Datenrettung von defekter WD 2TB BitLocker HDD

[Synthvelli]

Hallo zusammen,

Ich habe eine defekte externe Festplatte welche mit BitLocker verschlüsselt ist und plötzlich nicht mehr im Explorer angezeigt wurde. Man hat ständig ein klicken der leseversuche gehört.
Die Festplatte hat pending Sektoren 32 und 8 Reallocated. Nachdem ich bemerkt habe dass sie jedoch noch teilweise erkannt wird, versuchte ich ein Sektor Klon mit Aomei Partions Assistent, der an die 20 Tage gedauert hatte.

Ich habe aus Versehen die falsche Taste gedrückt und der Klon ist nach mehreren Tagen abgebrochen. Das Programm fragt nicht mal sondern bricht sofort ab...

Das lustige die Festplatte wurde plötzlich wieder vom Betriebssystem kurzzeitig erkannt. Sie war jedoch extrem langsam Ordner haben mehrere Minuten gebraucht zum öffnen und es war nicht möglich die Daten rüber zu kopieren habe nur ein paar Megabyte geschafft. Habe den Vorgang über Nacht laufen lassen und am nächsten Tag kam RAW read error und die Platte wurde dann als rot und Defekt endgültig markiert.

Mein letzter Versuch: Platte aus dem USB 2 Gehäuse ausgebaut und in ein USB 3 Dock danach der zweite Versuch siehe da in drei Tagen immerhin...
Das Programm hat bis 98% alles soweit anscheinend kopiert...

Dann kam eine Fehlermeldung dass das Partition Tabelle nicht upgedatet werden konnte, weil ein Programm behindert. Hatte ein festplattenüberwachungstool nebenbei auf und den Laufwerksbuchstaben zuvor raus gelöscht aber das Programm hat mir leider nicht die Möglichkeit gegeben versuchen alles zu schließen und es noch mal zu wiederholen.

Was habe ich jetzt eigentlich ohne dieses Update der Partitiontabelle, also kann ich jetzt auf die Daten welche geklont wurden nicht zugreifen?

Gibt es eine Möglichkeit nur die Partitionstabelle zu klonen oder von der defekten Festplatte zu sichern und auf die geklonte Festplatte manuell abzudaten? Die Festplatte kann eigentlich jeden Moment total ausfallen, deswegen möchte ich nicht noch mal den ganzen Prozess von vorne starten da der mehrere Tage in Anspruch nimmt, am Schluss kommt dann wieder eine Fehlermeldung weil ich ja nicht genau weiß was gestört hat.

Ich hatte gehofft dass auf der geklonten Platte irgendwelche BitLocker Container sind die ich entschlüsseln kann und Zugriff auf die Dateien habe aber leider weiß ich nicht ob das möglich ist ohne die Partitionstabelle... die Daten wurden ja wohl komplett kopiert

Ich hoffe ein Experte kennt sich damit aus und kann mir helfen. Wäre sehr dankbar über die beste Vorgehensweise.

 

[Stanzlinger]

Vermutlich hat die Aktion die HDD endültig zertört. Bei Geräuschen sofort jede Nutzung abbrechen und ein Rettungslabor bauftragen - oder auf das Backup zurück greifen. Sonst sind die Daten unwichtig!

 

[Synthvelli]

Mh die S.M.A.R.T Werte, bezüglich der defekten Sectoren haben sich nicht verändert. Ich habe ja nun quasi ein Backup ohne Partitionstabelle. Das mit dem Kopieren hat vielleicht den Kopf zu sehr gestresst und war nicht so eine gute Idee aber zumindest habe ich ein paar Sachen bekommen... werde das aber nicht noch mal versuchen beim Klonen ist sie schön ruhig geblieben und ging alles glatt durch. Ich glaube sogar dass sie sich ein bisschen erholt hat durch die reparierten Sektoren. Aber das mit diesem RAW read error bedeutet auf jeden Fall nichts Gutes war mir aber davor schon klar die Platte wurde viel zu gut angezeigt. Im Western Digital Dashboard war sie sogar auf grün obwohl sie nicht mal eingelesen wurde.

Ich habe leider einen Ordner etwa 200gb vergessen, da ich damals kein Geld hatte für eine weitere Platte und nur das allerwichtigste gebackuped. War mir eigentlich ziemlich sicher von allem ein backup zu haben.

