https://www.cgsecurity.org/wiki/Schritt_f%C3%BCr_Schritt_Wiederherstellungsbeispiel
Problembeispiel
Wir haben eine Festplatte mit 36 GB und 3 Partitionen. Unglücklicherweise:
- Der Bootsektor der primären Partition wurde beschädigt und
- eine logische NTFS-Partition wurde versehentlich gelöscht.
Dieses Wiederherstellungsbeispiel führt in TestDisk Schritt für Schritt durch die Wiederherstellung der 'verlorenen' Partitionen mit:
- Neuschreiben eines korrupten NTFS-Bootsektors, und der
- Wiederherstellung einer versehentlich gelöschten logischen NTFS-Partition.
Die Wiederherstellung einer FAT32-Partition kann durch das Ausführen mit genau den gleichen Schritten wie bei einer NTFS-Partition erfolgen. Beachte bitte auch die anderen Wiederherstellungs-Beispiele. Für Informationen zu FAT12, FAT16, ext2/ext3, HFS+, ReiserFS und andere Partitionstypen benutze bitte den Verweis zu Ausführen von TestDisk.
Siehe auch: " Fehler in der Partitionstabelle mit TestDisk erkennen und reparieren".
Bedingung:
- TestDisk muß mit "Administratorberechtigungen" ausgeführt werden
Wichtige Hinweise für das Verwenden von TestDisk:
- Navigieren in TestDisk erfolgt ausschließlich über die
Pfeil
undBildlauftasten
!- Um fortzufahren bestätige deine Auswahl mit der
Eingabetaste
.- Um zur vorherigen Anzeige zurückzukommen oder TestDisk zu beenden, benutze die q (Quit)-Taste.
- Um Änderungen unter TestDisk zu speichern, musst du sie mit
y
für (Ja) und/oder derEingabetaste
bestätigen, und- Um tatsächlich Partitionsdaten in den MBR zu schreiben, musst du das Menü "Write" auswählen und mit der
Eingabetaste
bestätigen
Symptome
Wenn die Festplatte eine primäre Partition mit Betriebssystem beinhaltet, würde diese sehr wahrscheinlich nicht mehr booten, da der Bootsektor korrupt ist. Wenn die Festplatte aber ein zweites (Daten)-Laufwerk war, oder die bootfähige Festplatte kann an einen anderen Computer zum Beispiel an einem secondary IDE-Anschluß (an dem normalerweise CD/DVD-Laufwerke angeschlossen sind, können folgende Symptome beobachtet werden:
- Der Windows Explorer oder die Datenträgerverwaltung zeigt die erste Partition als RAW oder unformatiert an und Windows fragt:
Das Laufwerk ist nicht formatiert, möchten Sie es jetzt formatieren?
[Dieses sollte nie gemacht werden, ohne genau zu wissen warum] - Eine logische Partition fehlt . In Windows-Explorer ist dieses logische Laufwerk nicht mehr vorhanden. Die Windows-Datenträgerverwaltung zeigt jetzt nur noch einen "nicht zugeordneten Speicher" an, auf dem sich die logische Partition vorher befunden hatte.
- Die typische Laufwerksbezeichnung z.B. "Daten" fehlt, die man dem Laufwerk selbst gegeben hat. Stattdessen erscheint oft eine leere Laufswerksbezeichung.
Das TestDisk-Programm ausführen
Wenn TestDisk noch nicht installiert ist, kann es hier heruntergeladen werden. Extrahiere die Dateien vom Archiv, einschließlich der Unterverzeichnisse.
Um Dateien von einer Festplatte, USB-Stick oder Smartcard ... wiederherzustellen, werden entsprechende Rechte um auf die Datenträger zuzugreifen vorrausgesetzt.
- Unter Dos, führe TestDisk.exe aus
- Unter Windows, starte TestDisk (ie testdisk-6.9/win/testdisk_win.exe) von einem Konto in der Administrator-Gruppe. Unter Vista, führe Rechtsklick und "als Administrator ausführen" aus, um TestDisk zu starten.
- Unter Unix/Linux/BSD, muß TestDisk als root ausgeführt werden (ie.
sudo testdisk-6.9/linux/testdisk_static
) - Unter MacOSX, wenn du nicht root bist, TestDisk (ie testdisk-6.9/darwin/TestDisk) wird sich selber mit sudo neu starten, wenn du es von deiner Seite aus bestätigst.
- Under OS/2, TestDisk kann nicht mit physikalische Festplatten umgehen, leider nur mit Disk-Images, sorry.
