Hi, ich habe hier seit paar Tagen den Laptop eine Kumpels rumliegen, mit dem "Auftrag", mal die Welt ... ääähhh ... Daten zu retten. Wie so üblich, Backup ist nich ... Das Symptom ist, daß Windows nicht mehr bootet (Bluescreen+Reboot kurz nach dem Windowsbild) Da ich z.Z. nicht an meine Windows-Live-CD ran komme, habe ich eine Linux-Live-CD genommen (RIP-Linux, welches zum Recovern gedacht ist). Dummerweise kennt sich die Software drauf auch nur in groben Zügen mit NTFS aus, bzw. kann nur bestimmte Dinge machen. Die Platte ausbauen, und an meinen Rechner zu hängen scheitert auch, weil ich die SATA (2,5") Platte nicht an meinen PC ranbekomme (keine Adapter bzw. entsprechende Kabel). Ok, also habe ich auf dem Läppi die Platte unter RIP-Linux mit dd ausgelesen, und ein Image der Disk erzeugt, und dieses per USB-Disk auf meinen Rechner transferiert. Da dd keinerlei Fehler meldete, dürften alle Sektoren (Low Level) im Image ok sein (dd meldet ja jeden IO-Error, und bräche dann ab). Der Fakt, daß es überhaupt keine IO-Error gab, sagt mir, daß die Disk heile ist (selbst SMART hat da keinerlei Bedenken). Also scheint es ein reines Filesystem-Problem (MFT) zu sein. (MBR sieht auch gut, logisch und konsistent aus). Soweit - so gut. Nun geht es darum, dieses Image auszulesen. Bei meiner Google Suche machen sich aber die Tools, die raw image Files auslesen können und dabei die einzelnen Files extrahieren können, ziemlich rar (zumindest lt. deren Beschreibungen). Hinzukommt, daß diese Tools echte Desaster-Recoveryprogramme sein sollen, also extra für korrupte Filesysteme gemacht sein sollten (also nicht nur ein simples undelete, oder Partitionstabelle regenerieren). Ein paar fand ich: - undisker - kann zwar ntfs-Files auslesen, scheint aber nicht gerade für korrupte FS gemacht zu sein - getdataback - scheint wohl ganz gut zu sein, kostet aber ein bißchen (wäre im Notfall aber der Rettungsanker, wenn die Daten wirklich so wichtig für ihn sein sollten). Alles andere kann ich anhand der Beschreibungen nicht als raw-disk-fähig einordnen, oder sind nur sehr spezifisch für bestimmte Dateitypen, die die retten wollen. Nun also die Frage: kennt jemand ein Tool, das am besten kostenlos ist, und trotzdem nicht nur für intakte Filesysteme gemacht ist, und raw Images verdauen kann, und nicht dateityp-spezifisch ist?. Danke.
> Die Platte ausbauen, und an meinen Rechner zu hängen scheitert auch, > weil ich die SATA (2,5") Platte nicht an meinen PC ranbekomme (keine > Adapter bzw. entsprechende Kabel). braucht du überhaupt nicht, es passen die gleichen Kabel wie bei den 3,5" platten. wenn du noch ein linux zu hat hast, dann könntest du das iso als SCSI-Device exporieren und unter windows mounten.
Da du schon ein Image der Platte als Datei hast, kannst Du mit einem von CD laufenden Linux ein ntfsfix versuchen und das Dateisystem geradebiegen. Geht das nicht - Pech, es ist ja nur eine Kopie. Au jeden fall kannst Du das evtl. beschädigte Dateisystem mit mount -o loop aus einer Datei einhängen. Oder, noch verrückter: Erstelle aus der Imagedatei z.B. für virtual Box eine vdk Datei (es gibt dafür einen Konverter - googeln) und schiebe diese Datei einem in einer VM laufenden Windows Version als Festplatte unter und bearbeite diese dann mit chdisk vom Windows aus, damit sollte sich retten lassen was noch zu retten ist. Viel Erfolg, ich hoffe ein paar Anregungen zum Vorgehen gegeben zu haben. Gruß Hans
getdataback ntfs ist sein geld wert. ich habe mit dd bzw. dd_rescue von clonezilla sogar meine mit bad sector übersäte platte in ein image bekommen und über die eine oder andere mft-kopie (fast) alle daten wiederbekommen. fand ich überzeugend...
