Datenrettung einer PNG

[SVΞN]

Guten Abend liebe Community,

es geht um eine sehr wichtige PNG, die ich versehentlich gelöscht habe, da ich mir zu 100% sicher war, ich hätte sie auf einem anderen System.

Sie ist einer Neuinstallation von Windows 10 zum Opfer gefallen und nachdem mir das aufgefallen war, habe ich das Notebook mit EaseUS Data Recovery gescannt und die Datei auch gefunden.

Leider wird sie nicht ordnungsgemäß wiederherstellt. Die PNG lässt sich nach der Wiederherstellung nicht öffnen.

Erste Frage: Bedeutet das, dass die PNG definitiv nicht mehr hergestellt werden kann oder eben nur mit diesem Tool?

Zweite Frage: Macht es Sinn die Festplatte noch einmal mit Recuva oder PhotoRec zu scannen und eine Wiederherstellung zu versuchen oder arbeiten diese Tools alle mit den selben Algorithmen?

Dritte Frage: Wenn weitere Rettungsversuche Sinn machen, welches Tool empfehlt ihr?

Damit ihr auch wisst weshalb die Datei für mich recht wichtig ist, es ist ein Screenshot von 12 Keywords für ein Wallet und auf dem liegen schon ein paar Euro.

Ich war zu 100% sicher, ich hätte den Screenshot doppelt gesichert. Eigene Dummheit, weshalb ich jetzt auch nicht jammern werde.

Ich hoffe dennoch, ich bekomme die PNG irgendwie gerettet. ^^

Danke vorab und liebe Grüße,
Sven

 

[rg88]

Grundsätzlich die Platte ausbauen sofort bzw. nicht mehr davon starten, damit nicht noch mehr überschrieben wird.
Dann unter Linux als Read only einbinden und mit DDrescue alles versuchen als image abzulegen. Dann die Datenrettung auf dem Image versuchen.
Ansonsten noch photorec hernehmen, was mit Testdisk mitkommt.
Auch andere Tools kannst du versuchen. Die arbeiten schon recht unterschiedlich.

 

[DerTiger]

Hi,

ich weiß zwar nicht in welchem Zustand die PNG ist, aber mit IrfanView z.B. lassen sich ab und an auch beschädigte Dateien anzeigen. Da fehlt dann zwar evtl. was vom Bild, aber einen Versuch könnte es wert sein.

Ansonsten ist bei Datenrettung ja immer der Grundsatz dass man an der Platte so wenig wie möglich macht, da jeder Zugriff das Potential hat die Daten weiter zu schädigen...

viel probieren würd ich daher nicht. Wenn auf dem Wallet mehr Geld liegt als eine Datenrettung der PNG kostet, dann wäre das wohl der way to go.

 

[rg88]

was anderes noch: Hast nicht zufällig eine Cloud im Einsatz, wo du das eventuell versehentlich hingesichert hast?

 

[--//--]

Macht es Sinn die Festplatte noch einmal mit Recuva oder PhotoRec zu scannen und eine Wiederherstellung zu versuchen oder arbeiten diese Tools alle mit den selben Algorithmen?

Das alles macht erst Sinn, wenn Du einen Klon angelegt hast und nicht mehr mit dem eigentlichen Datenträger rumprobierst. Dann ja. Und auch nur mit dem Klon. bzw. mit einem Klon von dem Klon. Der erste Klon ist Dein Backup.

 

[SVΞN]

Okay. Soweit verstanden.

Ich mache jetzt erst einmal den Klon der (grotten langsamen) HDD mit Windows 10 und schau mir das Ganze dann unter Linux an.

Ich hatte das alte Notebook mit Windows 10 clean gemacht und meinem Vater vermacht. Dann viel mit die PNG ein. ^^

IrfanView werde ich dann auch noch testen. Wenn alles nichts hilft schaue ich mal was Profis sich dafür nehmen. Auf dem Wallet sollten knapp 2 BTC und der selbe Wert in Alt-Coins liegen.