Um eine Partition von einem Datenträger wiederherzustellen oder ein Dateisystem-Image zu reparieren, führe folgendes aus:
testdisk image.dd
um ein RAW-Laufwerks-Image zu schneidentestdisk image.E01
um Dateien von einen Encase EWF-Image wiederherzustellen.testdisk 'image.E??'
wenn das Encase-Image in mehrere Dateien aufgesplittet ist.
Um ein Dateisystem das nicht in TestDisk gelistet ist zu reparieren, führe testdisk device
aus, das heißt
testdisk /dev/mapper/truecrypt0
um NTFS oder FAT32 Bootsektor-Dateien von einer TrueCrypt-Partition zu reparieren. Die selbe Methode funktioniert auch mit einem Dateisystem, das mit cryptsetup/dm-crypt/LUKS verschlüsselt wurde.testdisk /dev/md0
um ein Dateisystem zu reparieren, das auf einem Linux Raid-Laufwerk liegt.
Log-Datei erstellen
Auf dieser Anzeige kann gewählt werden, ob eine testdisk.log
-Datei erstellt wird, an einer existierenden Log-Datei die Daten angehängt werden oder ob keine Log erstellt wird.
- Wähle Create, es sei denn es gibt einen Grund um Daten an einer existierenden Log-Datei anzuhängen, oder wenn TestDisk von einem Read Only (nur-lesen)-Datenträger ausgeführt wird und nicht gespeichert werden kann.
- Bestätige mit der Eingabetaste.
Festplatten-Auswahl
Alle Festplatten sollten entdeckt und in TestDisk mit der korrekten Größe gelistet sein:
- Benutze die Pfeil nach oben/unten-Tasten um die Festplatte mit der/n verlorenen Partiton/en auszuwählen.
- Bestätige mit der Eingabetaste.
Auswahl des Partitionstabellen-Typs
TestDisk zeigt die Partitionstabellen-Typen an.
- Wähle bitte den entsprechenden Partitionstabellen-Typ aus, normalerweise ist der Standard-Wert der richtige, da TestDisk den Partitionstabellen-Typ automatisch entdeckt.
- Bestätige mit der Eingabetaste.
Gegenwärtige Partitionstabellen-Status
TestDisk zeigt die Menüs an (siehe auch TestDisk Menüpunkte).
- Verwende das Standardmenü "Analyse", um deine gegenwärtige Partitionsstruktur zu untersuchen und um nach verlorenen Partitionen zu suchen.
- Bestätige bei Analyse mit der Eingabetaste um fortzufahren.
- Jetzt wird die gegenwärtige Partitionsstruktur gelistet.
Überprüfe deine jetzige Partitionsstruktur auf verlorene Partitionen und Fehler.
Die erste Partition ist zweimal gelistet, das auf eine korrupte Partition oder einen ungültigen Partitionstabelleneintrag hinweist.
Invalid NTFS boot (ungültiges NTFS Boot) weist auf einen fehlerhaften Bootsektor und ein korruptes Dateisystem hin.
Nur eine logische Partition (label Partition 2) ist in der erweiterten Partition verfügbar. Eine logische Partition wird vermisst.
- Bestätige bei Quick Search um fortzufahren.
Während der Quick Search (schnellen Suche) fand TestDisk zwei Partitionen, einschließlich der vermißten Partition mit der Bezeichnung Partition 3
.
- Markiere die Partition und drücke p um die Dateien zu listen (um zur vorigen Anzeige zurückzukommen, drücke q für Quit).
Alle Verzeichnisse und Daten werden korrekt angezeigt.
- Drücke die Eingabetaste um fortzufahren.
Die Partitionstabelle abspeichern oder für mehr Partitionen suchen ?
- Wenn alle Partitionen bereits vorhanden sind und die Daten korrekt angezeigt wurden, solltest du gleich zum Menü Write gehen und die Partitionsstruktur sichern. Das Menü
Extd Part
gibt dir die Möglichkeit zu entscheiden, ob die erweiterte Partition den gesamten verfügbaren oder nur den erforderlichen (minimalen) Speicherplatz benutzt. - Da die erste Partition immer noch vermißt wird, markiere das Menü Deeper Search (Tiefere Suche) (wenn nicht bereits schon automatisch geschehen) und drücke die Eingabetaste um fortzusetzen.
Eine Partition fehlt immer noch: Deeper Search (Die tiefere Suche)
Die tiefere Suche Deeper Search sucht um mehr Partitionen zu entdecken, nach jeglichen FAT32-Backup-Bootsektor, NTFS-Backup-Boot-Superblock und ext2/ext3-Backup-Superblock, dabei wird jeder einzelne Cylinder gescannt.