Aber jetzt noch mal zurück zum Thema wenn die Software doch alle Daten ohne Fehlermeldung verschoben hat, dann müssten sie doch jetzt auf der anderen Platte vorhanden sein. Das bedeutet doch ich müsste nur irgendwie diese Partitionstabelle noch updaten. Wobei ich auch nicht verstehe wenn das Sektor einzeln kopiert wird warum das nicht einfach mit kopiert wird und von irgendeinem Programm blockiert.

Ansonsten kann ich natürlich die Festplatte in einen Schrank und wenn ich irgendwann 1000 € dafür habe zu Datenrettung zu geben aber es waren jetzt auch keine einmaligen Urlaubsbilder oder so von sowas habe ich schon 5 backups oder mehr.

 

[redjack1000]

Hallo,

Was, hast Du, mit welchem Programm, in welcher Form, wohin kopiert/geklont?
MBR oder GPT Disk?
Welches Betriebssystem hast Du verwendet?

CU
redjack

 

[Synthvelli]

Hallo,
Ich habe mit Aomei Partion Assistent einen Sector By Sector Klon durchgeführt.
Also war sie von der defekten Western Digital 2 TB HDD zu einer fehlerfreien Samsung 2TB HDD. Vorgang kopierte ohne Fehler bis zum updaten der Partitionstabelle. Dateisystem ist NTFS

Windows 11 Pro 22H2.
Es handelt sich um eine Daten HDD MBR (BitLocker verschlüsselt)

 

[redjack1000]

Dann sollte das Dir helfen.

https://neosmart.net/wiki/fix-mbr/

Cu
redjack

 

[Renegade334]

Ein Hinweis zu den Vorschlägen die andere dir scheiben:
Man arbeitet aus einer Kopie des Images und nicht mehr auf der defekten Platte.
Sonst kann der Platte ein "fix mbr" schnell den Rest geben.

 

[CB-Andi]

Die Daten müssen ja unglaublich wichtig sein wenn du so viel Aufwand dafür betreibst.
--> geh zum Profi und lass es dort versuchen

 

[Synthvelli]

Dann sollte das Dir helfen.

https://neosmart.net/wiki/fix-mbr/

Cu
redjack

Danke dir. Geht wohl mit einem simplen Befehl aber diese ganzen Programme sind nicht in der Lage das zu backupen echt seltsam. Allerdings fehlen die Befehle davor um auf die richtige Platte zu kommen. Weißt du vielleicht ob die HDD dazu entschlüsselt sein muss und einen Laufwerksbuchstaben braucht (beides bei der defekten Platte nicht möglich, sehe nur die verschlüsselte BitLocker Partition oder RAW/Nicht zugewiesen je nach Laune der HDD) oder kann man das MBR auch in meinem Fall backupen und später entschlüsseln?

 

[Attingo.com]

Gibt es eine Möglichkeit nur die Partitionstabelle zu klonen oder von der defekten Festplatte zu sichern und auf die geklonte Festplatte manuell abzudaten?

Wenn das Tool nur die MBR-Partitionstabelle auf der intakten Samsung beschädigt hat, kannst du mittels dd (zB unter einem Live-Linux) den ersten Sektor kopieren:
dd if=/dev/sdX of=/dev/sdY count=1

 

[Synthvelli]

Die Daten müssen ja unglaublich wichtig sein wenn du so viel Aufwand dafür betreibst.
--> geh zum Profi und lass es dort versuchen

Danke, der meiste Aufwand ist eh schon betrieben jetzt bin ich hauptsächlich mit dem Klon beschäftigt. Habe mit einem Profi vom Datenrettungsunternehmen gesprochen sodass ich nun den Prozess besser verstehe.
Er meinte dass die ersten Sektoren extrem wichtig wären. Damit ist wahrscheinlich das MBR gemeint.

Bei den anderen beiden Festplatten hatte ich total Pech da war nach einem head crash selbst überhaupt keine Chance mehr irgendwas zu machen. Da hatte ich wahrscheinlich das Backup drauf. Ist dann wohl etwas dumm gelaufen, wenn zwei Festplatten mit denselben Daten den Geist aufgeben.

