Mit Win32DiskImager externe Festplatte überschrieben

  • https://www.cgsecurity.org/wik…_NTFS_Boot_and_MFT_Repair


    Repair An NTFS MFT


    ... If Microsoft's Checkdisk (chkdsk) failed to repair the MFT, run TestDisk. In the Advanced menu, select your NTFS partition, choose Boot, then Repair MFT. TestDisk will compare the MFT and MFT mirror (its backup). If the MFT is damaged, it will try to repair the MFT using the backup. If the MFT backup is damaged, it will use the main MFT.

    If both MFT and MFTMirr are damaged and thus cannot be repaired using TestDisk, you might want to try commercial software like ...



    Servus !


    PS: Der "MTF Mirror" beginnt wahrscheinlich an einem Sektor, der sich aus den Gesamtsektoren des NTFS Filesystems errechnet. (Ist bei EXT4 jedenfalls so). Falls der MTF Mirror von testdisk nicht gefunden wird, wäre das Partitionsende in 2048/4096 Sektorschritten bis zum 2 TB Plattenende zu erhöhen.

    Wer nichts weiß, muss alles glauben.

  • Hallo RTFM,

    sorry, daß ich so lange fort war (Visages Villages von Agnes Varda, absolut empfehlenswert)


    Daß im BIOS/MBR die Partitiontable enthalten ist habe ich übersehen.

    Vielen Dank für deine Hilfe.


    ich werde Deinen Link studieren.

    RTFM beantwortest Du mir ausnahmsweise bitte noch 2 Fragen? (1.Frage, 2.Frage)

    Repair An NTFS MFT

    1.Frage: Reparieren der 1.Partition der 4TB-Festplatte?

    Mich irritiert, daß testdisk MBRs auch im Partitionen sucht.


    Ich beantworte nur noch Deine Frage:

    Die Frage, ob Du die 2 TB Platte "gebraucht" gekauft hast, hast Du nicht beantwortet

    Die habe ich originalverpackt, bei Saturn oder Conrad vor langer Zeit (wahrscheinlich als es die "2TB WD Elements"*1 (hat USB 3) um 100-150€ gab, im Laden gekauft.

    *1 keine Werbung, sondern Zeitangabe


    mit Novell-Netware habe ich nichts zu tun gehabt.


    Ich halte es für möglich eine Partition für VMs bei einem Lehrgang angelegt zu haben, kann mich aber nicht mehr erinnern.

    Die Kopie am Plattenende der 2 TB Platte ist für die Rekonstruktion der 2 TB Platte nicht brauchbar.

    2.Frage: Weil der Versuch erfolglos blieb, oder aus einem andern Grund?


    Du erinnerst Dich, daß am Plattenende 2 MBRs stehen

    • einer an skip=<size>-1 und
    • einer an skip=<size>-4096-1

    Die MBR-Anfänge unterscheiden sich auch leicht:

    ?interessanter Sektor: FF 5F E0 E8, 2048=0x800 Sektoren vor dem MBR, nein ist 0x00 gefüllt
    MBR-Sektor-1=0xE8E0.67FF

    ?interessanter Sektor: FF 6F E0 E8, 2048=0x800 Sektoren vor dem MBR, nein ist 0x00 gefüllt
    MBR-Sektor-1=0xE8E0.77FF


    Schönen Gruß, kle

  • zur 1.Frage:
    Aus #28 habe ich unkritisch geschlossen, das der GPT bei Windows MFT heisst, was rückwirkend betrachtet - nach Überfliegen der testdisk Homepage nicht richtig ist.


    zur 2.Frage:

    Für die 2 TB Platte hast Du in #41


    Gerät Boot Anfang Ende Sektoren Größe Kn Typ
    /dev/sdb1 218129509 1920119918 1701990410 811,6G 72 unbekannt

    /dev/sdb2 729050177 1273024900 543974724 259,4G 74 unbekannt

    /dev/sdb3 168653938 168653938 0 0B 65 Novell Netware 386

    /dev/sdb4 2692939776 2692991410 51635 25,2M 0 Leer


    geliefert. Das ist für mich unbrauchbar


    Conclusio:


    Mach was Du glaubst, mit oder ohne Dokumentation, auch ohne MFT Mirror mit dem Photo Rec Programm von Testdisk, oder mit dem Sleuth Kit Paket. Und wenn die 4 TB Disk unbrauchbar zerschossen ist, fang nochmals von vorne an. Dazu hast Du ja die originale 2 TB Platte. Musst halt wieder dd bemühen.



