als interessierter Laie bitte ich um Unterstützung und Rat zum im Weiteren beschrieben Sachverhalt, insbesondere bei der Interpretation und Auswertung der protokollierten Untersuchungsergebnisse (Logs).
Es gibt diverse Artikel und Arbeiten, die darauf hindeuten, dass die meisten gebrauchten Datenträger vor Besitzerwechsel keine fachgerechte Löschung erfahren haben. Aus technischer Neugier hatte ich mir daher vorgenommen, ein kürzlich erworbenes gebrauchtes Laufwerk, das ich betreiben möchte, zunächst auf mögliche Datenreste zu prüfen.
Ich habe also keine Anhaltspunkte dafür, wie das Laufwerk bisher genutzt worden ist, ob (geschweige denn wie) die Daten des Laufwerks gelöscht wurden, oder wie das Laufwerk bisher partitioniert gewesen war.
Wie bin ich bisher vorgegangen?
i) Zunächst habe ich die S.M.A.R.T.-Daten ausgelesen. Die machen einen unbedenklichen Eindruck.
ii) Dann habe ich TestDisk ausgeführt.
Im ersten Teil hiervon habe ich manuell das klassische 'Intel'-Format als Partitionstabelle gewählt und eine Analyse druchgeführt (Quick und Deep). Dies dauerte wenige Minuten. Im Anschluss habe ich versucht die Dateien der entdeckten Partition aufzulisten.
Danach habe ich das automatisch erkannte EFI/GPT-Format gewählt, dabei allerdings nur den Schnelldurchlauf gewählt und nach kurzer Dauer abgebrochen, da dieser deutlich länger dauert (ca. 10h). Im Anschluss habe ich versucht die Dateien der entdeckten Partition aufzulisten.
Ergebnisse bisher
S.M.A.R.T. - ausgelesen mit 'Samsung Magician'
Code: Select all
Modellname Samsung SSD 860 PRO 512GB
Seriennummer S42YNF0K311652J
Drive Type SATA
Ergebnis ID Description Threshold Current Value Worst Value Raw Data
5 Reallocated Sector Count 10 100 100 0 OK
9 Power-on Hours 0 98 98 7140 OK
12 Power-on Count 0 99 99 650 OK
177 Wear Leveling Count 0 98 98 34 OK
179 Used Reserved Block Count (total) 10 100 100 0 OK
181 Program Fail Count (total) 10 100 100 0 OK
182 Erase Fail Count (total) 10 100 100 0 OK
183 Runtime Bad Count (total) 10 100 100 0 OK
187 Uncorrectable Error Count 0 100 100 0 OK
190 Airflow Temperature 0 78 50 22 OK
195 ECC Error Rate 0 200 200 0 OK
199 CRC Error Count 0 99 99 4 OK
235 POR Recovery Count 0 99 99 20 OK
241 Total LBAs Written 0 99 99 21646734079 OK
Status 'Gut'
Code: Select all
Mon Nov 14 09:09:11 2022
Command line: TestDisk
TestDisk 7.2-WIP, Data Recovery Utility, November 2022
Christophe GRENIER <grenier@cgsecurity.org>
https://www.cgsecurity.org
OS: Windows 7 (7601) SP1
Compiler: GCC 11.2, Cygwin 3001.4
ext2fs lib: 1.45.3, ntfs lib: 10:0:0, reiserfs lib: none, ewf lib: 20140608, curses lib: ncurses 6.1
disk_get_size_win32 IOCTL_DISK_GET_LENGTH_INFO(\\.\PhysicalDrive0)=500107862016
disk_get_size_win32 IOCTL_DISK_GET_LENGTH_INFO(\\.\PhysicalDrive1)=1500301910016
disk_get_size_win32 IOCTL_DISK_GET_LENGTH_INFO(\\.\PhysicalDrive2)=512110190592
disk_get_size_win32 IOCTL_DISK_GET_LENGTH_INFO(\\.\PhysicalDrive3)=15504900096
disk_get_size_win32 IOCTL_DISK_GET_LENGTH_INFO(\\.\C:)=104752742400
disk_get_size_win32 IOCTL_DISK_GET_LENGTH_INFO(\\.\D:)=976012443648
filewin32_getfilesize(\\.\F:) GetFileSize err Unzulässige Funktion.
filewin32_setfilepointer(\\.\F:) SetFilePointer err Unzulässige Funktion.
