2 - 512 GB / 476 GiB - CHS 62260 255 63
NTFS at 62260/121/5
filesystem size           998952960
sectors_per_cluster       8
mft_lcn                   786432
mftmirr_lcn               2
clusters_per_mft_record   -10
clusters_per_index_record 1
     MS Data                  1261568 1000214527  998952960
     NTFS found using backup sector, blocksize=4096, 511 GB / 476 GiB
NTFS at 62260/121/5
filesystem size           998952960
sectors_per_cluster       8
mft_lcn                   786432
mftmirr_lcn               2
clusters_per_mft_record   -10
clusters_per_index_record 1
NTFS: Can't read MFT
     MS Data               1000214527 1999167486  998952960
     NTFS, blocksize=4096, 511 GB / 476 GiB
This partition ends after the disk limits. (start=1000214527, size=998952960, end=1999167486, disk end=1000215216)
Search for partition aborted
Disk \\.\PhysicalDrive2 - 512 GB / 476 GiB - CHS 62260 255 63
Check the hard disk size: HD jumper settings, BIOS detection...
The hard disk (512 GB / 476 GiB) seems too small! (< 1023 GB / 953 GiB)
The following partition can't be recovered:
     MS Data               1000214527 1999167486  998952960
     NTFS, blocksize=4096, 511 GB / 476 GiB

Results
   P MS Data                  1261568 1000214527  998952960
     NTFS found using backup sector, blocksize=4096, 511 GB / 476 GiB
$MFT has invalid magic.
ntfs_mft_load(): Failed.
Failed to load $MFT: Input/output error.
Failed to startup volume: Input/output error.
$MFT has invalid magic.
ntfs_mft_load(): Failed.
Failed to load $MFT: Input/output error.

   P MS Data                  1261568 1000214527  998952960
     NTFS found using backup sector, blocksize=4096, 511 GB / 476 GiB
Can't open filesystem. Filesystem seems damaged.

interface_write()
 1 P MS Data                  1261568 1000214527  998952960
simulate write!

TestDisk exited normally.
Meine Interpretation
1) Im ersten Fall wird direkt eine EFI-Partition ausgelesen. Im zweiten Fall wurden zwei gleiche Partitionseinträge für eine 'MS Reserved' erkannt (exakt überlappend). Die Fälle unterscheiden sich allerdings bzgl. der Einträge von Anfang und Ende der Partition.

2) In beiden Fällen wurde nach der Analyse eine Partition 'MS Data' entdeckt aber größer als die Datenträgerkapazität (ziemlich genau doppelt so groß).
Die Tiefenanalyse im Partitionstabellenformat 'Intel' brachte keine neuen Erkenntnisse.

3) In beiden Fällen konnte das Dateisystem auf der erkannten Partition nicht gelesen werden, scheint beschädigt, MFT nicht lesbar / beinhaltet 'invalid magic'. Auffällig finde ich hierbei den negativen Eintrag 'clusters_per_mft_record'.

Meine Kommentare und Fragen
1a) Wie sollte man die Unterschiede der erkannten Partitionen bewerten? Ich vertraue eher der Ausgabe mit dem automatisch erkannten Partitionstabellenformat EFI/GPT.
1b) Aber wie kann es dazu kommen, dass der Eintrag im zweiten Fall doppelt auftaucht? Und was könnte das bedeuten?

2a) Wieso unterscheidet sich die Dauer der Analysen in Abhängigkeit der Wahl des Partitionstabellenformats so signifikant (wenige Minuten vs ca. 10h)?
2b) Wie kann es dazu kommen, dass die gefundene Partition ziemlich genau doppelt so groß wie der Datenträger ist? Mir ist das gleiche Phänomen (doppelte Größe) auch mehrmals bei meiner vorangehender oberflächlichen Recherche aufgefallen. Diese doppelte Größe scheint ein häufigeres Problem zu sein. Könnte das eine gemeinsame übliche Ursache haben?

3a) Ergibt ein negativer Eintrag 'clusters_per_mft_record' technisch überhaupt Sinn? Was wäre ein typischer Wert?
3b) Wie könnte es dazu kommen? Gibt es hierfür typische Ursachen?

4) Sind die Ergebnisse typisch für ein Löschen der Partitionstabelle oder einen 'Secure Erase'?