Hier scheint es ja irgendwie Hoffnung zu geben. Ich meine ich habe ja anscheinend alle Daten auf eine zweite Platte kopieren können und an der Stelle wenn es jetzt wirklich nur noch darum geht die Partitionstabelle zu aktualisieren, würde ich auch noch selbst tun. Wenn ich einen Profi persönlich kennen würde würde ich direkt hingehen aber leider kenne ich da niemand.
1000 € habe ich im Moment nicht so würde die Platte erstmal eine sehr lange Zeit im Schrank bleiben bevor eine Datenrettung stattfinden kann.

Mir selbst fehlt es halt ein bisschen an Know-how z.B ob es Sinn macht nach einer verlorenen Partition zu suchen wenn die beim Klonen gar nicht erst reingeschrieben wurde dann ist sie ja nicht verloren dann war sie noch nie auf der Platte.

habe ich jetzt Partitionen auf der Platte gefunden aber wahrscheinlich die falsche es ist lustigerweise eine Linux Partition EXT3 und eine NTFS mit nur 3,01 MB. Keine Ahnung ob das eine verschlüsselte Backup von BitLocker ist mit 3 MB kann man nicht viel anfangen.

Ergänzung (27. Oktober 2022)

Wenn das Tool nur die MBR-Partitionstabelle auf der intakten Samsung beschädigt hat, kannst du mittels dd (zB unter einem Live-Linux) den ersten Sektor kopieren:
dd if=/dev/sdX of=/dev/sdY count=1

Danke weißt du zufällig ob irgendeine Klon Software so etwas kann?

Weil ich traue mich da irgendwie nicht so ran zum einen müsste ich 100% die richtige Festplatte finden und zum anderen brauche ich noch den Befehl für den Speicherpfad wohin das gespeichert werden muss. Bei Programmen sieht man das ja weil sie mir noch als BitLocker verschlüsselt angezeigt wird

 

[Attingo.com]

Danke weißt du zufällig ob irgendeine Klon Software so etwas kann?

Da Windows mit dem Klonen von teilweise noch eingehängten Partitionen immer kritisch ist und wir dieses Betriebssystem bei uns im Labor weitestgehend meiden, kenne ich leider keine M$ kompatible Software für den Zweck.

Weil ich traue mich da irgendwie nicht so ran zum einen müsste ich 100% die richtige Festplatte finden

darüber würde dir zum Beispiel lsscsi Aufschluss geben

Speicherpfad wohin das gespeichert werden muss

das ist der Parameter "of" (Outputfile), und das wäre in deinem Fall das Blockdevice der Samsung-Platte

 

[Synthvelli]

kenne ich leider keine M$ kompatible Software für den Zweck

Schade Linux müsste ich mir erstmal eine passende distribution organisieren und mich einlesen. Wenn es dort ein Tool gibt welches diese Befehle ausführt dann wäre es mir lieber als bei Windows über die befehlseingabe... außerdem würde ich zur Überprüfung das gespeicherte MBR noch mal auslesen wollen wenn ich das über die Befehlseingabe mache

Ergänzung (27. Oktober 2022)

Da Windows mit dem Klonen von teilweise noch eingehängten Partitionen immer kritisch ist und wir dieses Betriebssystem bei uns im Labor weitestgehend meiden, kenne ich leider keine M$ kompatible Software für den Zweck.


darüber würde dir zum Beispiel lsscsi Aufschluss geben


das ist der Parameter "of" (Outputfile), und das wäre in deinem Fall das Blockdevice der Samsung-Platte

Okay danke dann habe ich mal den Linux Befehl dafür ich hoffe, das ansonsten alles kopiert ist inklusive der Metadaten für BitLocker, dass ich die Partition wieder entschlüsseln kann oder sind die auch im MBR?

Ergänzung (27. Oktober 2022)

das ist der Parameter "of" (Outputfile), und das wäre in deinem Fall das Blockdevice der Samsung-Platte

Danke allerdings würde ich das lieber in zwei Schritten machen also erstmal das MBR als Backup sichern und danach es in Ruhe auf die Samsung Platte aufspielen. Dann reicht es auch wenn jeweils nur eine Platte eingesteckt ist die anderen sind SSDs und kann ich dann an der Größe erkennen falls diese angezeigt wird.

