Vermutlich die ersten 15 MB der Festplatte überschrieben

TestDisk benutzen um verlorene Partitionen wiederherzustellen
Post Reply
Message
Author
Julie
Posts: 4
Joined: 03 Aug 2012, 09:15

Vermutlich die ersten 15 MB der Festplatte überschrieben

#1 Post by Julie » 04 Aug 2012, 12:16

Hi,

Ich habe versucht mit mir eine Live-Distro (Tiny Linux, Image nur 15MB) zu Rettungszwecken auf meinen
USB-Stick zu schreiben und hab dann für dd den falschen Pfad gewählt
sodass ich mir die Partitionstabelle auf meiner externen Festplatte
überschrieben habe. Ich hoffe hier ist noch was zu retten (mein Musik...).
Vorher hatte ich zwei Partitionen auf der HD:

Fat32 unverschlüsselt (da bin ich mir ziemlich sicher,da ich kein
HD-Filme auf die Platte kopieren konnte)
Irgendwas verschlüsselt (habe ich unter Ubuntu mal ausprobiert aber
nicht weiter benutzt)

Leider weiß ich nicht in welcher Reihenfolge die beiden auf der HD
lagen. Ich brauche allerdings nur die Fat32 zurück, ich vermute
verschlüsselte Partitionen sind auch ekelhaft zu behandeln.

Hier ist die Ausgabe von testdisk:
http://pastebin.com/4RKuWAf3

Leider konnte ich nirgendwo Dateien finden, außer diverse boot
partitionen von irgendwelchen Images die vermutlich noch auf der Platte
lagen.

Vielen Dank für eure Hilfe!

Sponsored links

User avatar
Fiona
Posts: 2836
Joined: 18 Feb 2012, 17:19
Location: Ludwigsburg/Stuttgart - Germany

Re: Vermutlich die ersten 15 MB der Festplatte überschrieben

#2 Post by Fiona » 06 Aug 2012, 07:52

Wieso bist du dir so sicher, das du nur den MBR überschrieben hast?
Wäre ja gut und könnte repariert werden.
Dein Link ist nur ein Auflistung, bitte test mal eine Diagnose ganz normal wie beschrieben zu machen und lade Bilder hoch.
Mache mal eine Diagnose nach dieser Anleitung;

Lade dir mal Testdisk Version 6.14-32bit für Windows.
Starte Testdisk bestätige bei dem Log-Datei-Screen mit Enter, wähle deine betroffene Festplatte aus und bestätige mit Enter, bestätige bei Partition Table Typ Intel, bestätige bei Analyse mit Enter und setze mir einen Screenshot.
Bestätige auch bei Quick Search mit Enter (wenn nötig wegen Vista-check mit y) und setze mir auch den Screen.
Markiere mal die betroffenen Partitionen und drücke p auf der Tastatur ob deine Daten angezeigt werden oder eine Fehlermeldung.
Zurück kommst du mit q drücken.

Wenn keine Partition mit Daten gefunden wurde;
Bestätige weiter bis du zum Menü kommst wo unten steht [Quit] Deeper [Search] [Write] und gehe mit dem Pfeil auf [Deeper Search] (tiefere Suche) und lasse es laufen.
Setze mir auch einen Screenshot.
Die betroffene Partition sollte wenn du den Screen machst markiert sein.

Markiere mal die betroffenen Partitionen und drücke p auf der Tastatur ob deine Daten angezeigt werden oder eine Fehlermeldung.
Zurück kommst du mit q drücken.

Viele Grüße

Fiona

Julie
Posts: 4
Joined: 03 Aug 2012, 09:15

Re: Vermutlich die ersten 15 MB der Festplatte überschrieben

#3 Post by Julie » 06 Aug 2012, 10:30

Hi Fiona,

Vielen Dank für Deine Antwort! Anbei drei Screenshots für die ersten Schritte. Die deep analysis dauert aufgrund der 1TB-Platte sehr lang, deswegen habe ich Sie noch nicht gestartet. Der vorherige Link sollte allerdings die Ausgabe darstellen. http://pastebin.com/4RKuWAf3 Ich habe dabei in den Partitionen die mir angezeigt wurden keine Dateien gefunden. Entweder waren die Ordner leer oder sie enthielten Linux-Image-Dateien (boot.elf etc).
Ich bin mir ziemlich sicher, dass ich nicht nur den MBR sondern auch ein paar andere Sektoren überschrieben habe. Ich habe am Wochenende über Advanced/Type->FAT32/Boot/Rebuild BS/ mich durch die Cluster gekämpft und dabei zwar das Root Directory nicht gefunden, aber eine handvoll Cluster gefunden,die Daten von mir beinhalten. Erster sinnvoller Eintrag war bei Cluster Nr. 5241507. Für vorherige Cluster hat mir das Programm nur C++/Java-Dateien angezeigt die vermutlich von dem Linux-Image stammen mit dem ich den ganzen Schlamassel angefertigt habe, in dem ich es auf die Festplatte kopiert habe. Ich habe dabei zudem rausgefunden, dass die letzten 25% keine Daten mehr "enthielten", sodass ich daraus schließe, dass dies die verschlüsselte Partition war und 250Gb enthielt. Der letzte Cluster von dem Ich noch Daten angezeigt bekommen habe, war Nummer 45247877. Am Wochenende habe ich dabei überlegt erstmal die Dateien einzeln zu retten, in dem Ich die Cluster jeweils als root-Dir setze und dann erstmal die Sachen runterkopiere, aber ob der vielzahl der Cluster war diese Prozedur nicht praktikabel, daher sieht man in dem einem Screenshot allerdings Dateien.
Zudem muss ich gestehen,dass ich mich von einem Typen im IRC verleiten hab lassen, der meinte, es müsste ausreichen einfach eine Fat32-Partition mit der gleichen Anfangsgrenze zu setzen und ich könnte die Dateien wieder lesen. Also hab ich eine Fat32-Partition über die gesamte Platte gemacht, aber das hat natürlich auch nichts geholfen, hoffentlich aber auch nichts beschädigt.

