Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Nein. Der Dateiname ist nicht in der Datei gespeichert, sondern im Dateisystem. Das hast du leider überschrieben. Der Dateiname oder die Dateierweiterung sind für das Erkennen wiederherstellbarer Daten nicht erforderlich, die helfen nur dem Benutzer die Daten zuzuordnen.
An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.
Autopsy als Administrator starten, Case erstellen/öffnen. Oben Links "Add Data Source", dann "Local Disk" und dort deinen Datenträger auswählen. Steht auch alles nochmal hier.
Danke Euch, ich lasse es gerade laufen. Bei 6 TB dauert das paar Stunden.
Aber ich fürchte das Programm wird auch nicht fündig werden.
Ein Teil der Downloads habe ich noch auf den alten Festplatten vom alten Laptop. Nur sind die nicht aktuell.
Ich verstehe nur nicht warum die Programme nix mehr finden. Klar, ein Teil ist schon überschrieben, aber doch nicht alles.
Gibt es sonst noch eine andere Möglichkeit nach gelöschten ddrescue-Images zu suchen?
LG Heiko
PS: Habe auch mal ne Testversion Ontrack Easy Recovery Prof. installiert. Findet auch nicht das was ich suche.
Ich hab das jetzt schon mehrfach erklärt: Da gibt es nichts zu suchen. Aus der Sicht eines Datenrettungstools sehen die Images nicht anders aus, wie Daten die zuvor auf dem Datenträger (und damit im Image) enthalten waren. Du könntest Bilddateien, Videodateien oder Dokumente suchen (wobei die auch ohne Dateinamen wiederhergestellt würden), die in den Images enthalten waren, aber nicht die Images selbst.
Ich hab hier versucht mit einer HDD Dein Problem gedanklich fuer mich nochmal klar zustellen um eventuell meine eigene Vermutung zu bestaetigen oder zu widerlegen.
Was hab ich konkret gemacht.
Eine 250 Gbyte HDD komplett genullt per dd if=/dev/zero of=/dev/sdb unter Linux.
Per gparted dann ein EXT4 ueber die komplette HDD erzeut. Dann ca. 30 Gbyte an Daten auf die EXT4 kopiert. Direkt in die Partition und in 2 Ordner. Mit gparted dann die EXT4 entfernt und ein NTFS erzeugt. Unter Windows mit R-Studio die HDD eingelesen.
Es wird ein EXT4 (1) erkannt. Die Grafik bei (A) zeigt nett die ungefaehre Belegung.
Das folgende Einlesen der Dateien zum Ansehen bring die in das EXT4 kopierten Dateien und Ordner zur Ansicht. Diese lassen sich alle restaurieren.
Nun hab ich R-Studio beendet und ca. 24 GByte an Daten in Form von ISO auf die NTFS Partition kopiert.
R-Studio wurde gestartet und die HDD erneut komplett eingelesen.
Und wieder wird eine EXT4 gefunden (4). Die Grafik (B) verglichen mit der (A) zeigt Unterschiede sprich Zuwachs an. Sieht man recht gut an den Zahlen/Bloecken.
Die Dateien/Ordner (5) aus der EXT4 werden angezeigt. Die markierte ISO (6) liess sich wiederherstellen und konnte fuer eine Installation benutzt werden.
Was mich etwas wundert ist, dass bei Dir rein nichts von einer EXT4 auftaucht. @Data2006
Du hast eine EXT4 mit weitaus mehr GByte beschrieben gehabt. Du hast per gparted die EXT4 zu einer NTFS gemacht und nur 22 GByte an Daten in die NTFS geschrieben, benutzt R-Studio in der gleichen Version wie ich nur das Du die Trial benutzt die nicht vollumfaenglich restaurieren kann.
Hast Du zufaellig mal Bilder/Screenshots so wie meine nach dem Scannen wo man links die Geraeteansicht hat und rechts die Belegung sieht?
Irgendwas ist bei Dir eklatant anders gelaufen als hier mit einer SSD und einer HDD gemaess Deinen Infos nachgestellt.
Das ist wohl so, ja. Es müssten beim Scan eigentlich auch die Partitionen innerhalb der nicht überschriebenen ddrescue-Images gefunden werden. Das gar nichts gefunden wird, vor allem bei einer Festplatte, ist nicht normal. Bei einer SSD nach TRIM hätte mich das nicht gewundert.
Wobei: Wäre die NTFS-Partition nicht mit Quickformat erstellt worden, sondern normal, wäre die Festplatte vor Erstellung des Dateisystems genullt worden. Das würde das Ergebnis des TE erklären.
Ich nenn das Musekohl, andere nennen das Rohdaten.
Am Ende Daten deren Namen, Größe, Zuordnung usw. verloren ging. Die kann man maximal nach Inhalten durchsuchen, eine Wiederherstellung als Ganzes geht nicht. Aber das haben wir Dir mehrfach getippt.
Korrekt.
Solange die EXT4 nicht wieder gefunden wird sind die Daten in der EXT4 fuer Dich verloren.