also disk images kann man unter linux mounten mit mount <image> /mnt -o loop bzw du musst einen offset angeben wo die partition anfängt, wenn es ein komplettes image mit partitionstabelle ist
@Peter II (Gast) >braucht du überhaupt nicht, es passen die gleichen Kabel wie bei den >3,5" platten. Jetzt habe ich nochmal genauer geschaut. Du hast recht :-) Als ich die das erste mal ausgebaut hatte, sah es eher aus wie die reinen Kontaktzungen von der Leiterplatte, ohne jegliche Steckerführung. Da war's aber auch etwas dunkel in meiner Bude, und hatte auch nur flüchtig das Ding angeschaut. @Hans (Gast) >Da du schon ein Image der Platte als Datei hast, kannst Du >mit einem von CD laufenden Linux ein ntfsfix versuchen und das >Dateisystem geradebiegen. Also die man pages fon ntfs fix klang nicht gerade nach einem leistungsfähiugen Tool: Description ntfsfix is a utility that fixes some common NTFS problems. ntfsfix is NOT a Linux version of chkdsk. It only repairs some fundamental NTFS inconsistencies, resets the NTFS journal file and schedules an NTFS consistency check for the first boot into Windows. You may run ntfsfix on an NTFS volume if you think it was damaged by Windows or some other way and it cannot be mounted. Klingt also nur nach Standardfehlern, die es geradebiegen könnte. Hatte ich also deswegen nicht probiert @ufe (Gast) >getdataback ntfs ist sein geld wert. ich habe mit dd bzw. dd_rescue von Ja, den Eindruck hatte ich auch. @user (Gast) >also disk images kann man unter linux mounten mit Ja, gut. Und was mache ich dann damit? Bzw. was geht damit anders? Die Disk an sich kann ich ja lesen, wenn es um die Rohdaten geht. Nur ntfs ist im A.... Es läßt sich auch unter Linux nicht mehr mounten. Also alles, was auf ntfs-Driver angewisen ist, ist nutzlos. @ALL: ich werde nochmal die SATA-Variante probieren - da hatte ich wohl einen Denkfehler, was die Steckerkompatibilität von 2,5" angeht. Und dann nochmal paar Tools durchgucken, die möglichst kostenlos sind. Danke, an alle.
Ach ja - vielleicht nochmal an Peter II (Gast): ich denke mal, ich muß beide SATA-Stecker anschließen - also das schmale Daten, und das breite Powerkabel. Richtig? Über das schmale Kabel wird wohl keine Power geliefert.
Jens G. schrieb: > Richtig? Über das schmale Kabel wird > wohl keine Power geliefert. gut erkannt, strom und daten sind jeweil getrennt.
Ich habe jetzt diee Platte an meinen Rechner rangehängt - Chkdsk läuft gerade auf der Platte - mal schauen, ob schon diese Aktion was bringt.
Hast Du eine Installations-CD mit dem passenden Windows? Dann nimm die mit dd KOPIERTE Platte, starte eine Installation von der CD bis dahin, wo das Setup abfragt, welche Partition es nehmen soll. Es erkennt, dass da schon ein Windows auf der Platte ist und bietet Dir "R" an, um das System zu reparieren (nicht das Menue am Anfang nehmen, wo "R" und "K" angeboten wird, erst bei der Partitionsabfrage). Das ging bei mir schon mehrfach sehr gut, alle Programme und Daten bleiben erhalten (es sei denn, sie sind auf der Platte gelöschtoder anderweitig zerstört), nur das BS wird neu gemacht. Und da liegt ja wohl dein Problem. Wenn Du das auf der Platte machst, auf die Du mit dd kopiert hast, kann auch nix passieren. Übrigens: dd braucht recht lange, Clonezilla macht das schneller.