    Servus !

    Wer nichts weiß, muss alles glauben.

  • aus der Testdisk Anleitung:

    Rebuilding An NTFS Boot Sector On An NTFS Partition

    If both NTFS boot sectors are corrupted and you need to rebuild the NTFS boot sector, TestDisk searches the MFT (Master File Table: $MFT) and its backup ($MFTMirr). It reads the MFT record size, it computes the cluster size, and it reads the size of the Index Allocation Entry in the root directory index. Using all these values, TestDisk can provide a new boot sector. Finally it lets the user list the files before writing.

    ---schnipp/schnapp---

    Programm testdisk aufrufen.

    1. Laufwerk E: auswählen
    2. Advanced
    3. Partitions-Typ "NTFS" auswählen
    4. Boot
    5. Rebuild BS


    6. Dump
    7. Quit
    8. List
    9. Quit ... ich hätte jetzt den Bootsektor schreiben können - aber ohne Dateien scheint mir das sinnlos.

    Das "Rebuild BS" hat auch schon ziemlich Zeit gebraucht.

    Weil Quick Search nur Linux Patitionen gefunden hat, habe ich Analyze + Deep Search gestartet.

    Das dauert vorraussichtlich 4 Tage 9 Stunden

    in Deep Search zeigt er den Linux Partition typ (ext4) an, mit Quick Search hat er nur 'L' gezeigt. mal sehen ob mehr Partitionen erscheinen.


    Ich befürchte PhotoRec verwenden zu müssen

    Bisher habe icjh den Verdacht daß diese Linux-Partitionen zu meinen Image-Dateien gehören.

    Einmal editiert, zuletzt von kle ()

  • Die ersten 5GB der 2TB-NTFS-Festplatte sind durch ein Raspi-Image mit Win32DiskImager überschrieben.

    Der MBR am Ende der Festplatte ist unglaubwürdig.


    ich konnte mit Testdisk keine MFT oder Mirror MFT finden.


    Im Menu "Advanced" gab es nur "Rebuild BS". Dort wurden Partitions gesucht. Gefunden wurden dann die Boot-Sektoren von Image-Dateien und deren Partitions.


    Ich bin mir nicht sicher, ob Testdisk mit Image-Dateien zurechtkommt.


    Das Auswahlfeld "Repair MFT" habe ich nie gesehen.


    Von "Deeper Search" bin ich nach gut 4 Tagen in den Urwald geleitet worden.


    Gibt es die Möglichkeit das Ergebnis zwischenzuspeichern? (um die 4 Tage nur einmal zu warten)


    Testdisk empfiehlt "Zero Assumption Recovery" oder "GetDataBack", wenn man nicht weiterkommt.

    Habt ihr Erfahrungen?

    Gruß, kle

    Einmal editiert, zuletzt von kle ()

  • Du hast ein Abbild deiner Festplatte?

    An der kannst du ja Rum probieren oder?


    Wenn ja dann erstelle eine Partition und Formatiere die nur schnell!! Dann solltest du doch die Festplatte unter Windows Zugesicht bekommen. Dann kannst du einfach recuva nehmen und versuchen die Daten zu Retten.

    Einfach für uns hier aus dem Forum ist es immer direkt vor dem Problem zu stehen.

    Ich hatte selbiges Mal gehabt und mein Weg hatte bei mir immer geholfen.

    Wenn's brennt 112 hilft weiter!

  • kannst du ja Rum probieren

    na ja Saufen und Images restaurieren passt aber nicht zusammen


    Rum -> Substantiv, Alkohol, Schnaps

    rum, Abkürzung von herum


    https://www.duden.de/rechtschreibung/herum

    Grammatik als Verstärkung der Präposition »um«


    gemeint war wohl "rumprobieren" als Abkürzung von "herumprobieren"

    lasst die PIs am Leben !
    Energiesparen:
    Das Gehirn kann in Standby gehen. Abschalten spart aber noch mehr Energie, was immer mehr nutzen. Dieter Nuhr

  • jar


    Entschuldigung. Gib der blöden Handytastatur die Schuld..


    kle


    Hab den Thread nicht komplett gelesen. Bitte um Verzeihung:daumendreh2:..