Ich Hornochse. ^^

 

[rg88]

Ich mache jetzt erst einmal den Klon der (grotten langsamen) HDD mit Windows 10 und schau mir das Ganze dann unter Linux an.

ne, bau doch die platte aus und mach mit linux das image.
oder halt per Ubuntu Boot DVD/Stick und dann das image auf einen externen Datenträger ziehen

 

[DerTiger]

Autsch...

für 2 BTC gar keine Frage, ab zum Profi, der Rest ist Peanuts... :O

 

[rg88]

Auf dem Wallet sollten knapp 2 BTC und der selbe Wert in Alt-Coins liegen.

also 50-100k Euro?
Das ist eine etwas übertriebene Strafe, auch wenn man seinem Vater ein Notebook mit HDD andreht.

 

[--//--]

Hört sich vielleicht naiv und blöd an, ist aber ernst gemeint. Versuch mal, die png mit VLC zu öffnen. Erst VLC öffnen, dann die png reinziehen. Ins Fenster, nicht durch die Nase.

Aber bitte auch nur von der Kopie, nicht vom Original.

 

[SVΞN]

also 50-100k Euro?

So um den Dreh dürfte das hinkommen. Ich hatte mal so ~ 70k überschlagen. Bin aber was Cryptos angeht echt der geborene Glückspilz.

Ich bin aus Spaß mal zur Anfangszeit 2009/10 rein in den Markt und habe mir 5 BTCs gekauft für Peanuts. Dann mit zwei 7970 damals noch 5 selbst geschürft.

Die 10 BTCs habe ich damals verhökert als die bei 1,5k standen. Also ebenfalls Peanuts zu heute.

Dann habe ich mir die aktuelle 2 BTCs + Alt-Coins im Zeitraum von 2016-2018 ertradet, alles just 4 fun und jetzt passiert mir das.

Mit insgesamt 12 BTCs ~ 15.000 Euro gemacht auf 10 Jahre. Wow. Investment Guru.^^

Hört sich vielleicht naiv und blöd an, ist aber ernst gemeint.

Nicht so naiv und blöd wie meine Datensicherung.

Versuch mal, die png mit VLC zu öffnen. Erst VLC öffnen, dann die png reinziehen. Ins Fenster, nicht durch die Nase.

Wird getestet und zwar nicht durch die Nase.

 

[BFF]

@SV3N

Profis kochen auch nur mit Wasser. Wenn die was nehmen basiert die Suche nach dem Datenschrott meist auf gleichen Technologien wie PhotoRec/Testdisk. Untersuchungen per Laser/Microskop/dergleichen macht man wirklich nur wenn es extrem viel kosten darf.

Was ich nehme an Programmen ist R-Studio und/oder Autopsy aus dem Sleuthkit.
Beides in der Lage Image von Datentraegern einzulesen.
Und dran denken. Ueberschriebenes ist mit 99% Sicherheit wech.

Wie hast Du denn die Platte mit Windows gecleant?

 

[SVΞN]

Wie hast Du denn die Platte mit Windows gecleant?

Gar nicht.

Es war ein nur ein 2. oder 3. Laptop mit einem alten i5-3210, der eigentlich nur noch im Schrank lag.*

*Das ich dort [und nur dort] die PNG drauf hatte, hatte ich verdrängt. ^^

Ich habe einfach per USB-Stick ein frisches Windows 10 20H2 drüber gebügelt. Ohne Formatierung oder so.

Die Datei wird gefunden, Größe ~ 200 kB mit dem richtigen Namen. Nur öffnen ist halt nicht möglich.

 

[M-X]

Ich habe bei verschiedenen Datenrettungen in der Vergangenheit die Erfahrung gemacht das jedes Tool was anderes finden kann. Würde alles was man so für lau bekommt mal testen.

