NTFS Partition retten

  • Hallo, mein Schwager hat im imager aus Versehen statt der Micro SD Karte sein Laufwerk D: zum schreiben ausgewählt. Laut seiner Aussage hat er es noch bevor die Prozentanzeige 1% anzeigte bemerkt und den Vorgang abgebrochen. Nun ist die orsprüngliche Partition nicht mehr zu sehen, was kann man in so einem Fall machen?

    Lieben Gruß

    new

  • Es gibt auf Linux ein Tool mit dem Namen testdisk. Damit habe ich mal ein gesamtes Partitionslayout welches ich aus Versehen auf einem Windowsrechner gloescht habe wiederhergestellt.

    Da waren es aber nur die Partitionsinformationen. Bei Dir wurde die Partition selbst ueberschrieben. ich wuerde es mal mit testdisk probieren aber ehrlich gesagt habe ich keine grossen Hoffnungen die Partition wieder sichtbar und funktionsfaehig zu machen :no_sad:

  • Moin new(butnot)bie,

    bevor der Schwager irgendwas mit der Platte macht, sollte er eine Kopie anfertigen.

    Da gibt es von der Zeitschrift C't einen Rettungs-Stick für Windows. Da ist alles drauf was man in so einem Fall braucht.

    73 de Bernd

    Ich habe KEINE Ahnung und davon GANZ VIEL!!
    Bei einer Lösung freue ich mich über ein ":thumbup:"
    Vielleicht trifft man sich in der RPi-Plauderecke.
    Linux ist zum Lernen da, je mehr man lernt um so besser versteht man es.

  • Wenn dd schon zu schreiben begonnen hat, ist zumindest einmal die ursprüngliche Partition Table weg, bzw. mit den dd Daten überschrieben. Wenn es eine GPT war, sollte sich am Plattenende eine Kopie davon befinden.

    Wenn nur eine Partition vorhanden war, muss man den Anfangssektor vorerst raten (1024, 2048 ?).

    Wenn es eine Windows System-HD war, befinden sich vor der eigentlichen "Datenpartitione" noch weitere kleinere. Dann könnte man mit parted nach einem Partitionsanfang suchen, und den in die Partitionstabelle übernehmen. NTFS hat, wie EXT4 (und FAT auch) übrigens zwei Metadatenblöcke. Der zweite (Reserve-)Block beginnt bei NTFS mit einem ziemlich grossen Offset vom Startsektor entfernt. Wenn der erste Sektor der NTFS Partition bekannt ist, kann mit den mitinstallierten NTFS Tools versucht werden mit dem zweiten Metadatenblock zu starten.

    Wenn dd auch den zweiten Metadatenblock überschrieben hat, sollte es noch möglich sein mit Sleuthkit & CO die Daten, die noch von dd verschont blieben, wiederherzustellen.

    Servus !

    RTFM = Read The Factory Manual, oder so

  • Mir ist sowas auch vor einiger Zeit -- allerdings unter Linux -- passiert und ich hatte viel Glück im Unglück. Auch ich habe dieses testdisk verwendet. Je nachdem, wie schnell der Schwager den Stecker zog, sehe ich in der beschriebenen Konstellation aber eher schwarz.

    1. Unbedingt (mit dd oder einem Windows-Tool) ein 1:1-Image der Festplatte auf eine andere gleich große Platte ziehen. (Die kann man dann künftig als Backupmedium verwenden)

    2. Aus einem Linux-Bootstick ein Minimalsystem mit testdisk erstellen

    3. Einen Versuch über meinen Weg starten: Ich habe es im Thread relativ detailliert beschrieben.

    4. Seitdem ziehe ich (mit dd) regelmäßig(?) 1:1-Backups aller produktiven Festplatten im Haushalt. Achtung: DAU-Lösung!

    Viel Glück!

