Wiederherstellungs-Beispiele

From CGSecurity
Jump to: navigation, search

En.png English De.png Deutsch Es.png Español Fr.png Français Ru.png Русский


Hier werden einige komplexe Wiederherstellungsbeispiele mit TestDisk aufgeführt.

Der Typ des Dateisystems ist RAW - Wiederherstellung eines beschädigten FAT-Bootsektors

Analyse Disk 80 - CHS 3737 255 63 - 29313 MB (Enh BIOS mode)
1 * FAT32                    0   1  1   382 254 63    6152832 [LOKAL DISK]
2 E extended LBA           383   0  1  3736 254 63   53882010
Partition sector doesn't have the endmark 0xAA55
5 L FAT32                  383   1  1  3736 254 63   53881947
5 L FAT32                  383   1  1  3736 254 63   53881947

Der Bootsektor der logischen Fat32-Partition ist beschädigt. (Windows Fehlermeldung ist gewöhnlich Der Typ des Dateisystems ist RAW. oder Der Datenträger in Laufwerk D: ist nicht formatiert. Soll er jetzt formatiert werden?) Im Menü Advanced, wähle die Partition:

Interface Advanced
1 * FAT32                    0   1  1   382 254 63    6152832 [LOKAL DISK]
2 E extended LBA           383   0  1  3736 254 63   53882010
5 L FAT32                  383   1  1  3736 254 63   53881947
Boot sector
test_FAT :
Partition sector doesn't have the endmark 0xAA55
Backup boot sector
OK
First sectors (Boot code and partition information) are not identical.
Second sectors (cluster information) are not identical.
Third sectors (Second part of boot code) are not identical.

Der Backup-Bootsektor ist gültig, wähle daher Backup BS um den Backup-Bootsektor über den Bootsektor zu kopieren. Wenn das Menü Backup BS nicht verfügbar ist, wähle RebuildBS.

Wiederherstellung einer verlorenen und beschädigten NTFS-Partition

Analyse Disk 81 - CHS 2434 255 63 - 19092 MB (Enh BIOS mode)
No partition is bootable

Keine Partition ist verfügbar.

Analyse Disk 81 - CHS 2434 255 63 - 19092 MB (Enh BIOS mode)
L FAT32                 1275   1  1  2433 254 63   18619272 [NO NAME]

Nur die zweite Partition wurde gefunden. Wähle Deeper Search um zu versuchen mehr Partitionen zu finden.

Analyse Disk 81 - CHS 2434 255 63 - 19092 MB (Enh BIOS mode)
* HPFS - NTFS              0   1  1  1274 254 63   20482812
L FAT32                 1275   1  1  2433 254 63   18619272 [NO NAME]

Beide Partitionen wurden gefunden, aber die erste NTFS wurde unter Verwendung des Backups vom Bootsektor gefunden. Daher muß der Bootsektor wiederhergestellt werden. Wähle Write und als nächstes wähle Backup BS um den Backup-Bootsektor über den Bootsektor zu kopieren.

Wiederherstellung eines Dell-Computers

Dell-Computer haben eine spezielle Partition die DellUtility heißt. Es ist eine Fat16-Partition, die nicht aus Windows heraus sichtbar ist, da der Partitions-Typ DE ist.

Disk 80 - CHS 4865 255 63 - 38162 MB (Enh BIOS mode)
* FAT16 >32M               0   1  1     3 254 63      64197 [DellUtility]
P HPFS - NTFS              4   0  1  4864 254 63   78091965

Nach Analyse , wähle die DellUtility-Partition, benutze die Taste 'T' um den Partitions-Typ auf DE zu ändern. Benutze die Pfeiltasten um von der NTFS-Partition zu booten.

Disk 80 - CHS 4865 255 63 - 38162 MB (Enh BIOS mode)
P Dell Utility             0   1  1     3 254 63      64197 [DellUtility]
* HPFS - NTFS              4   0  1  4864 254 63   78091965

Problem mit der Platten-Geometrie - Wenn alle Partitionen gelöscht sind

In diesem Fall sind alle Partitionen gelöscht worden. TestDisk zeigt keine Partition! Der Benutzer führte testdisk /debug /log aus. Auszug aus testdisk.log

Analyse Disk /dev/hdb - CHS 5169 240 63 - 38161 MB
No partition is bootable
search_part()
Disk /dev/hdb - CHS 5169 240 63 - 38161 MB
FAT32 at 0/1/1
heads/cylinder 255 (FAT) != 240 (HD)

Eine FAT32-Partition ist gefunden worden, aber es gibt eine Warnung betreffend der Festplattengeometrie. Das BIOS hatte wegem den Inhalt des MBR (in diesem Fall leer) eine andere Festplattengeometrie ausgewählt. Unter TestDisk wähle Geometry, weise der Anzahl von Heads 255 statt 240 zu und führe Analyse wieder aus.

Zwei wiederherzustellende FAT32-Partitionen

Es gab zwei FAT32 Partitionen auf der Festplatte, die gelöscht wurden. Nach dem Ausführen von Analyse und Search! wurde von TestDisk nur die zweite wieder gefunden.