@bingo (Gast) >Hast Du eine Installations-CD mit dem passenden Windows? Dann nimm die >mit dd KOPIERTE Platte, starte eine Installation von der CD bis dahin, >wo das Setup abfragt, welche Partition es nehmen soll. Es erkennt, dass >da schon ein Windows auf der Platte ist und bietet Dir "R" an, um das >System zu reparieren (nicht das Menue am Anfang nehmen, wo "R" und "K" >angeboten wird, erst bei der Partitionsabfrage). Das ging bei mir schon >mehrfach sehr gut, alle Programme und Daten bleiben erhalten (es sei >denn, sie sind auf der Platte gelöschtoder anderweitig zerstört), nur >das BS wird neu gemacht. Und da liegt ja wohl dein Problem. Das glaube ich nicht. Jetzt, wo die Platte an meinem Rechner als zweite Platte hängt, sagt der Diskmanager zur ersten Partition (Systempartition), es wäre eine raw Partition - es findet da also gar kein FS mehr. Folglich wird die R-Taste da auch nix mehr retten (mehr als chkdsk wird es da auch nicht machen). Die zweite (Daten-) Partition wird noch als NTFS erkannt. Beide Partitionen haben einen LW-Buchstaben bekommen, aber kein Tool kann darauf zugreifen - Drive wäre angeblich nicht vorhanden (auch auf die zweite Partition, die noch als NTFS erkannt wurde. Um es nochmal zu sagen: hier ist das Filesystem kaputt (und zwar auf beiden Partitionen der Platte), nicht irgendwelche Windowsfiles. >Wenn Du das auf der Platte machst, auf die Du mit dd kopiert hast, kann >auch nix passieren. Übrigens: dd braucht recht lange, Clonezilla macht >das schneller. Möglich - aber dd war schnell zur Hand ;-) Naja, egal: die Platte wird von diversen Recoverytools erkannt, und z.Zt. "teste" ich gerade PhotoRec. Leider versucht es nicht, die Verzeichnisstruktur wiederzuerkennen, sondern schmeißt alles erkannte in paar allgemeine Verzeichnisse. Aber naja - vielleicht haben die Verzeichnisse noch irgendwie einen Bezug zu den ursprünglichen (zumindest wenn die Files noch einigermaßen gruppiert auf der Platte lagen). Mal schauen, ob man noch ein anderes Tool findet, was auch die gefundene Directoriestruktur nach Möglichkeit restauriert.
übrigens hat PhotoRec zur Halbzeit schonrund doppelt so viele jpg und mov Dateteien gefunden als getdataback. Diese BruteForce-Methode scheint wohl doch recht leistungsfähig zu sein. Allerdings ist bis jetzt schwer einzuschätzen, welche der Files wirklich ok sind (die Stichprobe sagt bis jetzt 100% :-).
Du kannst auch einen Virtualisierer wie VirtualBox verwenden und das Image in ein VDI umwandeln und dann von einer Windows-VM aus mounten und auslesen. fchk
@Nico S. (Gast) >Ich habe gute Erfahrungen mit PC Inspector File Recovery gemacht: >http://www.pcinspector.de/ Ja, das war eigentlich das erste, was ich versuchte. Allerdings bekam es nicht auf die Reihe, mir alle logischen Laufwerke anzuzeigen. Bis mir vorhin mal eingefallen ist, es explizit als Admin zu starten - jetzt läuft es gerade ... :-) Vile der anderen Tools waren nicht so sehr auf dem Admin angwiesen - die liefen auch so ohne Probleme. @Frank K. (fchk) (und auch nochmal Hans (Gast) weiter oben): Die Umwandlung in VM-Disks hatte ich auch schon gefunden. Brauche es aber jetzt wohl nicht mehr ;-)
Jens G. schrieb: > Naja, egal: die Platte wird von diversen Recoverytools erkannt, und > z.Zt. "teste" ich gerade PhotoRec. Leider versucht es nicht, die > Verzeichnisstruktur wiederzuerkennen, sondern schmeißt alles erkannte in > paar allgemeine Verzeichnisse. Schon mal Testdisk auf Dein Image losgelassen? :) http://www.cgsecurity.org/wiki/Schritt_f%C3%BCr_Schritt_Wiederherstellungsbeispiel
Was sagt denn der Bluescreen? Dieser erscheint ja nicht zum Spass sondern gibt wertvolle Hinweise.
@RipperFox (Gast) >Schon mal Testdisk auf Dein Image losgelassen? :) >http://www.cgsecurity.org/wiki/Schritt_f%C3%BCr_Sc... Habe ich mir angeschaut. Das ist aber eher für Partitionierungsproblemen gut, nicht aber für Filesystemprobleme. @StinkyWinky (Gast) >Was sagt denn der Bluescreen? Dieser erscheint ja nicht zum Spass >sondern gibt wertvolle Hinweise. Der erscheint gerade mal 0,x Sekunden, dann gleich reboot. Ist aber auch egal - nachdem ich die Platte in meinen Rechner gehängt habe, erkeannte selbst mein Windows nicht diese Partition als NTFS, sondern nur als raw Partition. Damit ist klar, daß das FS pfutsch war, und die Bluescreen-Infos helfen da auch nicht mehr.