 

[Attingo.com]

lieber in zwei Schritten machen also erstmal das MBR als Backup sichern und danach es in Ruhe auf die Samsung Platte aufspielen

Dann wären die Befehle in etwa so ...
dd if=/dev/sdX of=~/mbr.img count=1
(Platte wechseln)
dd of=/dev/sdX if=~/mbr.img count=1

 

[Synthvelli]

Dann wären die Befehle in etwa so ...
dd if=/dev/sdX of=~/mbr.img count=1
(Platte wechseln)
dd of=/dev/sdX if=~/mbr.img count=1

Vielen Dank,
damit werde ich es später probieren. Wenn alles geklappt hat, dann sollte die original Partitions Tabelle verfügbar somit der Klon erfolgreich abgeschlossen sein.

1) Zwei Dinge wären noch interessant, wo genau die relevanten Metadaten für BitLocker geschrieben werden und ob diese Informationen auch im MBR sind schließlich muss Windows ja wissen dass es sich hier um eine BitLocker verschlüsselte NTFS Partition handelt.

2) Ein Tool um die NFS (Masterdateitabelle) auszulesen und zu speichern. Hätte ich dies gehabt, dann hätte ich die Möglichkeit in Ruhe mir den Inhalt anzusehen.

 

[Attingo.com]

1) Zwei Dinge wären noch interessant, wo genau die relevanten Metadaten für BitLocker geschrieben werden und ob diese Informationen auch im MBR sind schließlich muss Windows ja wissen dass es sich hier um eine BitLocker verschlüsselte NTFS Partition handelt.

Die Metadaten von BitLocker stehen am Beginn der Partition im Boot-Sektor. Der Header beginnt (in ASCII) mit -FVE-FS- an Offset 3

2) Ein Tool um die NFS (Masterdateitabelle) auszulesen und zu speichern. Hätte ich dies gehabt, dann hätte ich die Möglichkeit in Ruhe mir den Inhalt anzusehen.

Du meinst die MFT? Diese ist natürlich erst in der entschlüsselten Welt als Klartext zu lesen und im Endeffekt wie eine Datei verwaltet, wird über den normalen NTFS-Treiber unter Windows aber nicht angezeigt. Das kann wiederum Linux wenn man beim mounten "show_sys_files" als Option angibt.
Aber was genau willst du dir dort ansehen?

 

[Synthvelli]

Die Metadaten von BitLocker stehen am Beginn der Partition im Boot-Sektor. Der Header beginnt (in ASCII) mit -FVE-FS- an Offset 3

Oh danke das hilft wirklich viel, im Partions Boot Sector also. Der müsste mitgekloned worden sein, sonst werde ich ihn manuell wiederherstellen.

Ergänzung (28. Oktober 2022)

Die Metadaten von BitLocker stehen am Beginn der Partition im Boot-Sektor. Der Header beginnt (in ASCII) mit -FVE-FS- an Offset 3

Du meinst die MFT? Diese ist natürlich erst in der entschlüsselten Welt als Klartext zu lesen und im Endeffekt wie eine Datei verwaltet, wird über den normalen NTFS-Treiber unter Windows aber nicht angezeigt. Das kann wiederum Linux wenn man beim mounten "show_sys_files" als Option angibt.
Aber was genau willst du dir dort ansehen?

Ja genau die meine ich. Wenn die nur entschlüsselt sichtbar ist habe ich da aktuell keine Zugriff. Da muss ich wohl doch mir mal ein Linux Image auf einer SSD oder so installieren. Eigentlich ist das jetzt erstmal nicht so wichtig, weil ich dann nur die Namen der Dateien und so weiter hätte zum durchstöbern. Von den meisten Ordnern habe ich jedoch schon Screenshots gemacht. Meine Idee war nur davon auch ein backup zu machen, dachte mir schon dass die dann wohl erst in der entschlüsselten Welt zu sehen ist. Interessant fand ich auch, dass auf der geklonten Samsung überhaupt gar keine BitLocker Container zu finden waren. Hatte mir irgendwie vorgestellt viele Gigabyte an verschlüsselten Daten vorzufinden. Nur alt Dateien die schon überschrieben sein sollten. Werde jetzt erstmal die Partitionstabellen wiederherstellen um den abgebrochenen Vorgang abzuschließen.