Disk 81 - CHS 525 255 63 - 4118 MB
L FAT32                  384   1  1   524 254 63    2265102

Unter Verwendung von A, wird die was wir denken vermisste Partition hinzugefügt, eine neue Partitionstabelle ist mit zwei FAT32 geschrieben worden:

1 P FAT32                    0   1  1   383 254 63    6168897
2 E extended               384   0  1   524 254 63    2265165
5 L FAT32                  384   1  1   524 254 63    2265102

Unter Verwendung von Advanced, Boot und RebuildBS müssen wir versuchen, den Bootsektor von der ersten Fat32 Partition wieder aufzubauen. Mit Hilfe von List ist es möglich, eine Auflistung von Dateien aus dem Stammverzeichnis zu erhalten, aber es zeigte auch viele Ausschußdaten... Nichts wurde geschrieben. In der Log-Datei (Expert-Mode kann diese Informationen ausgeben) können wir sehen, das 4 Kopien von FAT32 gefunden wurden:

FAT32 at 32(0/1/33), nbr=123
FAT32 at 8221(0/131/32), nbr=123
FAT32 at 16097(1/1/33), nbr=1234
FAT32 at 22100(1/96/51), nbr=1234

Normal sollten nur zwei Kopien von FAT gefunden werden. Dort sind noch übrig gebliebene Daten von zwei unterschiedlichen FAT32-Partitionen: eine beginnt ab 0/1/1, die zweite ab 1/1/1. Wir haben einen Fehler gemacht. Dieses Mal fügen wir die korrekte Partition hinzu und wählen Write

1 E extended                 1   0  1   524 254 63    8418060
5 L FAT32                    1   1  1   383 254 63    6152832
6 L FAT32                  384   1  1   524 254 63    2265102

Mit RebuildBS (unter Advanced/Boot) waren wir imstande den Bootsektor erfolgreich wiederherzustellen.

Verlorene Partition nach Defrag

Nach dem Ausführen von Defrag gegen die erste Partition, ist das zweite Fat32-Laufwerk verschwunden. Wenn TestDisk die Partitionstabelle überprüft, erkennt es ein Problem mit der ersten Partition und es ist kein logisches Laufwerk vorhanden.

Disk 81 - CHS 1245 255 63 - 9766 MB
check_FAT: Incorrect size of partition
 1 * FAT32 LBA                0   1  1   746 254 63   12000492
 1 * FAT32 LBA                0   1  1   746 254 63   12000492
 2 E extended               747   0  1  1244 254 63    8000370

TestDisk ist in der Lage gewesen, die erste Partition zu finden, aber diese Partition ist ein Sektor größer als der tatsächliche Partitionseintrag. Defrag hatte den Anfang der erweiterten Partition überschrieben und den logischen Partitionseintrag gelöscht.

* FAT32                    0   1  1   747 254 63   12016557 [D DRIVE]
D Linux                 1023   1  1  1244 254 63    3566367

Der Anwender wählte nur die FAT32-Partition wiederherzustellen. Nach einer Sicherung der Daten, hat er das FAT32-Dateisystem verkleinert um einen Sektor weniger zu nutzen. Es ist jetzt Zeit, die zweite Partition wiederherzustellen. Der Anwender hatte den zweiten Partitionseintrag manuell hinzugefügt.

 1 * FAT32                    0   1  1   746 254 63   12000492 [D DRIVE]
 2 E extended LBA           747   0  1  1244 254 63    8000370
 5 L FAT32                  747   1  1  1244 254 63    8000307

Im Menü Advanced, wähle die zweite Fat32 und Rebuild BS aus. Nach einem Neustart und einer kurzen Dateisystemüberprüfung, waren die Daten wieder verfügbar.

Wiederherstellung einer CD-ROM-Sitzung (Session)

Bei einer Multisitzung-CD-ROM, ist es möglich Dateien einer vorherigen Sitzung zu löschen. Da die Dateien nicht wirklich gelöscht werden, ist es möglich diese wiederherzustellen. Um Dateien aus der ersten Sitzung zu lesen, führe unter Linux aus

mount /dev/cdrom /mnt/cdrom -t iso9660  -o session=0

Wiederherstellung einer neu formatierten Partition

Wenn eine Partition versehentlich neu zu einem anderen Dateisystem formatiert wurde (FAT32 formatiert als NTFS oder umgekehrt),

  • führe TestDisk aus,
  • wähle dein Festplatte und deinen Partitionstyp aus
  • wähle Advanced
  • wähle die Partition aus
  • wähle Type,
  • gebe den Wert ein, der dem vorherigen Dateisystem entspricht
  • wähle Boot
  • wähle RebuildBS
  • wähle List ob die Daten angezeigt werden
  • wenn du deine Dateien sehen kannst, wähle Write und bestätige
  • Im Menü Analyse, wähle die Partition mit dem korrekten Partitionstyp um die Partition neu zu schreiben.

Zurück zur TestDisk-Hauptseite