Leider hatte ich mein erstes Log versehentlich überschrieben. Da hatte ich die etwa 10 Stunden dauernde Schnellanalyse mit GPT durchlaufen lassen. Das Ergebnis war effektiv das selbe (Partition zu groß und Dateisystem nicht auslesbar).

Ich wäre für jede Richtigstellung, jede Antwort sowie jeden hilfreichen Kommentar oder einschlägigen Erfahrungsbeitrag sehr dankbar.

recuperation
Posts: 2718
Joined: 04 Jan 2019, 09:48
Location: Hannover, Deutschland (Germany, Allemagne)

Re: erkannter Partitionseintrag hat (etwa) doppelte Datenträgergröße

#2 Post by recuperation »

Hier ist das Testdisk-Support-Forum.
Die Beantwortung von themenfremden Fragen wie z.B. zu Studienarbeiten auf dem Gebiet der Computer-Forensik ist nicht sinnvoll.

Antwort auf Ihre Fragen bekommen Sie, wenn Sie

1. die Dienstleistung eines Forensik-Unternehmens in Anspruch nehmen oder
2. eine Forensik-Ausbildung machen oder
3. sich im Selbststudium mit den Themen vertraut machen.

Zu Punkt 3 empfehle ich Ihnen,

1. einen nackten Einzelplatzrechner zu installieren,
2. Spielzeugdatenträger zu besorgen (Sie haben ja schon einen)
3. einen Hexeditor zu installieren, der auch Datenträger öffnet (z.B. HxD)
4. Grundlagen zur logischen Speicherung von Daten auf Festplatten lernen
a) Literaturquelle zum Einstieg: c't - Magazin für Computertechnik, Ausgabe 6/2000, Datenpuzzle - Mit dem Diskeditor auf Datensuche
b) Buch: Brian Carrier - File system forensics
c) Es gibt unzählige Quellen, Artikel, Bücher (auch von Microsoft)
5. Experimentieren!

Zu Ihren Fragen:
2a) Wieso unterscheidet sich die Dauer der Analysen in Abhängigkeit der Wahl des Partitionstabellenformats so signifikant (wenige Minuten vs ca. 10h)?
Keine Ahnung. Die Dauer hängt sonst eher von der Suchart ab.
3a) Ergibt ein negativer Eintrag 'clusters_per_mft_record' technisch überhaupt Sinn? Was wäre ein typischer Wert?
3b) Wie könnte es dazu kommen? Gibt es hierfür typische Ursachen?

4) Sind die Ergebnisse typisch für ein Löschen der Partitionstabelle oder einen 'Secure Erase'?
All diese Fragen können mit Lernfleiß und ausprobieren autonom beantwortet werden.

NassWieEinKieslaster
Posts: 3
Joined: 14 Nov 2022, 09:44

Re: erkannter Partitionseintrag hat (etwa) doppelte Datenträgergröße

#3 Post by NassWieEinKieslaster »

Danke vielmals für Ihren Beitrag. Leider werde ich den Eindruck nicht los, dass ich mich missverständlich ausgedrückt haben muss. Erlauben Sie mir daher zunächst bitte einige (hoffentlich) klärenden Bemerkungen, bevor ich zum konkreten Sachverhalt zurückkehre:

Den Bezug zu Artikeln oder Arbeiten hatte ich lediglich erwähnt, um meine Motivation zu verdeutlichen. Sie haben natürlich Recht damit, dass themenfremde Fachfragen hierzu nicht hierher gehören würden. Nun kann man ausgiebig darüber diskutieren, was man in diesem Kontext unter themenfremd versteht, aber das halte ich an dieser Stelle für unangebracht und nicht zweckdienlich - und das, obwohl ich doch etwas ratlos darüber bin, welche meiner Fragen nach Ihrem Verständnis primär zu Studienarbeiten auf dem Gebiet der Computer-Forensik gestellt worden wären.
Hätte ich Fragen zu Artikeln oder Arbeiten auf diesem Gebiet gehabt und auch nach Ihren (mir unbekannten) Kriterien als solche identifiziert, so hätte ich mich zumindest bemüht, Sie an passenderer Stelle zu gestellt zu haben. Ohne konkreten Kontext oder Referenz zu einer solchen Arbeit, welche(r) hier meines Erachtens nicht vorlag, ergäbe eine Frage zu eben jener Arbeit nach meinem Verständnis gar keinen Sinn.

