Externe WD in ESD gewandelt, Probleme beim Klonen und Datenrettung

Robeson · 14. Juni 2021

Hallo liebes Forum,

Vielen Dank erstmal für Ihre Zeit und Ihre Mühe.
Ich habe leider den Fehler begangen, dass ich meine externe Festplatte WD Books HDD NTFS in eine 32 GB FAT ESD USB gewandelt habe.

Die WD ist zudem eigentlich über ein Passwort gesperrt, dies läuft über das Laufwerk G , welches von WD so separat eingerichtet ist. Die Platte ist jetzt noch offen, habe diese extra die ganze Zeit am Strom.

Durch die Foren, Telefonate mit Technikern und vielen hilfsbereiten Menschen bei ebay-kleinanzeigen bin ich schon ein klein wenig weitergekommen.

Ich habe zunächst ein paar Daten gerettet ohne einen Klon zu ziehen. Das wollte ich jetzt nachholen und habei ich auf einer 2 TB großen Festplatte mit Macrium gemacht.

Ich habe jetzt mit macrium ein Klon für das ganze Laufwerk erstellt, Sektor bei Sektor ausgewählt. 32 gb sind als E, die restlichen 968 GB sind nicht zugeordnet. Doch habe ich das Gefühl, dass nur E Sektor bei Sektor, also die 32 GB geklont wurden. Das Ganze war nämlich innerhalb von 22 min durch. Ist die gesamte Festplatte geklont ? Welches Tool könnte ich sonst benutzen ? Acronis oder Clonezilla,Aomei? Will jetzt nicht auch noch mehr kaputt machen. Danke.
Die meisten Daten werden eben auf diesem nicht zugeordneten Teil liegen.

Habe gestern schon das Mini Tool Data Wizard drüber laufen lassen und das Ganze hat mehr als 16h gedauert, dort wurden einige Dateien gefunden. Ich hatte mich jedoch nicht getraut, die ohne den Klon zu erstellen.
Die Dateistruktur ist bisher natürlich auch weg. Die MFT liegt ja wohl am Anfang der Platte, das Backup müsste ja aber noch irgendwo zu finden sein.
Für den Klon hab ich mir jetzt extra noch eine zweite Festplatte besorgt, wieder mit 2 TB, um dort die Daten zu retten.Das Tool Mini Partition Wizard läuft jetzt auch schon seit mehr als 6 h, hat noch mehr als 1ß0 h lauat Tool vor sich, stoppt aber bei 19000 Dateien - woei dies wohl mehr als 1,3 TB wären.

Mir wurde jetzt noch das Programm autopsy empfohlen, Test Disk und Photorecovery.
Die Festplatte darf in meinen Augen nicht ausgehen, weil dann ja sonst die Sperre drauf istˋ?
Mir wäre es mit einem Klon aber defintiv lieber, nur möchte ich auf dem Computer auch nicht mehr zu viel installieren,. Dort wolllte ich auch noch gelöschte Bilder suchen (SDD), aber ich hab jetzt schon ziemlich viele Schreibvorgänge vorgenommen. Daher sehe ich die Chance eher gering an.

Was ich jetzt also brauche ist folgende Empfehlung:

Wie bekomme ich die HDD komplett mit dem nicht zugeordneten Teil geklont - Linux hab ich nciht und das dd Programm erscheint mir zu kompliziert. Mein Computer darf auch nicht (!) neustarten. Daher hab ich auch nicht clonezilla installiert, da hieß es in der Anleitung, dass der Computer neu starten muss.

Wie bekomme ich die Dateistruktur wiederhergestelltˋ?

Danke und viele Grüße
Ich freue mich über jeden Beitrag und jede noch so kleine Hilfestellung.

der_Schmutzige · 14. Juni 2021

Liest sich nach (nur) Partitionstabelle futsch.

Bei 3:46 anstatt "Unallocated Space" aber "Full Disk" wählen.

madmax2010 · 15. Juni 2021

Wenn das nicht tut, probier es mit testdisk:
https://www.cgsecurity.org/wiki/TestDisk_Step_By_Step

Attingo.com · 15. Juni 2021

Es gibt auch einen dd-Ableger für Windows (http://www.chrysocome.net/dd) mit dem du eine vollständige Kopie anlegen kannst. Wie du schon richtig schreibst ist es sehr ratsam einen Klon zu erstellen um "in Ruhe" daran zu arbeiten.