Nach der tieferen Suche "Deeper Search", werden die Ergebnisse wie folgt angezeigt:
Die erste Partition "Partition 1" wurde anhand des Backups vom Bootsektor gefunden. Dieses wird auch ganz unten auf der Anzeige in der letzten Zeile mit der Meldung "NTFS found using backup sector!," -> (NTFS unter Verwendung des Backup vom Bootsektor gefunden) und der Größe der Partition angezeigt.
Die Partition muß dabei markiert sein.
Die "Partition 2" wird zweimal mit unterschiedlicher Größe angezeigt.
Beide Partitionen werden mit dem Status D für deleted (gelöscht) dargestellt, da sie sich überlappen.
- Markiere die erste Partition
Partition 2
und drücke p um die Daten anzuzeigen.
Das Dateisystem der oberen Partition (Name Partition 2) ist beschädigt.Drücke q für Quit um zur vorigen Anzeige zurück zu gelangen.
- Belasse die Partition
Partition 2
mit dem beschädigten Dateisystem alsD(für gelöscht)
markiert. - Markiere die zweite Partition
Partition 2
darunter und - Drücke p um die Dateien aufzulisten.
Es funktioniert, du hast die korrekte Partition gefunden!
- Benutze den Links/Rechts-Pfeil um in deine Ordner zu navigieren und deine Daten auf Richtigkeit zu überprüfen
Beachte: Bei FAT ist der Verzeichniseintrag auf 10 Cluster beschränkt, einige Dateien werden deshalb nicht erscheinen, es beeinflusst aber nicht die Wiederherstellung.
- Drücke q für Quit um zur vorigen Anzeige zurück zu gelangen.
- Verfügbare Statuse sind Primär), * (Stern) bootfähig, Logisch und D für deleted -> gelöscht.
Benutze die Links/Rechts-Pfeiltaste, um den Status der ausgewählten Partition auf L(ogical)
(für logisches Laufwerk, siehst du ganz links) zu setzen.
Hinweis: Wie erkenne ich eine primäre Partition oder ein logisches Laufwerk?
Beachte: Wenn eine Partition als * (Stern für bootfähig) angezeigt wird, und von dieser Partition nicht gebootet wird, kann diese Partition auf P für nur primär gesetzt werden.
- Bestätige mit der Eingabetaste um fortzusetzen.
Partitionstabellen-Wiederherstellung
Es ist jetzt möglich, die neue Partitionsstruktur zu schreiben.
Beachte: Die erweiterte Partition (E extended LBA) ist hier automatisch gesetzt. TestDisk erkennt dieses anhand der unterschiedlichen Partitionsstruktur.
- Bestätige bei Write mit der Eingabetaste, y und Ok.
Jetzt sind alle Partitionen in der Partitionstabelle registriert.
Wiederherstellung des NTFS-Bootsektors
Der Bootsektor der ersten Partition mit Name Partition 1
ist noch beschädigt. Es ist Zeit, dieses in Ordnung zu bringen. Der Status des NTFS-Bootsektors ist bad (schlecht) und das Backup vom Bootsektor (backup boot sector Ok) wird gültig angezeigt. Auch sind beide Sektoren nicht identisch (sectors are not identical).
- Um das Backup des Bootsektors über den Bootsektor zu kopieren, wähle Backup BS aus, bestätige mit der Eingabetaste, bestätige weiter mit
y
und der Eingabetaste bei Ok.
Mehr Informationen über die Reparatur des Bootsektors unter Ausführen von TestDisk und TestDisk Menüpunkte).
Die folgende Meldung wird angezeigt:
Der Bootsektor und das Backup vom Bootsektor sind nun beide OK und identisch (identical): der NTFS-Bootsektor wurde erfolgreich wiederhergestellt.
- Bestätige bei Quit mit der Eingabetaste.
Du erhältst dann folgende Anzeige.
- Bestätige bei OK mit der Eingabetaste und beende Testdisk jeweils mit Quit.
- Um auf die Daten wieder zuzugreifen, muß der Computer neu gestartet werden.
Wiederherstellung gelöschter Dateien
TestDisk kann
- Dateien und Ordner von FAT12, FAT16 und FAT32-Dateisystem wiederherstellen,
- Dateien von ext2-Dateisystem wiederherstellen,
- Dateien von einer NTFS-Partition wiederherstellen seit Version 6.11.
Wenn es für andere Dateisystem nicht funktioniert, kann PhotoRec, ein auf Signaturen basierendes Dateiwiederherstellungs-Hilfsprogramm versucht werden.
Stand: 2023-12-11