Wenn da aber wirklich 2 BTC liegen würde ich überlegen es nicht ggf doch einer Datenrettungsbutze zu geben. Selbst bei 5 stelligen Beträgen bist du ja noch gut dabei.

Das du am besten mit einem Clone arbeitest ist ja bereits vielfach gesagt worden.

 

[BFF]

DDrescue kennst Du ja.
Damit Image ziehen und mit Autopsy ueber das Image herfallen.
Autopsy hat bei mir eigentlich immer das meiste "zusammengekratzt", wenn es um "ueberschriebene" Datentraeger ging.

Die Datei wird gefunden, Größe ~ 200 kB mit dem richtigen Namen. Nur öffnen ist halt nicht möglich.

Da wird Einiges nicht lesbar sein davon. Eventuell Dateiname gefunden und ein paar Fragmente der Daten.

Anyway. Ich wuerd's mit Autopsy probieren am Image. Und lass Dir Zeit.
Wenn Du schon mit einem Linux hantierst. Schau mal bitte mit "file deine.png" was da gesagt wird.

 

[Piktogramm]

Erst Klugschiss, dann Hilfe

• Beschäftige dich mal mit Backups inkl. Monitoring und Wiederherstellungstest
• Passwortmanager sind für solche Sachen gedacht. Mit dem großen Vorteil, dass die Datenbank auch in die Cloud kann solang du dein Masterpasswort sicher wählst und am besten noch 2FA einsetzt

Hilfe (alles unter Linux, für alles Andere bin ich zu doof):

Wie schon beschrieben wurde, zieh dir ein Image mittels dd unter Linux und arbeite nach Möglichkeit nur darauf!

Schau dir die wiederhergestellte Datei mal direkt als Binary an. Also sowas wie most -b file.png
Als Beispiel nehmen wir mal https://upload.wikimedia.org/wikipe...ng/280px-PNG_transparency_demonstration_1.png

0x00000000: 89504E47 0D0A1A0A 0000000D 49484452     .PNG........IHDR
[...]
0x0000C330: 011A7C00 00002574 45587464 6174653A     ..|...%tEXtdate:
0x0000C340: 63726561 74650032 3032302D 30392D32     create.2020-09-2
0x0000C350: 36543139 3A31323A 33312B30 303A3030     6T19:12:31+00:00
0x0000C360: A26BEA38 00000025 74455874 64617465     .k.8...%tEXtdate
0x0000C370: 3A6D6F64 69667900 32303230 2D30392D     :modify.2020-09-
0x0000C380: 32365431 393A3132 3A33312B 30303A30     26T19:12:31+00:0
0x0000C390: 30D33652 84000000 0049454E 44AE4260     0.6R.....IEND.B`
0x0000C3A0: 82

und dazu die PNG Dokumentation (Achtung, wieso auch immer dokumentieren die Fileheader etc. mit Dezimalzahlen statt Hex):
http://www.libpng.org/pub/png/spec/1.2/PNG-Structure.html
http://www.libpng.org/pub/png/spec/1.2/PNG-Rationale.html#R.PNG-file-signature

Was wirklich enthalten sein muss ist .PNG, IHDR und das IEND. Damit kannst du manuell schon mal schauen ob die Datei überhaupt eine Chance hat, valide zu sein.

Analog kannst du auch mal schauen, ob die Nutzlast zwischen IHDR und IEND halbwegs sinnvoll ausschaut. An der Stelle, also recht viel zufälliges Binary, da die die Bilddaten komprimiert sein sollten. Wenn dazwischen Irgendwas lesbares auftaucht, dann sind da sonstige Daten, die sich dazwischen gemogelt haben.