  • Meine Vorgehensweise wäre folgende:

    • mit dd die Rohdaten in eine Datei kopieren
    • von der Datei ggf. auch noch mal eine Kopie machen
    • Testdisk auf das Image loslassen und hoffen. Partitionen wieder herstellen.
    • PhotoRec auf die geretteten Partitionen loslassen

    Alternativ kann man versuchen, das Image mit den wiederhergestellten Partitionen als Blockdevice einzuhängen.

    • die Datei mit sudo losetup -f -P --show backup.img als Blockdevice einhängen. losetup.8.html
    • Der Pfad zum Blockdevice wird ausgegeben /dev/loopXpY (X == Nummer des loopdevces, Y == Partition)
    • z.B.: mount /dev/loop0p1 /mnt/recovery


    Folgendes Beispiel setzt eine funktionierende Linux-Installation mit genügend freien Speicherplatz und installiertem testdisk und photorec voraus:

    Eigentlich sollte jeder diese Tools bei seiner Lieblingsdistribution installiert haben. Datenverluste gibt es immer wieder. Durch Software oder durch Hardware.

  • Dort war eine Loesung beschrieben wie man noch geprompted wird bevor dd loslegt.

    Und das nächste Mal sitzen sie ein einem Rechner der nicht fragt und dann ... Peng!

    Lieber sensibilisieren, man kann das verhätscheln auch übertreiben.

    Wenn du nichts zu sagen hast, sag einfach nichts.

  • man kann das verhätscheln auch übertreiben.

    Muss ein Jeder fuer sich selbst entscheiden. Richtig waere dd mit einem prompt "Ary you sure" zu versehen. Aber auch das schuetzt nicht 100%.

    Ich denke jeder der einmal die falsche Partition bei dd ausgewaehlt hat wird anschliessend immer zweimal verifizieren dass das Ziel richtig ist. Dann braucht man auch den Prompt nicht mehr.

    Und ich gestehe: Mir ist das auch einmal passiert || Seitdem aber nicht mehr.

  • Also ich schätze mal, "als Laie", dass bei einer SSD und dd alles weg ist

    Weil es Chips sind und keine Magnet-Platte. Für Linux gibt es "secure-delete" um es gründlich zu löschen (mindestens 7 Mal) damit die Platte entsorgt werden kann. Vielleicht kann es das FBI es wiederherstellen wenn nicht gleich "secure-delete" verwendet wird?

    Ich hab hier ein Terrabyt imge seit Jahren, um die CD Images von meinen 700 + Musik-CD's zu retten. Die Option ist ein Woche lang mit 2 Laufwerken gleichzeitig es nochmal zu rippen, oder die das Terra-Byte image zu scannen.

    :)

  • Wie kommt Ihr alle auf "dd" ??

    Der Schwager hat doch den Imager benutzt, da gibts kein DD und man wird vorher nochmal gewarnt, ob man wirklich auf das gewünschte Laufwerk schreiben möchte.


    Da hätte auch eine "dd" Warnung nix geholfen.

    Aber auch ich kann nur dazu raten, mit einem HD Imager die Platte zu kopieren und dann über die Kopie dann testdisk laufen zu lassen.

    ;) Gruß Outi :D
    Pis: 2x Pi B (Rente) / 1x Pi B+ (Rente) / 1x Pi 2 B (Rente) / 2x Pi 3 B (RaspberryMatic / Repetier Server) / 2x Pi Zero 1.2 (B. Lite) / 2x Pi Zero 1.3 (B. Lite) / 2x Pi Zero W 1.1 (B. Lite) / 1x Pi Zero 2 (mal so, mal so) / 1x Pi 3 B+ (Tests) / 1x Pi 4 B 4GB (BW Lite (Webserver)) / Pi 400 (BW) / 1x Pi 5 (BW) / 2x Pi Pico / 2x Pi Pico W
    Platinen: Sense HAT / HM-MOD-RPI-PCB / RPI-RF-MOD / PiFi DAC+ V2.0 / TV HAT / Pi 5 Kühler HAT
    Kameras: orig. Raspberry Pi Camera Module V1 & V3 / PS3 Eye

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!