Warum Du die EXT4 mit R-Studio nicht findest kann ich Dir nicht erklaeren. Das blanke Schreiben von 22 GByte wie Du erklaerst schafft es nicht die zu killen. Nicht auf SSD und nicht auf HDD. 🤷♀️
ich hätte wieder was ;-)
Ich habe eine 2 TB-Festplatte, wo 500-600 GB frei ist. Die Festplatte war soweit ich mich richtig erinnern kann, nahezu voll. Wo sind jetzt die ganzen Daten hin? Das war eine neue Festplatte, die noch eingeschweißt war als ich sie bekommen habe.
Habe mit R-Studio einen kompletten Scan laufen lassen:
Ich hatte die Festplatte mit Ext4 angelegt. Woher kommen jetzt die ganzen Partitionen? Und wieso ist rechts alles so bunt? Dürfte bei Ext4 doch nur einfarbig sein. Kann es sein das die Festplatte eben nicht neu war?
Deine Beschreibung von PhotoRec ist nicht richtig.
Gelöschte Dateien sind Dateien, die man bei funktionierenden Dateisystem auf Dateisystemebene löscht.
Unter Windows-Betriebssystemen geschieht dies typischerweise mit Hilfe des Explorers.
Solche Dateien kann TestDisk wiederherstellen. Da in diesem Fall die Metadaten des Dateisystems intakt sind, wird auch der Dateiname korrekt hergestellt. Die Korrektheit des Dateieinhalts ist aber nicht gewährleistet.
Bei Löschung einer Datei gibt Windows die verwendeten Cluster (Speicherblöcke) auf der Festplatte wieder frei.
Es besteht die Gefahr, dass diese zwischenzeitlich (in der Zeit vom Löschen bis zum Wiederherstellungsversuch) von anderen Dateien benutzt werden. TestDisk prüft diesen Fall nicht.
PhotoRec ist ein sogenannter "File Carver". PhotoRec durchkämmt eine Festplatte und versucht, Dateien aufgrund von charakteristischen Byte-Kombinationen, Dateisignatur genannt, zu finden. Diese befinden sich typischerweise am Dateianfang. PhotoRec hängt dann alle Folgesektoren an die gerettete Datei bis es auf eine weitere Dateisignatur stößt. An dieser Stelle hört PhotoRec auf, weitere Sektoren an die gerettete Datei anzufügen.
Mit dieser Methode kann zwar auch eine gelöschte Datei wiedergefunden werden, nicht aber ihr Name und der Ordnerpfad, der zu dieser Datei führt.
Deswegen ist es keine gute Idee, gelöschte Dateien mit Hilfe von PhotoRec zu suchen. PhotoRec ist nicht zum Wiederherstellen von gelöschten Dateien gedacht!
Die Nutzung von PhotoRec ist immer der letzte Ausweg, wenn die Metadaten des Dateisystems fehlen, bzw. nicht lesbar sind. Wenn z.B. alle verwendeten Datenrettungsprogramme in einer als "RAW" gekennzeichneten Partition nicht mehr die vorhandene Ordner- und Dateistruktur finden, ist PhotoRec die letzte Verteidigungslinie, mit der man doch noch etwas retten kann.
Ergänzung ()
Evil E-Lex schrieb:
Es gibt kein Dateimuster. Das ist ein Rohimage. Die Daten landen exakt so im Image, wie sie auf dem Quelldatenträger vorhanden sind.
muss man die Signatur entweder selbst erstellen, oder mit einem Hex-Editor, wie z.B. HxD auf Imagejagd gehen.
Hinweis:
Mit der Ausname von sogenannten "Superfloppies" fangen alle Festplatten in der Windows- und Linuxwelt mit dem MBR an, auch Festplatten, die im GPT-Stil partitioniert worden sind.
Ich habe eine 2 TB-Festplatte, wo 500-600 GB frei ist. Die Festplatte war soweit ich mich richtig erinnern kann, nahezu voll. Wo sind jetzt die ganzen Daten hin?
Schau doch rein in die G:[erkannt119] und lass Dir die Dateien anzeigen.
Das Bunte sind die Daten.
R-Studio im vollständigen Scan versucht zu raten was die zusammenhängenden belegten Blöcke sein könnten. Da kommen dann halt ein Haufen theoretischer Partitionen raus und eben auch Zuweisungen zu Dateisystemen die garnicht vorhanden sind. Ist halt so.
Data2006 schrieb:
Kann es sein das die Festplatte eben nicht neu war?
Welche Signatur sollte ein Raw-Image auch haben? Den MBR? Das ergibt ja keinen Sinn, denn PhotoRec ist, wie du richtig schreibt ein FileCarver und kein Tool, um verlorene Partitionen zu finden.
Was war auf der Festplatte drauf, Imagedateien? Zufällig als Raw-Image erzeugt? Das würde das Bild erklären. Dann wird jede Partition aus einem Image als neue Partition erkannt.
Dazu kommt, dass du für den Scan offensichtlich alle Dateisysteme ausgewählt hattest. Das bringt nichts. Du wirst ja hoffentlich wissen, welches Dateisystem auf dem Datenträger gewesen war. Nur das kannst du dann auswählen und danach suchen lassen.
