Schritt für Schritt Wiederherstellungsbeispiel

From CGSecurity
Jump to: navigation, search

En.png english version Cn.png chinese version De.png deutsche Version Es.png versión español Fr.png version française Ir.png ورژن فارسی It.png versione italiana Ro.png versiunea română Ru.png Русская версия Ua.png Українська версія


Dieses Wiederherstellungsbeispiel führt in TestDisk Schritt für Schritt durch die Wiederherstellung einer verlorenen und der Reparatur einer korrupten Partition.

Problembeispiel

Wir haben eine Festplatte mit 36 GB und 3 Partitionen. Unglücklicherweise:

  • Der Bootsektor der primären Partition wurde beschädigt und
  • eine logische NTFS-Partition wurde versehentlich gelöscht.

Dieses Wiederherstellungsbeispiel führt in TestDisk Schritt für Schritt durch die Wiederherstellung der 'verlorenen' Partitionen mit:

  • Neuschreiben eines korrupten NTFS-Bootsektors, und der
  • Wiederherstellung einer versehentlich gelöschten logischen NTFS-Partition.

Die Wiederherstellung einer FAT32-Partition kann durch das Ausführen mit genau den gleichen Schritten wie bei einer NTFS-Partition erfolgen. Beachte bitte auch die anderen Wiederherstellungs-Beispiele. Für Informationen zu FAT12, FAT16, ext2/ext3, HFS+, ReiserFS und andere Partitionstypen benutze bitte den Verweis zu Ausführen von TestDisk.

Siehe auch: " Fehler in der Partitionstabelle mit TestDisk erkennen und reparieren".

Bedingung:

  • TestDisk muß mit "Administratorberechtigungen" ausgeführt werden

Wichtige Hinweise für das Verwenden von TestDisk:

  • Navigieren in TestDisk erfolgt ausschließlich über die Pfeil und Bildlauftasten!
  • Um fortzufahren bestätige deine Auswahl mit der Eingabetaste.
  • Um zur vorherigen Anzeige zurückzukommen oder TestDisk zu beenden, benutze die q (Quit)-Taste.
  • Um Änderungen unter TestDisk zu speichern, musst du sie mit y für (Ja) und/oder der Eingabetaste bestätigen, und
  • Um tatsächlich Partitionsdaten in den MBR zu schreiben, musst du das Menü "Write" auswählen und mit der Eingabetaste bestätigen

Symptome

RAW-Format (Read And Write)

Wenn die Festplatte eine primäre Partition mit Betriebssystem beinhaltet, würde diese sehr wahrscheinlich nicht mehr booten, da der Bootsektor korrupt ist. Wenn die Festplatte aber ein zweites (Daten)-Laufwerk war, oder die bootfähige Festplatte kann an einen anderen Computer zum Beispiel an einem secondary IDE-Anschluß (an dem normalerweise CD/DVD-Laufwerke angeschlossen sind, können folgende Symptome beobachtet werden:

  1. Der Windows Explorer oder die Datenträgerverwaltung zeigt die erste Partition als RAW oder unformatiert an und Windows fragt: Das Laufwerk ist nicht formatiert, möchten Sie es jetzt formatieren?
    [Dieses sollte nie gemacht werden, ohne genau zu wissen warum]
  2. Eine logische Partition fehlt . In Windows-Explorer ist dieses logische Laufwerk nicht mehr vorhanden. Die Windows-Datenträgerverwaltung zeigt jetzt nur noch einen "nicht zugeordneten Speicher" an, auf dem sich die logische Partition vorher befunden hatte.
  3. Die typische Laufwerksbezeichnung z.B. "Daten" fehlt, die man dem Laufwerk selbst gegeben hat. Stattdessen erscheint oft eine leere Laufswerksbezeichung.

Das TestDisk-Programm ausführen

Wenn TestDisk noch nicht installiert ist, kann es hier heruntergeladen werden. Extrahiere die Dateien vom Archiv, einschließlich der Unterverzeichnisse.

Um Dateien von einer Festplatte, USB-Stick oder Smartcard ... wiederherzustellen, werden entsprechende Rechte um auf die Datenträger zuzugreifen vorrausgesetzt.

  • dos.png Unter Dos, führe TestDisk.exe aus
  • win.png Unter Windows, starte TestDisk (ie testdisk-6.9/win/testdisk_win.exe) von einem Konto in der Administrator-Gruppe. Unter Vista, führe Rechtsklick und "als Administrator ausführen" aus, um TestDisk zu starten.
  • linux.png Unter Unix/Linux/BSD, muß TestDisk als root ausgeführt werden (ie. sudo testdisk-6.9/linux/testdisk_static)
  • macosx.png Unter MacOSX, wenn du nicht root bist, TestDisk (ie testdisk-6.9/darwin/TestDisk) wird sich selber mit sudo neu starten, wenn du es von deiner Seite aus bestätigst.
  • os2.png Under OS/2, TestDisk kann nicht mit physikalische Festplatten umgehen, leider nur mit Disk-Images, sorry.

