Hallo, mein Schwager hat im imager aus Versehen statt der Micro SD Karte sein Laufwerk D: zum schreiben ausgewählt. Laut seiner Aussage hat er es noch bevor die Prozentanzeige 1% anzeigte bemerkt und den Vorgang abgebrochen. Nun ist die orsprüngliche Partition nicht mehr zu sehen, was kann man in so einem Fall machen?
Lieben Gruß
new
NTFS Partition retten
-
new(butnot)bie -
11. November 2021 um 20:17 -
Unerledigt
-
-
NTFS Partition retten? Schau mal ob du hier fündig wirst!
-
Aha D: könnte in Windows sein ich dachte das kann nur in Linux passieren
Da wird man nicht gefragt und nochmal gefragt, dd + Enter und es ist passiert.
-
Die Datensicherung von D: verwenden
Servus !
-
RTFM Ohne mich wirklich im Detail damit, speziell was diesbezüglich NTFS angeht, auszukennen... Könnte man da nicht mit GParted unter Laufwerk >> Datenrettung versuchen sein Glück versuchen?
Ich gehe jedenfalls von einer externen USB-HDD aus.
-
Es gibt auf Linux ein Tool mit dem Namen testdisk. Damit habe ich mal ein gesamtes Partitionslayout welches ich aus Versehen auf einem Windowsrechner gloescht habe wiederhergestellt.
Da waren es aber nur die Partitionsinformationen. Bei Dir wurde die Partition selbst ueberschrieben. ich wuerde es mal mit testdisk probieren aber ehrlich gesagt habe ich keine grossen Hoffnungen die Partition wieder sichtbar und funktionsfaehig zu machen
-
Moin new(butnot)bie,
bevor der Schwager irgendwas mit der Platte macht, sollte er eine Kopie anfertigen.
Da gibt es von der Zeitschrift C't einen Rettungs-Stick für Windows. Da ist alles drauf was man in so einem Fall braucht.
73 de Bernd
-
Wenn dd schon zu schreiben begonnen hat, ist zumindest einmal die ursprüngliche Partition Table weg, bzw. mit den dd Daten überschrieben. Wenn es eine GPT war, sollte sich am Plattenende eine Kopie davon befinden.
Wenn nur eine Partition vorhanden war, muss man den Anfangssektor vorerst raten (1024, 2048 ?).
Wenn es eine Windows System-HD war, befinden sich vor der eigentlichen "Datenpartitione" noch weitere kleinere. Dann könnte man mit parted nach einem Partitionsanfang suchen, und den in die Partitionstabelle übernehmen. NTFS hat, wie EXT4 (und FAT auch) übrigens zwei Metadatenblöcke. Der zweite (Reserve-)Block beginnt bei NTFS mit einem ziemlich grossen Offset vom Startsektor entfernt. Wenn der erste Sektor der NTFS Partition bekannt ist, kann mit den mitinstallierten NTFS Tools versucht werden mit dem zweiten Metadatenblock zu starten.
Wenn dd auch den zweiten Metadatenblock überschrieben hat, sollte es noch möglich sein mit Sleuthkit & CO die Daten, die noch von dd verschont blieben, wiederherzustellen.
Servus !
-
Mir ist sowas auch vor einiger Zeit -- allerdings unter Linux -- passiert und ich hatte viel Glück im Unglück. Auch ich habe dieses testdisk verwendet. Je nachdem, wie schnell der Schwager den Stecker zog, sehe ich in der beschriebenen Konstellation aber eher schwarz.
1. Unbedingt (mit dd oder einem Windows-Tool) ein 1:1-Image der Festplatte auf eine andere gleich große Platte ziehen. (Die kann man dann künftig als Backupmedium verwenden)
2. Aus einem Linux-Bootstick ein Minimalsystem mit testdisk erstellen
3. Einen Versuch über meinen Weg starten: Ich habe es im Thread relativ detailliert beschrieben.
4. Seitdem ziehe ich (mit dd) regelmäßig(?) 1:1-Backups aller produktiven Festplatten im Haushalt. Achtung: DAU-Lösung!
Viel Glück!