##################################################################
Photorec (bei Debian/Ubuntu und Ähnliches im Paket von testdisk enthalten)
photorec /d /path/to/restored_files /path/to/image
(photorec scheint aus der Dos Welt zu kommen, daher gibt es Parameter mit "/" statt "-"!)
###################################################################
Verzweiflungstat:

Ein Script bauen, welches mittels binwalk -R "\x89\x50\x4E\x47\x0D\x0A\x1A\x0A" /path/to/image.img nach PNG Headern sucht. Analog dazu ein binwalk auf "\x49\x45\x4E\x44" für das "IEND" Wenn Adressen im Bereich von 1-500kByte auseinanderliegen, die Binärdaten zwischen den Adressen extrahieren und in .png files werfen. Inkl händiger Kontrolle. (Ok man könnte noch erweitern und die Files gegen sowas wie libpng werfen um zu testen ob die PNGs valide sind und so etwas Filtern, das ist aber sowieso alles Verzweiflungstat)
Was jedoch zum Scheitern verurteilt ist, wenn die Datei fragmentiert war.

Die nächste Eskalationsstufe wäre dann noch, dass dass man nur nach IHDR und IEND sucht und davon ausgeht, dass je das andere Tag und ein paar Daten fehlen. Da suchst du dir einen Ast und solltest die PNG Spec. auswendig aufsagen können um da noch sinnvolle Daten extrahieren zu können.
####################################################################

 

[Yuuri]

Mir hat damals PhotoRec geholfen. Vater vom Kumpel hatte ne Platte im Videorekorder, die er versehentlich formatiert hatte, aber danach nie wieder angefasst. Hat wohl zu 95 % alles wiederhergestellt.

Ich würde bei ner mickrigen PNG allerdings nicht groß hoffen...

es geht um eine sehr wichtige PNG, die ich versehentlich gelöscht habe, da ich mir zu 100% sicher war, ich hätte sie auf einem anderen System.

Wird Zeit, dass man sowas dem Passwortmanager in den Notizen anvertraut.

 

[Piktogramm]

@SV3N

Profis kochen auch nur mit Wasser. Wenn die was nehmen basiert die Suche nach dem Datenschrott meist auf gleichen Technologien wie PhotoRec/Testdisk. Untersuchungen per Laser/Microskop/dergleichen macht man wirklich nur wenn es extrem viel kosten darf.

Zwischen den breit verfügbaren Softwaretools und absurdem Hardwareoverkill gibt es noch allerhand Zwischenschritte. Da ist man aber schnell nicht mehr beim Datenwiederhersteller um die Ecke sondern "echten" Forensikern. Tagessätze im dreistelligem Bereich und meist über mehrere Tage. Das muss man dann wollen...

 

[SVΞN]

Danke für die vielen Tipps und Hinweise [und die Klugscheißerei] die ich durchaus verdient habe.

Ich habe eigentlich eine ordentliche Backup-Strategie und nutze auch Passwort-Manager, diese blöde PNG mit den 12 Keywords war echt eine Ausnahme.

Da ich nie mit Datenverlust und Rettung zutun hatte, ist es einfach nicht mein Steckenpferd.

Auch wenn’s um ein paar Euro geht, mache ich mir da keinen großen Kopf. Ich habe seit 2010 vielleicht 1.000 Euro in Etherium und Ripple investiert und mir den Rest per Trading aufgebaut. Es war Spielgeld.

Aus Schaden wird man klug.

 

[Fortatus]

Das was @Piktogramm geschrieben hat ist absolut zentral. Selbst wenn die Nutzlast noch ausreichen würde, um ein zerschnittenes, verpixeltes oder mit komischen Farben versehenes Bild rauszukriegen, hilft das nicht, wenn der Header nicht da ist. Dann wissen die Programme wie Irfanview etc gar nicht, welchen Algorithmus sie zum Lesen verwenden sollen und geben Null aus.

Dementsprechend am besten versuchen eine Kopie der wiederhergestellten Datei händisch zu korrigieren (im Hex-Editor den nötigen Header ergänzen und speichern) und schauen was dabei rumkommt.

Viel Erfolg.