    Nun ich würde die Festplatte 1:1 auf eine andere Festplatte klonen. Dann würde ich eine ganz neue Partion (auf der geklonten Festplatte) erstellen. Dann eine schnellformatierung (ntfs) durchführen.

    Dann lädst du dir Recuva herunter und machst einen deepscan auf alle Dateien.

    Diese stellst du dann auf eine weitere Festplatte wieder her.


    So sollte es funktionieren.. trotzdem solltest du nochmal in einer Liste schreiben, wo du gerade bist und wie dein stand gerade ist.

    Wenn's brennt 112 hilft weiter!

  • Hallo jar,

    im Moment habe ich höchstens Galgenhumor

    das war jetzt auch weniger an dich auch wenn du mein Mitgefühl hast und dir der Supergau passiert ist, wovor ich immer Horror habe wenn ich Win32DiskImager nutze. Da schaue ich immer 3x nach welcher Buchstabe meine SD ist.


    Nein es war im wesentlichen auf den Thread gemünzt:

    Behandlung von Thread's


    und da sollten wir uns helfen, man lernt auch durch Wiederholungen, ich brauchte 2 Jahre im Fachabi bis der Satz,


    "nach dem Komperativ kommt immer als"


    in mein Bewusstsein drang :lol:


    klar nervt es einige die ich ab und an verbessere, aber wenn wir uns Mühe geben und möglichst Vorbild sind vielleicht hilft es ja?


    das "Rum probieren" vs. "rumprobieren" (herumprobieren)

    lasst die PIs am Leben !
    Energiesparen:
    Das Gehirn kann in Standby gehen. Abschalten spart aber noch mehr Energie, was immer mehr nutzen. Dieter Nuhr

  • jar das hab ich schon mitbekommen, danke für das Mitgefühl.

    raspbastler diesen Zustand (2.-5.) habe ich mit Unterstützung von RTFM auf der 4TB-Festplatte eingerichtet. Die 1:1 Kopie mit dd war meine Idee, besser wäre eine Image-Datei gewesen. Mit der Image-Datei-Größe hatte ich Bedenken.

    1. 1:1 Kopie der 2TB-Festplatte auf die 4TB-Festplatte (dadurch habe ich die Originalformatierung UUID...)
    2. Boot-Sektor wiederhergestellt
    3. Partition #1 definiert bis kurz vor das Ende der 2TB-Festplatte.
    4. Partition #2 definiert bis 2048 Sektoren vor Ende der 4TB-Festplatte
    5. Partition #2 mit NTFS formatiert.

    Wie schon gesagt, das einzige was evtl. noch vorhanden sein kann ist die Mirror-MFT, nur wo?


    Ist der Algorithmus zur Berechnung, wo die Mirror MFT auf eine 2TB-Festplatte liegt, jemandem bekannt.


    Bei Heise habe ich die Kommentare zu Recuva gelesen. Für meinen Fall, gibt es wenig Hoffnung.

    Schönen Gruß, kle

  • kle


    Ich Stelle das Zuhause Mal nach. Ich nehme nen USB-Stick mit Daten drauf und Versuche dann alle Partitionen zu löschen und schnell zu formatieren (vorher überschrieben mit windiskimager).

    Wenn das funktioniert, dann kann ich dir ja auch den Weg zeigen wie ich es gemacht habe..

    Wenn's brennt 112 hilft weiter!

  • raspbastler USB-Sticks haben gewöhnlich kein NTFS-Filesystem sondern FAT32. Probiere mit einem NTFS formatierem USB-Stick.

    Allerdings: 5GB vom USB-Stick sind erheblich mehr als 5GB von der 2TB-Festplatte (wegen der Mirror MFT). Nimm ein kleineres Image z.B. raspbian-stretch-lite.

    Bin gespannt, was Du rausfindest.


    Jeglicher Schreibvorgang (schnellformatieren) auf dem zu rettenden Medium verbietet sich, bis die Daten gerettet sind.

  • kle


    Bitte Probiere DMDE auf deiner Kopierten Festplatte aus und versuche die Daten aufzuspüren.. Habe vergessen, dass Flashspeicher schwieriger zu recovern sind. Habe gerade keine HDD frei. Sorry.

    Wenn's brennt 112 hilft weiter!