Ich kann ja mal einen kleinen Erfahrungsbericht hier abgeben, denn eigentlich bin ich mit meiner Rettungsaktion durch. Und andere Leute wird es vielleicht auch mal interessieren, um eine Richtung zu bekommen. Zusätzlich hat das mich auch zu paar weiteren Experimenten animiert, denn Data Recovery hatte ich noch nie machen müssen, so daß es mich nun doch mal interessierte, so daß ich mal paar Tools testete. Ausgangspunkt war eine 160GB-Laptopplatte mit Partitionen C (primär - System) und D (extented). C wurde generell nicht mehr von Windows erkannt (raw Partition im Diskmanager), und D wurde immerhin noch als NTFS angezeigt. Man konnte aber trotzdem nicht mit den üblichen Mitteln drauf zugreifen (drive not found, wenn ich doch mal D aufmachen wollte in irgendeinem Dateimanager). Dann hatte ich mal paar Programme getestet, wovon nur Undisker, getdataback, PCI (PC Inspector) und Photorec in die engere Wahl fielen. Undisker und PCI konnten auch generell nix mit C anfangen - alles leer. getdataback dagegen zeigte dort das komplette Windows Systemverzeichnis und allerhand anderen installierten Kram an. Offensichtlich haben also undisker und PCI dort keinen Einstiegspunkt in die MFT gefunden. Pluspunkt für getdataback. C war aber relativ unwichtig, weil keine rettenswerte Daten dort drauf. Einen weiteren Pluspunkt heimste getdataback dann auch bei D ein. Dort fand es fast 1400 Dateien, PCI ungefähr 1300, und undisker etwas mehr als 600. Allerdings scheinen undisker und PCI z.T. unterschiedliche Analysefunktionen zu benutzen, die sich gegenseitig ergänzen, so daß selbst undisker noch etliche zusätzliche Dateien gefunden hatte, die PCI nicht gefunden hatte (ungefähr 100). Und wenn man undisker+PCI nimmt, kommt man praktisch auf daselbe Ergebnis wie getdataback - bis auf einen kleinen Rest von rund 15 Dateien, die undisker+PCI von getdataback trennten. Und mit einem kleinen Trick konnte ich auch die restlichen 15 Dateien retten mit der Testversion von getdataback, die eigentlich nur die gefundenen Dateien anzeigen, aber nicht recovern kann: Man kann nämlich die gefundenen Dateien via "Open with ..." mit einem externen Programm öffnen. Und wenn dieses Programm das speichern solcher Dateien erlaubt (z.B. Acroread für pdf, xls für Excel, oder einfach alles via Hexeditor abspeichern), dann hat man die Dateien auf Platte :-) Bei nur 15 Restdateien ging das recht flott - für größere Datenbestände ist das natürlich nicht der Weg. Und wenn man glaubt, daß trotzdem noch was fehlt, dann kann man mit getdataback+PCI und Photorec auch die gesamte Platte nach "lost" Files durchscannen lassen, also solche, die keinerlei Bezug mehr in MFT bzw. Directory mehr haben. Getdataback habe ich nicht getestet (muß extra aktiviert werden). Photorec bringt das beste Resultat, und die Dateien sehen aus wie vorher. PCI ist da nicht so der Renner, denn es speichert alle Dateien nur mit einer Standardgröße von rund 1,4MB ab - es wertet also nicht die Größenangaben im Dateiheader (sofern vorgesehen) aus. JPGs, die von 12MPixel-Kameras stammen, sind damit natürlich abgeschnitten. Und selbst bei Dateien, für die die 1,5MB ausreichen, bringen solche Programme ins Schleudern (z.B. Excel viewer meckert wegen korrupter Datei rum, Windows Bildbetrachter dagegen scheint aufgedunsene jpg-Files (wo also noch Datenmüll hinter den eigentlichen JPG-Daten kommt) zu vertragen). Photorec dagegen macht das vorbildlich - alle Dateien offensichtlich in Originalgröße. PCI hatte übrigens mit Stabilitätsproblemen zu kämpfen beim Abspeichern der gefundenen Dateien in einem Ritt. Vermutlich wegen der größeren Datenmenge. Wenn man nur einen gewissen Teil der Dateien