Je nachdem wie umfangreich deine MFT (Abhängig von der Anzahl der früheren Dateien) war, kann diese auch komplett überschrieben sein. Es gibt die komplette MFT übrigens nicht doppelt als Backup, sondern nur den ersten Eintrag als $MFTMirror

Robeson · 15. Juni 2021

Danke euch vielmals.
Eine Frage habe ich noch an Euch:

Der nicht zugeordnete Teil wird ja nicht geklont, bzw wurde nicht geklont. Mir wurde jetzt gesagt, dass ich die Partition von E vergrößern kann, ohne dass Daten verloren gehen.
Dann könnte ich nämlich einen Klon erstellen. Was meint ihr?
Liebe Grüße

Ergänzung (15. Juni 2021)

@der_Schmutzige das hatte leider nicht funktioniert. Er findet mir nur die Partitionen auf E.

Ergänzung (15. Juni 2021)

Wie würden denn die Befehle lauten für das dd ?

der_Schmutzige · 15. Juni 2021

eehh komisch...

Wirklich im Vorhinein ganze Laufwerke ausgewählt? Das Tool sieht bei Dir keine ganzen Laufwerke?

Robeson · 15. Juni 2021

Nein, also schon das ganze Laufwerk. Aber was er dann als Ergebnis hat bezieht sich nur auf e

alf420 · 15. Juni 2021

Der Klassiker halt. Er hat mit dem MediaCreationsTool einen USB-Stick erstellen wollen und dabei seine externe Festplatte ausgewählt.

Robeson · 15. Juni 2021

Ja, wenn der Klasiker ist. Kannst du mir da klassische Tips mitgeben ?

alf420 · 15. Juni 2021

https://www.computerbase.de/forum/threads/externe-festplatte-esd-usb-daten-verloren.1704214/
https://www.computerbase.de/forum/t...d-zu-bootstick-gemacht.1987746/#post-24995677
https://www.computerbase.de/forum/threads/esd-usb-stick.1961706/
Der beste Tipp ist das Backup wieder einzuspielen.

Robeson · 16. Juni 2021

Danke - die Tips hatte ich mir vorher durchgelesen.
Das Backup bekomme ich an Besten durch testdisk wieder eingespielt?

NobodysFool · 16. Juni 2021

Nein. Das Backup bekommst Du wieder eingespielt, wenn Du die Dateien von dort wo Du sie ein zweites mal gespeichert hast, oder mittels der Backupsoftware mit der Du das Backup zuvor erstellt hast, wieder zurückkopierst.

Wenn Du die Daten sonst nirgendwo mehr hast, dann hast Du kein Backup. Dann solltest Du Dir unabhängig davon, wie das hier ausgeht, zukünftig angewöhnen Backups zu erstellen. Denn passieren kann wie Du merkst immer was. Man macht selbst Fehler, Datenträger oder Laufwerke werden defekt ... und es gibt nie eine Garantie, dass man die Daten dann noch retten kann. Oft tendieren die Chance sogar gegen null. Mindestens aber spart man sich viel Mühe und Arbeit. Daher muss man vorsorgen.

Robeson · 16. Juni 2021

Okay, danke dir.
Hatte mal was von nem Mft backup gelesen. Bleibt einfach nur abwarten und Tee trinken.
Vielleicht hab ich ja Glück.
Die Bilder, die ich bisher retten konnte, sind genau nie, die ich auf meinem Laptop habe.

Mir ist sonst noch als Idee gekommenm die Daten von meiner SD Karte zu retten. Dort müssten ja hoffentlich noch die Bilder sein.
Das hab ich bisher noch nicht ausprobiert.

Robeson · 18. Juni 2021

Hallo an Alle,

ich würde mich sehr freuen, wenn ihr Euch bitte nochmals kurz für mich Zeit nehmt. Danke vorab!