Warning: can't get size for \\.\F:
disk_get_size_win32 IOCTL_DISK_GET_LENGTH_INFO(\\.\J:)=15503851520
Hard disk list
Disk \\.\PhysicalDrive0 - 500 GB / 465 GiB - CHS 60801 255 63, sector size=512 - WDC WD50 03ABYX-01WERA0, S/N:WD-WMAYP1870660, FW:01.0
Disk \\.\PhysicalDrive1 - 1500 GB / 1397 GiB - CHS 182401 255 63, sector size=512 - WDC WD15 EARS-00MVWB0, S/N:WD-WCAZA1421591, FW:51.0
Disk \\.\PhysicalDrive2 - 512 GB / 476 GiB - CHS 62260 255 63, sector size=512 - Samsung SSD 860 PRO 512G, S/N:S42YNF0K311652J, FW:RVM0
Disk \\.\PhysicalDrive3 - 15 GB / 14 GiB - CHS 1885 255 63, sector size=512 - USB DISK 3.0, S/N:0A77020930A0, FW:PMAP
Partition table type (auto): EFI GPT
Disk \\.\PhysicalDrive2 - 512 GB / 476 GiB - Samsung SSD 860 PRO 512G
Partition table type: Intel
New options :
Dump : No
Align partition: Yes
Expert mode : Yes
Interface Advanced
Geometry from i386 MBR: head=255 sector=63
check_part_i386 1 type EE: no test
1 P EFI GPT 0 0 2 31130 233 63 500118191
Analyse Disk \\.\PhysicalDrive2 - 512 GB / 476 GiB - CHS 62260 255 63
Geometry from i386 MBR: head=255 sector=63
check_part_i386 1 type EE: no test
Current partition structure:
1 P EFI GPT 0 0 2 31130 233 63 500118191
No partition is bootable
search_part()
Disk \\.\PhysicalDrive2 - 512 GB / 476 GiB - CHS 62260 255 63
NTFS at 62260/121/5
filesystem size 998952960
sectors_per_cluster 8
mft_lcn 786432
mftmirr_lcn 2
clusters_per_mft_record -10
clusters_per_index_record 1
HPFS - NTFS 78 134 57 62260 121 5 998952960
NTFS found using backup sector, blocksize=4096, 511 GB / 476 GiB
NTFS at 62260/121/5
filesystem size 998952960
sectors_per_cluster 8
mft_lcn 786432
mftmirr_lcn 2
clusters_per_mft_record -10
clusters_per_index_record 1
NTFS: Can't read MFT
HPFS - NTFS 62260 121 5 124442 107 16 998952960
NTFS, blocksize=4096, 511 GB / 476 GiB
This partition ends after the disk limits. (start=1000214527, size=998952960, end=1999167486, disk end=1000215216)
Disk \\.\PhysicalDrive2 - 512 GB / 476 GiB - CHS 62260 255 63
Check the hard disk size: HD jumper settings, BIOS detection...
The hard disk (512 GB / 476 GiB) seems too small! (< 1023 GB / 953 GiB)
The following partition can't be recovered:
HPFS - NTFS 62260 121 5 124442 107 16 998952960
NTFS, blocksize=4096, 511 GB / 476 GiB
Results
* HPFS - NTFS 78 134 57 62260 121 5 998952960
NTFS found using backup sector, blocksize=4096, 511 GB / 476 GiB
$MFT has invalid magic.
ntfs_mft_load(): Failed.
Failed to load $MFT: Input/output error.
Failed to startup volume: Input/output error.
$MFT has invalid magic.
ntfs_mft_load(): Failed.
Failed to load $MFT: Input/output error.
$MFT has invalid magic.
ntfs_mft_load(): Failed.
Failed to load $MFT: Input/output error.
Failed to startup volume: Input/output error.
$MFT has invalid magic.
ntfs_mft_load(): Failed.
Failed to load $MFT: Input/output error.
Not an exFAT boot sector.