Vielen Dank nochmals für Deine Hilfe!
Attachments
screen3.png
screen3.png (48.12 KiB) Viewed 1692 times
screen2.png
screen2.png (35.93 KiB) Viewed 1692 times
screen1.png
screen1.png (31.48 KiB) Viewed 1692 times

User avatar
Fiona
Posts: 2836
Joined: 18 Feb 2012, 17:19
Location: Ludwigsburg/Stuttgart - Germany

Re: Vermutlich die ersten 15 MB der Festplatte überschrieben

#4 Post by Fiona » 06 Aug 2012, 12:33

Jetzt ist es mir klar!
TestDisk untersucht das Dateisystem und zeigt dir dann Verzeichnisse und Dateien an.
Gute Idee diese zu kopieren.
Wenn du Daten bei Rebuild BS siehst und dann mit y für ja bestätigst, könntest du hinterher auf List gehen und die Daten direkt in Testdisk kopieren.
Teste es mal und teile es mit.
Unter FAT werden gelöschte Dateien wenn du diese in TestDisk listest rot angezeigt.
Wenn nicht benötigt, kannst du sie mit h für hide/verstecken drücken ausblenden.
Unten am Screen sind alle Befehle zum kopieren, wenn du Daten listest.
Mag sein, das du Rebuild BS öfters für jeden gefundenen Pfad ausführen solltest/mußt.
Teste es einfach mal und teile es mit.

Viele Grüße

Fiona

Julie
Posts: 4
Joined: 03 Aug 2012, 09:15

Re: Vermutlich die ersten 15 MB der Festplatte überschrieben

#5 Post by Julie » 07 Aug 2012, 10:42

Hi,

Danke für die schnelle Antwort. Gibt es irgendeine Möglichkeit die Dateien in den Clustern auf einmal wieder herzustellen? Vielleicht jeden Cluster in einen Ordner. Ich habe einfach zu viele um die einzeln zu aktivieren (alleine das "scannen" bis zum jeweiligen Cluster dauert ewig).

User avatar
Fiona
Posts: 2836
Joined: 18 Feb 2012, 17:19
Location: Ludwigsburg/Stuttgart - Germany

Re: Vermutlich die ersten 15 MB der Festplatte überschrieben

#6 Post by Fiona » 07 Aug 2012, 11:26

Bei dir kann es möglich sein, wenn bei Fat ein Pfad mit Dateien gefunden wird, kannst du nur mit y bestätigen und den Rest mit a für Abort oder n für No beantworten.
Diesen Pfad solltest du komplett kopieren können.
Wenn du dann die Dateien listest, kannst du mit a für all alle markieren.
Wenn einige Dateien auch rot angezeigt werden, sind gelöschte Dateien und du diese nochnt benötigst, kannst du sie mit h für hide/verstecken drücken, ausblenden.
Auch mal Infos zum kopieren hier;
https://www.computerbase.de/artikel/lau ... estdisk/7/
Ist zwar NTFS und weicht ein wenig ab, stimmt aber im großen ganzen.

Wenn du ein Teil kopiert hast, solltest du wieder Rebuild BS ausführen, wenn mehrere Pfade mit Dateien angezeigt werden.
Ich vermute mal, da du am Anfang in das Dateisystem reingeschrieben hast, wäre es möglich das deine Ordnerstruktur beschädigt ist und du es deshalb so lösen könntest.
PhotoRec hält Dateinamen und Ordnerstruktur nicht bei, kann aber bei Bilder mp3 etc.. helfen.
PhotoRec ignoriert das Dateisystem und scannt deine Platte nach Dateien.
Infos;
http://www.cgsecurity.org/wiki/PhotoRec ... Cr_Schritt

Teile es insoweit mal mit.

Viele Grüße

Fiona

Post Reply

Who is online

Users browsing this forum: No registered users and 0 guests