Habe jetzt ein Image mit Access Forensic Tool erstellt, Sektor bei Sektor. Ergebnis ist eine .001 Datei.
Problem ist daher, dies bei Photrec als Image auszuwählen. Das erkennt bei mir mit dem qphotorec nur .dd, .raw oder .img.

Daher 2 Dinge:
1) Habe Photorec dann doch über die original WD laufen lassen. Hier war das Problem bei Sektor 36******* ist das Programm immer wieder zum Sektor 35******* gewechselt. Das lief über Nacht und heute früh auch noch. In mehr als 12 h sind nur noch 2% gesucht gewesen. Habe das Programm dann doch abgebrochen um die Originalplatte nicht noch überhitzen zu lassen bei der Wärme.

a) Wie kann ich das Image .001 bei Photorec analysieren lassen?
Die Dateien, die gefunden wurden, sind teils leider auch nur 6kb bis 600kb groß.
Genau die Bilder aus den Jahren 2017, die mir so wichtig sind, waren noch nicht dabei. Würde die auch in so schlechter Qualität mittlerweile nehmen.

b) Wieso spult photorec immer zum Sektor zurück?

2) Wie kann ich bei Testdisk das image auswählen? Hab nur die Möglichkeit gesehen, die Festplatte komplett zu scannen - da wird bei mir das EFI GPT angezeigt. Hatte irgendwo gelesen, dass es sich dabei um FAT 32 handelt?

Um eine Partition von einem Datenträger wiederherzustellen oder ein Dateisystem-Image zu reparieren, führe folgendes aus:

testdisk image.dd um ein RAW-Laufwerks-Image zu schneiden

testdisk image.E01 um Dateien von einen Encase EWF-Image wiederherzustellen.

testdisk 'image.E??' wenn das Encase-Image in mehrere Dateien aufgesplittet ist.

Hatte das gefunden. Wie führe ich das aus? Bei Testdisk 7.0 Windows kann ich nur die Festplatten auswählen oder führe ich das über Windows Command aus ?

Danke und viele sonnige Grüße

PS: Mein Tablet ist gestern ohne meine Einwirkung durch die Hitze gesprungen. Also ich hab das Pech mit der Technik gerade mit mir. Gerade lasse ich nochmals Mini Tool Wizard über den Klon laufen. Hoffentlich bringt das was. Von Autopsy war ich sehr enttäuscht. Das hat mir fast nichts gebracht.

PS2: Überlege jetzt doch das Ganze an ein professionelles Datenrettungsunternehmen zu übergeben. Mir ist dabei aber wichtig, dass die nicht auch nur die "kommerzielle" Software benutzen. Das mach ich ja gerade selbst. Was haltet ihr von Data Recovery oder Datenrettung 3.0 ?
Hätte auch EDV Leute, die machen das natürlich günstiger, benutzen wohl aber auch eher die Programme, die ich jetzt zum Teil benutzt habe.

eYc · 18. Juni 2021

Ich kenne dieses Forensic Tool nicht, wenn das ein proprietäres Format für das Image verwendet, Photorec nur bestimmte Image-Formate nimmt, und ein simples umbenennen nicht hilft, dann wist du mit dem Image erst einen Klon der HDD erstellen müssen, um an dieser weitere Versuche starten zu können.

Ob TestDisk auch Images öffnen kann, weiß ich ebenfalls nicht.

Robeson schrieb:
da wird bei mir das EFI GPT angezeigt. Hatte irgendwo gelesen, dass es sich dabei um FAT 32 handelt

GPT ist der Partitionierungsstil, das hat nichts damit zu tun, ob die Partitionen mit NTFS, FAT32 oder ... formatiert sind. GPT ist für moderne UEFI-Systeme Standard, und wird auch für HDDs > 2 TB benötigt, um sie voll nutzen zu können.

Legacy wäre MBR, für BIOS-Systeme und alles bis 2 TB.

Evil E-Lex · 18. Juni 2021

Robeson schrieb:
Habe jetzt ein Image mit Access Forensic Tool erstellt, Sektor bei Sektor. Ergebnis ist eine .001 Datei.
Problem ist daher, dies bei Photrec als Image auszuwählen. Das erkennt bei mir mit dem qphotorec nur .dd, .raw oder .img.