Um eine Partition von einem Datenträger wiederherzustellen oder ein Dateisystem-Image zu reparieren, führe folgendes aus:

  • testdisk image.dd um ein RAW-Laufwerks-Image zu schneiden
  • testdisk image.E01 um Dateien von einen Encase EWF-Image wiederherzustellen.
  • testdisk 'image.E*' wenn das Encase-Image in mehrere Dateien aufgesplittet ist.

linux.png macosx.png Um ein Dateisystem das nicht in TestDisk gelistet ist zu reparieren, führe testdisk device aus, das heißt

  • testdisk /dev/mapper/truecrypt0 um NTFS oder FAT32 Bootsektor-Dateien von einer TrueCrypt-Partition zu reparieren. Die selbe Methode funktioniert auch mit einem Dateisystem, das mit cryptsetup/dm-crypt/LUKS verschlüsselt wurde.
  • testdisk /dev/md0 um ein Dateisystem zu reparieren, das auf einem Linux Raid-Laufwerk liegt.

Log-Datei erstellen

menu create

Auf dieser Anzeige kann gewählt werden, ob eine testdisk.log-Datei erstellt wird, an einer existierenden Log-Datei die Daten angehängt werden oder ob keine Log erstellt wird.

  • Wähle Create, es sei denn es gibt einen Grund um Daten an einer existierenden Log-Datei anzuhängen, oder wenn TestDisk von einem Read Only (nur-lesen)-Datenträger ausgeführt wird und nicht gespeichert werden kann.
  • Bestätige mit der Eingabetaste.

Festplatten-Auswahl

Alle Festplatten sollten entdeckt und in TestDisk mit der korrekten Größe gelistet sein:

disk selection
  • Benutze die Pfeil nach oben/unten-Tasten um die Festplatte mit der/n verlorenen Partiton/en auszuwählen.
  • Bestätige mit der Eingabetaste.

Auswahl des Partitionstabellen-Typs

TestDisk zeigt die Partitionstabellen-Typen an.

menu partition table type
  • Wähle bitte den entsprechenden Partitionstabellen-Typ aus, normalerweise ist der Standard-Wert der richtige, da TestDisk den Partitionstabellen-Typ automatisch entdeckt.
  • Bestätige mit der Eingabetaste.

Gegenwärtige Partitionstabellen-Status

TestDisk zeigt die Menüs an (siehe auch TestDisk Menüpunkte).

menus
  • Verwende das Standardmenü "Analyse", um deine gegenwärtige Partitionsstruktur zu untersuchen und um nach verlorenen Partitionen zu suchen.
  • Bestätige bei Analyse mit der Eingabetaste um fortzufahren.
  • Jetzt wird die gegenwärtige Partitionsstruktur gelistet.

Überprüfe deine jetzige Partitionsstruktur auf verlorene Partitionen und Fehler.

Analyse

Die erste Partition ist zweimal gelistet, das auf eine korrupte Partition oder einen ungültigen Partitionstabelleneintrag hinweist.
Invalid NTFS boot (ungültiges NTFS Boot) weist auf einen fehlerhaften Bootsektor und ein korruptes Dateisystem hin.
Nur eine logische Partition (label Partition 2) ist in der erweiterten Partition verfügbar. Eine logische Partition wird vermisst.

  • Bestätige bei Quick Search um fortzufahren.

Die schnelle Suche "Quick Search" für Partitionen

vista check
  • Auf dieser Anzeige kannst du mit y für ja oder n für nein bestätigen, ob du nach Partitionen die unter Windows Vista erstellt

wurden, suchen lassen möchtest. Wenn du unsicher bist, bestätige mit y.

TestDisk zeigt die ersten Ergebnisse in Echtzeit an.
quick search
(Klicke auf thumb um das Bild anzuzeigen).

Während der Quick Search (schnellen Suche) fand TestDisk zwei Partitionen, einschließlich der vermißten Partition mit der Bezeichnung Partition 3.

first results
  • Markiere die Partition und drücke p um die Dateien zu listen (um zur vorigen Anzeige zurückzukommen, drücke q für Quit).

Alle Verzeichnisse und Daten werden korrekt angezeigt.

  • Drücke die Eingabetaste um fortzufahren.

Die Partitionstabelle abspeichern oder für mehr Partitionen suchen ?

menu search!
  • Wenn alle Partitionen bereits vorhanden sind und die Daten korrekt angezeigt wurden, solltest du gleich zum Menü Write gehen und die Partitionsstruktur sichern. Das Menü Extd Part gibt dir die Möglichkeit zu entscheiden, ob die erweiterte Partition den gesamten verfügbaren oder nur den erforderlichen (minimalen) Speicherplatz benutzt.
  • Da die erste Partition immer noch vermißt wird, markiere das Menü Deeper Search (Tiefere Suche) (wenn nicht bereits schon automatisch geschehen) und drücke die Eingabetaste um fortzusetzen.