Hauptanliegen und Ziel ist es, die möglicherwiese noch vorhanden Daten wiederherzustellen. Auch wenn mir dabei ein gewisser Lerneffekt wichtig ist, bleibt er in dieser Angelegenheit für mich ein nachgelagertes Ziel. Neben meiner Neugier ist dies lediglich ein zusätzlicher Motivator.

Ich danke ich Ihnen dafür, zielführende Herangehensweisen genannt zu haben. Dass diese mit hoher Erfolgsquote hinreichend sind, um an mein Ziel zu kommen, ist selbstredend. Aber sind sie tatsächlich notwendig? Falls ja, war mir das nicht bewusst.
Jedenfalls ziehe ich die genannten Herangehensweisen noch nicht in Betracht. Aufgrund begrenzter Ressourcen und einem ungünstigen Verhältnis aus Aufwand und Nutzen hielt ich es zunächst für einfacher, mein Glück hier zu versuchen und mein Anliegen samt Fragen hier in der Hoffnung auf hilfreiche Unterstützung zu präsentieren.

An dieser Stelle möchte ich daher ganz allgemein um Ratschläge bitten, wie ich auf der Grundlage der vorgelegten Informationen und Ihrer/euerer Expertise meinem Ziel der Partitionswiederherstellung möglichst einfach näher kommen könnte. Sind meine bisherigen Interpretationen und Auswertungen der Ausgabe von TestDisk korrekt?

Falls Fragen meinerseits nicht zielführend waren/sind, so bitte ich Sie, jene unbeantwortet zu benennen oder gänzlich zu ignorieren und mein Verhalten zu entschuldigen. Ich war davon überzeugt, dass diese hier zweckdienlich gewesen wären.

Nun zu Ihren Antworten:
- Zu 2a: Jedenfalls weiß ich jetzt, das dieses Verhalten untypisch ist. Ein Indiz also, dass möglicherweise noch mehr im Argen ist.
Ich besitze keine andere SSD. Wie zügig läuft das auf einer SATA SSD pro Terabyte normalerweise? Ist für eine SATA SSD dieser Kapazität eine von 10h deutlich abweichende Dauer zu erwarten?

- Zu 3a: Diese Frage kann ich inzwischen verneinen, nachdem ich einschlägige Stellen (S. 265 ff.) in Ihrer Buchempfehlung unter 4b) überflogen habe. Danke für diesen Hinweis.

- Zu 3b & 4:
All diese Fragen können mit Lernfleiß und ausprobieren autonom beantwortet werden.
Ja sicherlich, das ist mir durchaus bewusst. Nicht unwesentlich ist ja, ob ein einfacherer Weg auch zum Ziel führen würde. Ich dachte, dass es sich wahrscheinlich lohnen könnte, dieses Forum zunächst um Rat zu fragen bevor ich mit ungewisser Erfolgsqote damit beginne viele Stunden zu investieren.
Die Abwägung lag und liegt quasi auf der Hand, denn Fragen "kostet" vergleichsweise wenig, und im Schlimmsten Fall erhielte ich keine Antworten und weiterführenden Bemerkungen. Also fragte ich.

recuperation
Posts: 2718
Joined: 04 Jan 2019, 09:48
Location: Hannover, Deutschland (Germany, Allemagne)

Re: erkannter Partitionseintrag hat (etwa) doppelte Datenträgergröße

#4 Post by recuperation »

NassWieEinKieslaster wrote: 16 Nov 2022, 17:18 Nun zu Ihren Antworten:
- Zu 2a: Jedenfalls weiß ich jetzt, das dieses Verhalten untypisch ist. Ein Indiz also, dass möglicherweise noch mehr im Argen ist.
Ich besitze keine andere SSD. Wie zügig läuft das auf einer SATA SSD pro Terabyte normalerweise? Ist für eine SATA SSD dieser Kapazität eine von 10h deutlich abweichende Dauer zu erwarten?
Testdisk kann einen Datenträger in der Größenordnung der nachhaltigen Dauergeschwindigkeit des Datenträgers analysieren, solange keine weiteren Flaschenhälse vorliegen wie z.B. ein lahme Interface (USB 1.0, USB 2.0) oder Defekte auf dem Datenträger. Bei Ihrem lagen vier CRC-Fehler vor. Ich habe nicht im Kopf, was das für Ihre SSD bedeutet.

Code: Select all

199	CRC Error Count					0		99		99		4	OK
Zur Berechnung der benötigten Zeit dividieren Sie einfach die Kapazität des Datenträgers durch die nachhaltige Lesegeschwindigkeit.