* HPFS - NTFS 78 134 57 62260 121 5 998952960
NTFS found using backup sector, blocksize=4096, 511 GB / 476 GiB
Can't open filesystem. Filesystem seems damaged.
interface_write()
1 * HPFS - NTFS 78 134 57 62260 121 5 998952960
search_part()
Disk \\.\PhysicalDrive2 - 512 GB / 476 GiB - CHS 62260 255 63
NTFS at 62260/121/5
filesystem size 998952960
sectors_per_cluster 8
mft_lcn 786432
mftmirr_lcn 2
clusters_per_mft_record -10
clusters_per_index_record 1
HPFS - NTFS 78 134 57 62260 121 5 998952960
NTFS found using backup sector, blocksize=4096, 511 GB / 476 GiB
NTFS at 62260/121/5
filesystem size 998952960
sectors_per_cluster 8
mft_lcn 786432
mftmirr_lcn 2
clusters_per_mft_record -10
clusters_per_index_record 1
NTFS: Can't read MFT
HPFS - NTFS 62260 121 5 124442 107 16 998952960
NTFS, blocksize=4096, 511 GB / 476 GiB
This partition ends after the disk limits. (start=1000214527, size=998952960, end=1999167486, disk end=1000215216)
Disk \\.\PhysicalDrive2 - 512 GB / 476 GiB - CHS 62260 255 63
Check the hard disk size: HD jumper settings, BIOS detection...
The hard disk (512 GB / 476 GiB) seems too small! (< 1023 GB / 953 GiB)
The following partition can't be recovered:
HPFS - NTFS 62260 121 5 124442 107 16 998952960
NTFS, blocksize=4096, 511 GB / 476 GiB
Results
* HPFS - NTFS 78 134 57 62260 121 5 998952960
NTFS found using backup sector, blocksize=4096, 511 GB / 476 GiB
$MFT has invalid magic.
ntfs_mft_load(): Failed.
Failed to load $MFT: Input/output error.
Failed to startup volume: Input/output error.
$MFT has invalid magic.
ntfs_mft_load(): Failed.
Failed to load $MFT: Input/output error.
$MFT has invalid magic.
ntfs_mft_load(): Failed.
Failed to load $MFT: Input/output error.
Failed to startup volume: Input/output error.
$MFT has invalid magic.
ntfs_mft_load(): Failed.
Failed to load $MFT: Input/output error.
Not an exFAT boot sector.
* HPFS - NTFS 78 134 57 62260 121 5 998952960
NTFS found using backup sector, blocksize=4096, 511 GB / 476 GiB
Can't open filesystem. Filesystem seems damaged.
interface_write()
1 * HPFS - NTFS 78 134 57 62260 121 5 998952960
simulate write!
write_mbr_i386: starting...
write_all_log_i386: starting...
No extended partition
Partition table type (auto): EFI GPT
Disk \\.\PhysicalDrive2 - 512 GB / 476 GiB - Samsung SSD 860 PRO 512G
Partition table type: EFI GPT
Interface Advanced
hdr_size=92
hdr_lba_self=1
hdr_lba_alt=1000215215 (expected 1000215215)
hdr_lba_start=34
hdr_lba_end=1000215182
hdr_lba_table=2
hdr_entries=128
hdr_entsz=128
check_part_gpt failed for partition
1 P MS Reserved 34 262177 262144
1 P MS Reserved 34 262177 262144
New options :
Dump : No
Align partition: Yes
Expert mode : Yes
Analyse Disk \\.\PhysicalDrive2 - 512 GB / 476 GiB - CHS 62260 255 63
hdr_size=92
hdr_lba_self=1
hdr_lba_alt=1000215215 (expected 1000215215)
hdr_lba_start=34
hdr_lba_end=1000215182
hdr_lba_table=2
hdr_entries=128
hdr_entsz=128
check_part_gpt failed for partition
1 P MS Reserved 34 262177 262144
Current partition structure:
No FAT, NTFS, ext2, JFS, Reiser, cramfs or XFS marker
1 P MS Reserved 34 262177 262144
1 P MS Reserved 34 262177 262144
search_part()
Disk \\.\PhysicalDrive2 - 512 GB / 476 GiB - CHS 62260 255 63
NTFS at 62260/121/5
filesystem size 998952960
sectors_per_cluster 8
mft_lcn 786432
mftmirr_lcn 2
clusters_per_mft_record -10
clusters_per_index_record 1
MS Data 1261568 1000214527 998952960
NTFS found using backup sector, blocksize=4096, 511 GB / 476 GiB
NTFS at 62260/121/5
filesystem size 998952960
sectors_per_cluster 8
mft_lcn 786432
mftmirr_lcn 2
clusters_per_mft_record -10
clusters_per_index_record 1
NTFS: Can't read MFT
MS Data 1000214527 1999167486 998952960
NTFS, blocksize=4096, 511 GB / 476 GiB
This partition ends after the disk limits. (start=1000214527, size=998952960, end=1999167486, disk end=1000215216)
Search for partition aborted
Disk \\.\PhysicalDrive2 - 512 GB / 476 GiB - CHS 62260 255 63
Check the hard disk size: HD jumper settings, BIOS detection...
