itwissen
Goto Top

Disk Recovery mit Testdisk

Defekte Disk Partition wiederhergestellt mit Testdisk unter Windows XP


back-to-topEinleitung


http://www.cgsecurity.org/wiki/TestDisk

Wie es dazu kam ist unklar. Jedenfalls waren plötzlich die Daten weg und kein Backup verfügbar. Der Admin, der für die Platte zuständig ist wusste nicht weiter, also hat er mal bei einem Profi Datenrecoverer angefragt. Die Kosten lagen bei ca. 90 Euro für die erste Analyse und dann je nach Aufwand zwischen 1500 Euro und 4000 Euro. Da lohnt es sich dann doch nochmal drüber nachzudenken. Die Platte kam also zu mir.

back-to-topStufe 1: Windows Analyse


Das Disk Management im Computer Manager zeigte Unreadable Dynamic Disk.

Mit diskpart in der cmd gab sich folgendes Bild:

Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\XXX>diskpart

Microsoft DiskPart version 5.1.3565

Copyright (C) 1999-2003 Microsoft Corporation.
On computer: XXX

DISKPART> list disk

  Disk ###  Status      Size     Free     Dyn  Gpt
  --------  ----------  -------  -------  ---  ---
  Disk 0    Online        37 GB      0 B
  Disk 1    Online        37 GB      0 B
  Disk 2    Online       114 GB      0 B   *

DISKPART> select disk 2

Disk 2 is now the selected disk.

DISKPART> list part

  Partition ###  Type              Size     Offset
  -------------  ----------------  -------  -------
  Partition 1    Dynamic Data       114 GB    32 KB

DISKPART> select part 1

Partition 1 is now the selected partition.

DISKPART> detail part

Partition 1
Type  : 42
Hidden: Yes
Active: No

There is no volume associated with this partition.

back-to-topStufe 2: Analyse mit Testdisk


Testdisk zeigt nach dem einlesen der Partitionstablle auch eine Partition von Typ 42 (W2K Dynamic/SFS) über die gesammte Platte.

Ein Search Scan über die Platte brachte aber schnell zwei gelöschte Partitionen zum Vorschein:

D HPFS - NTFS 0 1 1 7648 237 12 122880000 [Data]
D HPFS - NTFS 7648 237 13 14945 254 63 117227427 [Backup]

Das waren die verlohrenen Daten!

back-to-topStufe 3: Partitionstabelle korrigieren mit Testdisk


Da die erste Partition mitten in einem Zylinder endet, muss in den Optionen noch Cylinder Boundary auf No gestellt werden, sonst überlappen die Partitionen, was natürlich ungeschickt ist.
Die Partitionen von D auf P setzen und die Partitionstabelle auf die Platte schreiben.

back-to-topStufe 4: Testen und Daten sichern


Nach einem Reboot hat Windows die beiden Partitionen wieder richtig erkannt. Ich selbst würde mich aber nicht mehr auf die Partitionstabelle verlassen und die Daten auf eine andere Platte sichern, schliesslich sind es ja wichtige Daten, sonst hätte man die Platte auch Formatieren können.

back-to-topTipps für vor der Katastrophe


Testdisk starten mit den Optionen /log /debug, die Platte schnell analysieren. Dann hat man ein Logfile in dem alle wichtigen Daten über die Partitinstabelle stehen. Wenn die Platte dann ein Problem bekommt, ist es sehr viel einfacher, da man weiss wie es richtig ausgesehen hat. Ein Backup zu haben ist aber möglicherweise der einfachere Weg face-smile

back-to-topSonstiges

Ich habe mir auch ein paar Testversionen von kommerziellen Programmen angeschaut. Die hatten zwar ein schones GUI, aber irgendwie gab es da so viel Info, dass es mich mehr verwirrt hat als geholfen. Dafür können die aber noch sehr viel mehr. Testdisk kann im wesentlichen nur die Partitionstabelle und den MBR verarbeiten. In diesem Fall völlig ausreichend.

Die Dokumentation von testdisk ist sehr gut und hilft in vielen Fällen weiter. Ich hoffe aber ich habe an diesem Beispiel verdeutlichen können, dass man mit einfachen mitteln viel bewirken kann. Der Admin war jedenfalls Happy und ich auch face-smile

Content-ID: 28572

Url: https://administrator.de/contentid/28572

Ausgedruckt am: 28.11.2024 um 00:11 Uhr

Fiona
Fiona 01.04.2006 um 18:59:07 Uhr
Goto Top
Es tut mir leid mit dieser Testdisk-Anleitung.
Ich glaube die könnte ein wenig gefährlich sein.
Sollte daher nicht in diesem Stil nachgemacht werden.
Cylinder boundary yes bedeutet das die Partitionen sich nicht überlappen dürfen.
Wenn das auf No gestellt wird passiert folgendes das die Cylinder boundary abgeschaltet wird.
Wenn dann zwei Partitionen wie in diesem Beispiel beide den Cylinder 7648 belegen dann kann es einen sehr guten Crash mit Datenverlust geben.
Zwei Partitionen sollten nie denselben Cylinder benutzen.
Anhand von der Struktur der Partitionen geht eindeutig ein Geometrie-Problem der Festplatte hervor.
Der Wert 237 bei Heads ist fehlerhaft und nicht Standard.
Genauso der Wert 12 bei sectors für die erste Partition muß Standard auch wie bei der zweiten 63 sein.
Ein Geometry Problem führt zumeist zu diesen Symptomem das sich die Partitionen überlappen.
Da kann man Standard bei Heads für die Festplatte 255, 240, 16, 64, 128 und 32 (sortiert nach Häufigkeit) eingeben.
Zumeist findet man bei 255 oder 240 usw. sehr schnell die richtige Geometrie.
Dann passen auch regulär wieder die Partitionen.
Daher sollte bei Cylinder boundary absolut nach Möglichkeit die Finger weggelassen werden.