zusammen abspeichern läßt, dann gehts besser. Anderes Symptom der Instabilität: manche Filenamen enthielten komischerweise irgendwelche Sonderzeichen, die irgendwie teilweise nach Unicode aussahen (die anderen Tools zeigten das korrekt an). Da wurde beim Abspeichern gemeckert. Man konnte die Files aber vorher in der Liste umbenennen, und dann gings. Soweit mal mein "Testbericht". Das gilt alles natürlich nur, wenn nur das Filesystem einen Klatsch weg hat. Bei kaputten Partitionen braucht man natürlich andere Tools (das angesprochene Tesdisk z.B.), und bei phys. kaputten Platten hilft dann auch keinerlei Software mehr. Und falls eine Platte zwar noch arbeitet, aber schon deutliche Ausfallerscheinungen zeigt (OS liest ewig von Platte, und scheint zu hängen,Sektoren kaputt, schlechte SMART-Werte), und man hat kein Geld für Recovery-Firmen, dann sollte man zuerst ein raw Image von der Platte ziehen als Sicherung des aktuellen Zustands, und dann daraus die Dateien ausdumpen lassen. Getdataback und undisker zumindest können Raw Images verdauen. Das Image sollte natürlich mit einem Tool gezogen werden, welches sich nicht von irgendwelchen IO-Errors vom Kurs abbringen läßt. Es sollte also nicht wegen schlecher Sektoren oder generell IO-Errors aussteigen (dd_recover, vielleicht auch undisker, und andere Tools).
Weiter oben war der Tip von Gast mit mount - ausprobiert? Das ist der Weg zum Glück, ach ja ich würde dringendst davon abraten mit irgendwelchen Tools an dem image rumzudoktern, das ist schliesslich alles was Du hast. Also Mount und auslesen - und erst mit reparieren anfangen wenn das mounten auf Grund von Dateisystemfehlern fehlschlägt. Auch dann würde ich empfehlen das in einen rechner mit Windows einzubauen un mit den nativen Tools zu reparieren.
Vielleicht solltest du den Thread erst lesen, bevor du hier ultimative Ratschläge gibst...
Ich habe auch schon mal PCI probiert, der gleiche Reinfall wie oben. Photorec (gebootet mit Freedos) hat mich (bzw. meine Dateien) damals gerettet.
Nun, wenn ich noch mal den Eingang lese, dann hat Juergen Roeck (stumpjumper) recht. Wenn WIN mit Bluescreen startet, dann ist doch die Partition an sich intakt. Vielleicht ist es auch nur der Virus, der immer wieder neu starten läßt?
Jungs, macht doch nicht diesen schönen Thread durch eure unqulifizierten Anhänge kaputt. Wenn jemand mal vor dem gleichen Problem steht, wie Jens G., dann stößt er auf diesen Thread, sieht am Ende nach, wie es ausging und sieht, daß da nur unqualifizierter Mist steht und liest dann das, was wirklich gut ist nicht. Lest, bevor ihr postet
Genau - den Ausgangszustand habe ich doch einigermaßen genau beschrieben (auch wenn ich mich anfangs zu sehr auf das Verwerten des gezogenen Images konzentriert hatte, was dann aber unnötig war (also Backup isses aber gut)). Partition ok, Filesystem nicht ok (ich hoffe, ihr (die hier immer noch diesbezügliche Ratschläge geben) wisst, was der Unterschied ist zw. Partition und FS), mounten der einzelnen Partitionen is nich. Auserdem mache ich keine Reparaturversuche, sondern versuche einzig und allein die verwertbaren Files auszudumpen - mehr nicht. Ich habe übrigens noch paar weitere Tools (die aber alle einen kleinen Obulus kosten) getestet. Die waren eigentlich alle fähig, mein C auszulesen incl. Verzeichnisbezug der Files. Easeus (erlaubte 1GB zu retten), Easis, Minipower Data Recovery (erlaubte 1GB zu retten), O&O DiskRecovery, ... Wenn es ohne Verzeichnisbezug geht (also Querfeldein-Scan auf der Suche nach bekannten Dateiheadern), dann ist aber eigentlich jedes Tool gut genug, welches diesen Scantyp anbietet)
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.