The hard disk (512 GB / 476 GiB) seems too small! (< 1023 GB / 953 GiB)
The following partition can't be recovered:
MS Data 1000214527 1999167486 998952960
NTFS, blocksize=4096, 511 GB / 476 GiB
Results
P MS Data 1261568 1000214527 998952960
NTFS found using backup sector, blocksize=4096, 511 GB / 476 GiB
$MFT has invalid magic.
ntfs_mft_load(): Failed.
Failed to load $MFT: Input/output error.
Failed to startup volume: Input/output error.
$MFT has invalid magic.
ntfs_mft_load(): Failed.
Failed to load $MFT: Input/output error.
P MS Data 1261568 1000214527 998952960
NTFS found using backup sector, blocksize=4096, 511 GB / 476 GiB
Can't open filesystem. Filesystem seems damaged.
interface_write()
1 P MS Data 1261568 1000214527 998952960
simulate write!
TestDisk exited normally.
1) Im ersten Fall wird direkt eine EFI-Partition ausgelesen. Im zweiten Fall wurden zwei gleiche Partitionseinträge für eine 'MS Reserved' erkannt (exakt überlappend). Die Fälle unterscheiden sich allerdings bzgl. der Einträge von Anfang und Ende der Partition.
2) In beiden Fällen wurde nach der Analyse eine Partition 'MS Data' entdeckt aber größer als die Datenträgerkapazität (ziemlich genau doppelt so groß).
Die Tiefenanalyse im Partitionstabellenformat 'Intel' brachte keine neuen Erkenntnisse.
3) In beiden Fällen konnte das Dateisystem auf der erkannten Partition nicht gelesen werden, scheint beschädigt, MFT nicht lesbar / beinhaltet 'invalid magic'. Auffällig finde ich hierbei den negativen Eintrag 'clusters_per_mft_record'.
Meine Kommentare und Fragen
1a) Wie sollte man die Unterschiede der erkannten Partitionen bewerten? Ich vertraue eher der Ausgabe mit dem automatisch erkannten Partitionstabellenformat EFI/GPT.
1b) Aber wie kann es dazu kommen, dass der Eintrag im zweiten Fall doppelt auftaucht? Und was könnte das bedeuten?
2a) Wieso unterscheidet sich die Dauer der Analysen in Abhängigkeit der Wahl des Partitionstabellenformats so signifikant (wenige Minuten vs ca. 10h)?
2b) Wie kann es dazu kommen, dass die gefundene Partition ziemlich genau doppelt so groß wie der Datenträger ist? Mir ist das gleiche Phänomen (doppelte Größe) auch mehrmals bei meiner vorangehender oberflächlichen Recherche aufgefallen. Diese doppelte Größe scheint ein häufigeres Problem zu sein. Könnte das eine gemeinsame übliche Ursache haben?
3a) Ergibt ein negativer Eintrag 'clusters_per_mft_record' technisch überhaupt Sinn? Was wäre ein typischer Wert?
3b) Wie könnte es dazu kommen? Gibt es hierfür typische Ursachen?
4) Sind die Ergebnisse typisch für ein Löschen der Partitionstabelle oder einen 'Secure Erase'?
Leider hatte ich mein erstes Log versehentlich überschrieben. Da hatte ich die etwa 10 Stunden dauernde Schnellanalyse mit GPT durchlaufen lassen. Das Ergebnis war effektiv das selbe (Partition zu groß und Dateisystem nicht auslesbar).
Ich wäre für jede Richtigstellung, jede Antwort sowie jeden hilfreichen Kommentar oder einschlägigen Erfahrungsbeitrag sehr dankbar.