Die Dateiendung ist bei 1:1-Images vollkommen egal. Du kannst die Dateiendung auch .bratwurst nennen. Das ändert am Inhalt gar nichts.
Kurz: Bennene die Datei einfach von .001 in .dd um.

Ergänzung (18. Juni 2021)

Robeson schrieb:
Habe jetzt ein Image mit Access Forensic Tool erstellt, Sektor bei Sektor. Ergebnis ist eine .001 Datei.

Von einem Tool mit dem Namen "Access Forensic Tool" habe ich noch nie gehört. Meinst du den AccessData FTK Imager?

Noch ein Tipp: Bei der Nutzung von qPhotorec empfehle ich dir, nur die Dateitypen auszuwählen, die du tatsächlich wiederherstellen willst. Standardmäßig sind dort alle unterstützten Dateitypen ausgewählt, was unnötig lange dauert und zu viel Speicherplatz benötigt.

Robeson · 18. Juni 2021

Das habe ich gemacht mit dem Auswählen, welche Dateien ich möchte.

Vielen lieben Dank für den Tipp mit dem Umbennenen. Genau das Tool meinte ich, sorry!
Werde ich für Testdisk ausprobieren, mit Mini Tool Partition hab ich gerade mit dem Klon .001 super Erfolg

Leider sind bisher halt alle Dateistrukturen weg. Aber mal schauen, vielleicht hilft ja Testdisk.

Robeson · 20. Juni 2021

Hallo nochmals,
Wie lese ich denn das image ein ?
Um eine Partition von einem Datenträger wiederherzustellen oder ein Dateisystem-Image zu reparieren, führe folgendes aus:

testdisk image.dd um ein RAW-Laufwerks-Image zu schneiden
testdisk image.E01 um Dateien von einen Encase EWF-Image wiederherzustellen.
testdisk 'image.E??' wenn das Encase-Image in mehrere Dateien aufgesplittet ist.

Quelle:https://www.cgsecurity.org/wiki/Schritt_für_Schritt_Wiederherstellungsbeispiel
Habe Windows.

Danke!

Evil E-Lex · 21. Juni 2021

Ganz einfach:

eine Eingabeaufforderung mit Adminrechten starten
in den Ordner wechseln wohin du testdisk entpack hast
testdisk deinimagename eingeben und mit Enter bestätigen

Achtung Fallstrick!
Zum einen heißt die ausführbare Datei nicht testdisk.exe, sondern testdisk_win.exe und die aktuelle Version 7.2-WiP von testdisk erwartet die Imagedatei im Verzeichnis, in der auch die testdisk_win.exe liegt. Gibt man eine Imagedatei mit absolutem Pfad an, erhält man immer die Fehlermeldung "No such file or directory"

Also zuerst in das Verzeichnis wechseln, in dem das Image liegt und dann die testdisk_win.exe mit absolutem Pfad aufrufen. Bei mir sieht das so aus:
c:\Tools\testdisk\testdisk_win.exe USB-StickSamsung64GB.e01

Robeson · 23. Juni 2021

Danke an alle.
Habe die meisten Fotos und Daten retten können. Fotos habe ich mit dem Exif Tool organisiert.
Für die PDFs und Office Dokumente wird das eher schwieriger, aber gut.
Habe testdisk über die Wd laufen lassen ohne Erfolg. Werde die Platte jetzt formatieren und wieder normal benutzen. Den Klon habe ich noch 2x. Wenn ich also doch nochmals Lust zum Experimentieren bekomme, dann hab ich ja was zum Spielen.
Ansonsten sag ich adieu nach 12 Tagen Datenretten.
Danke nochmals an alle.

Externe WD in ESD gewandelt, Probleme beim Klonen und Datenrettung

Cadet 1st Year

Commander

Fleet Admiral

Cadet 3rd Year

Cadet 1st Year

Anhänge

Commander

Cadet 1st Year

Lieutenant

Cadet 1st Year

Lieutenant

Cadet 1st Year

Lt. Commander

Cadet 1st Year

Cadet 1st Year

Rear Admiral

Commander

Cadet 1st Year

Cadet 1st Year

Commander

Cadet 1st Year

Ähnliche Themen

Passend zum Thema