Ich hatte dieses durch Zufall über Google gefunden.
In einem anderen Forum gibt es von mir schon einige hunderte von Threads mit Hilfe zu Testdisk.
Da existiert auch eine Anleitung die aber im Moment nach 6 Versionen überholt wird und auch durch neue Board-Features einfacher angepasst wird.
Gibt es in zwecks Zeitmangels im Moment wahrscheinlich in ca. zwei Wochen.
Aber auch der Hinweis das ich auch nicht perfekt bin.

Viele Grüße

Fiona
ITwissen
ITwissen 01.04.2006 um 21:04:57 Uhr
Goto Top
Danke fuer den Hinweis, aber da muss ich dir etwas wiedersprechen.

Testdisk warnt absolut mir einem "Bad Structure" in auffallender roter Schrift, wenn sich die Partitionen ueberlappen. Erst dadurch bin ich drauf gekommen, dass ich die Partitionenenden auf "Cylinder Boundery" auf "no" stellen muss. Solange diese Option auf "yes" stand, hat es mir die erste verlorene Partition immer auf das Ende des Cylinders vergroessert und dadurch kam erst eine Ueberlappung zustande.

Vielleicht sollten Partitionen sich keinen Cylinder teilen, warum ist mir nicht klar und kann ich auch nicht nachvollziehen, aber der Windows Diskmanager hat es so eingerichtet. Fuer das Recovery ist das jedenfalls irrelevant. Die Daten sollten dann sowieso von der Platte runter und erst nach einer Neupartitionierung und Formatierung wieder drauf.
Fiona
Fiona 01.04.2006 um 21:55:48 Uhr
Goto Top
Der Windows Diskmanager hatte es wohl so nicht eingerichtet.
Ist normal ein Fehler im MBR und der Partitionstabelle.
Sonst hättest du wohl Testdisk nicht gebraucht.
Das hättest du im Menü Geometry anpassen sollen.

Beispiel wäre der Wert 255 bei Heads.

Die Festplatte würde dann so aussehen

Die Anzahl der Cylinder reduziert sich wenn die Anzahl der Heads auf 255 erhöht wird.
Partitionen haben dann Standard bei Heads 254.
Daher übernehme ich den Wert mal so von der zweiten Festplatte als Beispiel;

Disk 14946 255 63
Festplatten sind Standard einen Cylinder größer als eine Partition.
In seltenen Fällen schließen beide gleich ab.
In Testdisk dann zu lösen über allow partial last cylinder auch unter Optionen

Partitionen;

P HPFS - NTFS 0 1 1 7648 254 63 122880000 [Data]
P HPFS - NTFS 7649 0 1 14945 254 63 117227427 [Backup]

Schaue dir mal in Testdisk eine intakte Festplatte an bei der die Geometrie stimmt.

Viele Grüße

Fiona


Infos zu Cylinder boundary von Microsoft;

offset=n : Applies to master boot record (MBR) disks only. The byte offset at which to create the extended partition If no offset is given, the partition will start at the beginning of the first free space on the disk. The offset is cylinder snapped. The offset is rounded to the closest cylinder boundary. For example, if you specify an offset that is 27 MB and the cylinder size is 8 MB, the offset is rounded to the 24 MB boundary.


Bei den Partitionen mit 254 Cylinder pro Head sind es ca. 8 MB.
Bei 240 Heads usw. entsprechend weniger.
Eine Partition die nicht Standard ist kann zu Inkompatibilitäten und Probleme führen.
bugmenot
bugmenot 16.02.2009 um 21:16:29 Uhr
Goto Top
Hallo,

Ich wollte mich mal schwerst bedanken, das tool hat mir gerade 1 tb daten quasi gerettet danke für die vorstellung des programms.
und ich habe schon ewig gegoogelt.

DANKE DANKE DANKE
Prity26
Prity26 01.02.2010 um 07:34:57 Uhr
Goto Top
Hallo ITwissen,

ich wolllte mich auch wircklich vom Herzen aus bedanken, denn mein Herz ist schon fast in die Hose gerutscht als ich meine 3 TB Daten in der über 10 Jahre Arbeit drin stecken, für mich beinah verloren schienen.

Vielen Dank nochmals für deinen wircklich guten und Profisionellen Beitrag.

PS: Vielleicht könntest du beim Punkt "Partitionstabelle" genau sagen wie man von D auf P schreibt, indem man die die Pfeiltasten benutzt, wobei das Programm eigentlich ja selbsterklärend ist ^_^

Lieben Gruß,
Prity.
uetzi-engel
uetzi-engel 28.12.2010 um 23:52:33 Uhr
Goto Top
Hallo ITWissen,
ich habe auch ein Riesiges problem und bevor ich den schaden noch verschlimmere wollte ich mich vergewissern.

Hast Du evtl. die möglichkeit mich anzurufen ? 0041 797992083.
Danke
Grüsse halil

PS: Bitte.. um fêedback ist dringend..

Danke