NassWieEinKieslaster wrote: 14 Nov 2022, 11:41 Guten Tag,

als interessierter Laie bitte ich um Unterstützung und Rat zum im Weiteren beschrieben Sachverhalt, insbesondere bei der Interpretation und Auswertung der protokollierten Untersuchungsergebnisse (Logs).

Es gibt diverse Artikel und Arbeiten, die darauf hindeuten, dass die meisten gebrauchten Datenträger vor Besitzerwechsel keine fachgerechte Löschung erfahren haben. Aus technischer Neugier hatte ich mir daher vorgenommen, ein kürzlich erworbenes gebrauchtes Laufwerk, das ich betreiben möchte, zunächst auf mögliche Datenreste zu prüfen.
Ich habe also keine Anhaltspunkte dafür, wie das Laufwerk bisher genutzt worden ist, ob (geschweige denn wie) die Daten des Laufwerks gelöscht wurden, oder wie das Laufwerk bisher partitioniert gewesen war.
Das ist alle Forensik und hat nichts mit Datenrettung zu tun.

NassWieEinKieslaster
Posts: 3
Joined: 14 Nov 2022, 09:44

Re: erkannter Partitionseintrag hat (etwa) doppelte Datenträgergröße

#5 Post by NassWieEinKieslaster »

Gute Idee. Der Datenträger fasst 476GiB.

Mit 'Intel'-Partitionstabellenformat dauert ein Schnellanalysedurchlauf gute 5 Minuten, d.h. im Schnitt etwa 1625MiB/s. Das passt nicht zu einer SSD an SATA 6Gbps. Vermutlich wird nur ein Teil des Laufwerks ausgelesen. Laut Task-Manager hat der Prozess währenddessen etwa 50MB/s IO, aber im letzten Drittel waren es circa 170MB/s. Ich weiß nichts über die Art der Lesezugriffe hierbei, aber das ist meines Erachtens nach weit vom Maximum für sequentielles Lesen dieser Konfiguration entfernt.
Die Tiefenanalyse dauerte knapp 7 Minuten, d.h. etwa 1160MB/s. Auch das passt nicht mit der Konfiguration zusammen. Ansonsten verhielt sich der IO laut Task-Manager analog.

Mit 'GPT' hat das erste Prozent der Schnellanalyse etwa 6,5 Minuten gedauert, d.h. etwa 1250MB/s. Wieder passt das nicht. Der IO-Durchsatz des Prozesses lag laut Task-Manager hier im Mittel etwas über 50MB/s.
Das erste Prozent der Tiefenanalyse liefert nahezu gleiche Messwerte.

Aus diesen Werten kann ich leider nicht viele Schlüsse ziehen. Jedenfalls erklären sie nicht, die erwähnten deutlichen Unterschiede in der Dauer der Analysedurchläufe.

Das S.M.A.R.T.-Attribut 'CRC Count Error' zählt meines Wissens nach die CRC-Prüfsummenfehler zwischen Host- und Laufwerkscontroller. Das könnte neben subtileren Defekten am Controller auf eine schlechte Verkabelung oder schlechter Steckkontakt hindeuten. Auch serienmäßige Inkompatibilitätsbugs wie zum Beispiel zwischen viele Samsung SATA SSDs mit bestimmten Host-Controllern von AMD, ASMedia usw. können dazu führen, siehe etwa hier.
Wie ich bereits schrieb, steht dieses Attribut schon seit meiner Inbetriebnahme auf eben jenem Wert, d.h. bevor ich irgendwelche anderen Zugriffe initiiert habe.
Das ist alle Forensik und hat nichts mit Datenrettung zu tun.
Meiner Meinung nach hat der erste Satz meines Eingangsbeitrags in erster Linie etwas mit meiner aktiven Ausführung von TestDisk zu tun, weil daraus erst die zu bewertenden Untersuchungsergebnisse resultieren. Und da das mangels vollständiger Dokumentation darüber, was jede einzelne Zeile überhaupt direkt (per "Definition") aussagt (deswegen auch ein Teil meiner Fragen), hat es doch primär mit TestDisk zu tun als mit Forensik. Erst wenn man die Ausgabe im Grundsatz versteht, kann man beginnen daraus logische Schlüsse zu ziehen.
Aber einigen wir uns doch einfach darauf, dass wir uns in diesem Punkt uneinig sind.

Locked