-
Meine Vorgehensweise wäre folgende:
- mit dd die Rohdaten in eine Datei kopieren
- von der Datei ggf. auch noch mal eine Kopie machen
- Testdisk auf das Image loslassen und hoffen. Partitionen wieder herstellen.
- PhotoRec auf die geretteten Partitionen loslassen
Alternativ kann man versuchen, das Image mit den wiederhergestellten Partitionen als Blockdevice einzuhängen.
- die Datei mit sudo losetup -f -P --show backup.img als Blockdevice einhängen. losetup.8.html
- Der Pfad zum Blockdevice wird ausgegeben /dev/loopXpY (X == Nummer des loopdevces, Y == Partition)
- z.B.: mount /dev/loop0p1 /mnt/recovery
Folgendes Beispiel setzt eine funktionierende Linux-Installation mit genügend freien Speicherplatz und installiertem testdisk und photorec voraus:
Code
Alles anzeigen# 1) Rohdaten von /dev/sdX nach backup.img kopieren # 1 MiB Blockgröße sudo dd if=/dev/sdX of=backup.img bs=1M # Datei backup.img gehört dem user root # um z.B. als user pi damit arbeiten zu können chown pi backup.img # Festplatte kann nun wieder entfernt werden # 2) Testdisk testdisk backup.img # 3) PhotoRec photorec backup.img
Eigentlich sollte jeder diese Tools bei seiner Lieblingsdistribution installiert haben. Datenverluste gibt es immer wieder. Durch Software oder durch Hardware.
-
Durch Software oder durch Hardware.
oder Menschen
-
Wir hatten schon mal das Thema dd und unbeabsichtigter falscher Aufruf. Leider finde ich den Thread nicht mehr. Dort war eine Loesung beschrieben wie man noch geprompted wird bevor dd loslegt.
-
War das nicht einfach ein Skript, welches dd aufruft? Dort kann man beliebige Sicherheitsabfragen und Ausgaben machen, bevor dd startet.
-
Dort war eine Loesung beschrieben wie man noch geprompted wird bevor dd loslegt.
Und das nächste Mal sitzen sie ein einem Rechner der nicht fragt und dann ... Peng!
Lieber sensibilisieren, man kann das verhätscheln auch übertreiben.
-
man kann das verhätscheln auch übertreiben.
Muss ein Jeder fuer sich selbst entscheiden. Richtig waere dd mit einem prompt "Ary you sure" zu versehen. Aber auch das schuetzt nicht 100%.
Ich denke jeder der einmal die falsche Partition bei dd ausgewaehlt hat wird anschliessend immer zweimal verifizieren dass das Ziel richtig ist. Dann braucht man auch den Prompt nicht mehr.
Und ich gestehe: Mir ist das auch einmal passiert Seitdem aber nicht mehr. -
-
Also ich schätze mal, "als Laie", dass bei einer SSD und dd alles weg ist
Weil es Chips sind und keine Magnet-Platte. Für Linux gibt es "secure-delete" um es gründlich zu löschen (mindestens 7 Mal) damit die Platte entsorgt werden kann. Vielleicht kann es das FBI es wiederherstellen wenn nicht gleich "secure-delete" verwendet wird?
Ich hab hier ein Terrabyt imge seit Jahren, um die CD Images von meinen 700 + Musik-CD's zu retten. Die Option ist ein Woche lang mit 2 Laufwerken gleichzeitig es nochmal zu rippen, oder die das Terra-Byte image zu scannen.
-
-
*edit*
Es kommt darauf an wieviel Zeit man verwenden will und wie wichtig es einem ist (verkürzt)
tsk_recover kannte ich bis jetzt nicht, aber weil es in sleuthkit drin ist würde ich das probieren (bin aber Laie)
-
Wie kommt Ihr alle auf "dd" ??
Der Schwager hat doch den Imager benutzt, da gibts kein DD und man wird vorher nochmal gewarnt, ob man wirklich auf das gewünschte Laufwerk schreiben möchte.
Da hätte auch eine "dd" Warnung nix geholfen.Aber auch ich kann nur dazu raten, mit einem HD Imager die Platte zu kopieren und dann über die Kopie dann testdisk laufen zu lassen.
-
-
Jetzt mitmachen!
Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!