Eine Partition fehlt immer noch: Deeper Search (Die tiefere Suche)

Die tiefere Suche Deeper Search sucht um mehr Partitionen zu entdecken, nach jeglichen FAT32-Backup-Bootsektor, NTFS-Backup-Boot-Superblock und ext2/ext3-Backup-Superblock,

dabei wird jeder einzelne Cylinder gescannt.
quick search
(klicke auf thumb).

Nach der tieferen Suche "Deeper Search", werden die Ergebnisse wie folgt angezeigt:
Die erste Partition "Partition 1" wurde anhand des Backups vom Bootsektor gefunden. Dieses wird auch ganz unten auf der Anzeige in der letzten Zeile mit der Meldung "NTFS found using backup sector!," -> (NTFS unter Verwendung des Backup vom Bootsektor gefunden) und der Größe der Partition angezeigt.
Die Partition muß dabei markiert sein.
Die "Partition 2" wird zweimal mit unterschiedlicher Größe angezeigt.
Beide Partitionen werden mit dem Status D für deleted (gelöscht) dargestellt, da sie sich überlappen.

results deeper search!
  • Markiere die erste Partition Partition 2 und drücke p um die Daten anzuzeigen.
Das Dateisystem der oberen Partition (Name Partition 2) ist beschädigt
damaged file system
(klicke auf thumb).
  • Drücke q für Quit um zur vorigen Anzeige zurück zu gelangen.
  • Belasse die Partition Partition 2 mit dem beschädigten Dateisystem als D(für gelöscht) markiert.
  • Markiere die zweite Partition Partition 2 darunter und
  • Drücke p um die Dateien aufzulisten.
list files

Es funktioniert, du hast die korrekte Partition gefunden!

  • Benutze den Links/Rechts-Pfeil um in deine Ordner zu navigieren und deine Daten auf Richtigkeit zu überprüfen

Beachte: Bei FAT ist der Verzeichniseintrag auf 10 Cluster beschränkt, einige Dateien werden deshalb nicht erscheinen, es beeinflusst aber nicht die Wiederherstellung.

  • Drücke q für Quit um zur vorigen Anzeige zurück zu gelangen.
  • Verfügbare Statuse sind Primär), * (Stern) bootfähig, Logisch und D für deleted -> gelöscht.

Benutze die Links/Rechts-Pfeiltaste, um den Status der ausgewählten Partition auf L(ogical) (für logisches Laufwerk, siehst du ganz links) zu setzen.

set partition to recover

Hinweis: Wie erkenne ich eine primäre Partition oder ein logisches Laufwerk?
Beachte: Wenn eine Partition als * (Stern für bootfähig) angezeigt wird, und von dieser Partition nicht gebootet wird, kann diese Partition auf P für nur primär gesetzt werden.

  • Bestätige mit der Eingabetaste um fortzusetzen.

Partitionstabellen-Wiederherstellung

Es ist jetzt möglich, die neue Partitionsstruktur zu schreiben.
Beachte: Die erweiterte Partition (E extended LBA) ist hier automatisch gesetzt. TestDisk erkennt dieses anhand der unterschiedlichen Partitionsstruktur.

menu write
  • Bestätige bei Write mit der Eingabetaste, y und Ok.

Jetzt sind alle Partitionen in der Partitionstabelle registriert.

Wiederherstellung des NTFS-Bootsektors

Der Bootsektor der ersten Partition mit Name Partition 1 ist noch beschädigt. Es ist Zeit, dieses in Ordnung zu bringen. Der Status des NTFS-Bootsektors ist bad (schlecht) und das Backup vom Bootsektor (backup boot sector Ok) wird gültig angezeigt. Auch sind beide Sektoren nicht identisch (sectors are not identical).

backup bs
  • Um das Backup des Bootsektors über den Bootsektor zu kopieren, wähle Backup BS aus, bestätige mit der Eingabetaste, bestätige weiter mit y und der Eingabetaste bei Ok.

Mehr Informationen über die Reparatur des Bootsektors unter Ausführen von TestDisk und TestDisk Menüpunkte).
Die folgende Meldung wird angezeigt:

after backup bs

Der Bootsektor und das Backup vom Bootsektor sind nun beide OK und identisch (identical): der NTFS-Bootsektor wurde erfolgreich wiederhergestellt.

  • Bestätige bei Quit mit der Eingabetaste.

Du erhältst dann folgende Anzeige.

reboot
  • Bestätige bei OK mit der Eingabetaste und beende Testdisk jeweils mit Quit.
  • Um auf die Daten wieder zuzugreifen, muß der Computer neu gestartet werden.

Wiederherstellung gelöschter Dateien

TestDisk kann

Wenn es für andere Dateisystem nicht funktioniert, kann PhotoRec, ein auf Signaturen basierendes Dateiwiederherstellungs-Hilfsprogramm versucht werden.


Zurück zur TestDisk-Hauptseite