easeus.log interpretieren. Wurde RAW anders verwendet? Erinnerungshilfe.

[floogy]

Hallo,

Mir ist Gestern ein Lapsus unterlaufen (oder vielleicht auch nicht). Ich habe eine logische Partition innerhalb einer erweiterten Partition gelöscht. Sie war im Gerätemanager mit RAW markiert. Während des Löschens beschlich mich die Vermutung, einen Fehler begangen zu haben. Möglicherweise hatte ich diese Partition angelegt, um z.B. per ZFS oder BTRFS etwas zu testen. Ich fand aber keine Hinweise, außer ein easeus.log, das allerdings zu neu war. Im VSS Snapshot konnte ich aber noch eine frühere Version von gestern finden.

Nun geht es um die Interpretation des Logs. Die Partitionstypen sind dezimal angegeben.

Spoiler: easeus.log

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138

2020-01-19 22:43:12 [M:48,T/P:11476/7108] TbPathSwap :\tbdataswap.dat 2020-01-19 22:43:12 [M:48,T/P:11476/7108] TbDataSwap: Error = 0x1ae48105, Line = 430 2020-01-19 22:43:12 [M:48,T/P:11476/7108] TbDataSwap: Error = 0x1ae48105, continue 2020-01-19 22:43:12 [M:20,T/P:11476/7108] [EnumDisk]GetPartitionNum:iskIndex:3 2020-01-19 22:43:12 [M:20,T/P:11476/7108] [EnumDisk]GetPartitionNum 824 2020-01-19 22:43:12 [M:20,T/P:11476/7108] [EnumDisk]GetPartitionNum:iskIndex:3 2020-01-19 22:43:12 [M:20,T/P:11476/7108] [EnumDisk]GetPartitionNum 824 2020-01-19 22:43:12 [M:20,T/P:11476/7108] [EnumDisk]GetPartitionInfo:iskIndex:3, PartitionIndex:0 2020-01-19 22:43:12 [M:20,T/P:11476/7108] DiskNumber:3 2020-01-19 22:43:12 [M:20,T/P:11476/7108] PartitionNumber:0 2020-01-19 22:43:12 [M:20,T/P:11476/7108] DiskSignature:1565092250d 2020-01-19 22:43:12 [M:20,T/P:11476/7108] HiddenSector:0d 2020-01-19 22:43:12 [M:20,T/P:11476/7108] StartSector:8d 2020-01-19 22:43:12 [M:20,T/P:11476/7108] TotalSector:745286410d 2020-01-19 22:43:12 [M:20,T/P:11476/7108] UsedSector:413881152d 2020-01-19 22:43:12 [M:20,T/P:11476/7108] FSTotalSector:745286409d 2020-01-19 22:43:12 [M:20,T/P:11476/7108] Driver:C 2020-01-19 22:43:12 [M:20,T/P:11476/7108] PartitionType:7 2020-01-19 22:43:12 [M:20,T/P:11476/7108] IsActive:1 2020-01-19 22:43:12 [M:20,T/P:11476/7108] IsBoot:1 2020-01-19 22:43:12 [M:20,T/P:11476/7108] IsSystem:1 2020-01-19 22:43:12 [M:20,T/P:11476/7108] IsPrimary:1 2020-01-19 22:43:12 [M:20,T/P:11476/7108] IsLogical:0 2020-01-19 22:43:12 [M:20,T/P:11476/7108] IsReadOnly:0 2020-01-19 22:43:12 [M:20,T/P:11476/7108] VolumeType:4 2020-01-19 22:43:12 [M:20,T/P:11476/7108] ClusterSize:8 2020-01-19 22:43:12 [M:20,T/P:11476/7108] IsHidden:0 2020-01-19 22:43:12 [M:20,T/P:11476/7108] IsBad:0 2020-01-19 22:43:12 [M:20,T/P:11476/7108] IsDynamic:0 2020-01-19 22:43:12 [M:20,T/P:11476/7108] IsGPT:0 2020-01-19 22:43:12 [M:20,T/P:11476/7108] IsOffline:0 2020-01-19 22:43:12 [M:20,T/P:11476/7108] IsSecBySec:0 2020-01-19 22:43:12 [M:20,T/P:11476/7108] SectorSize:512 2020-01-19 22:43:12 [M:20,T/P:11476/7108] bIsDiskMount:0 2020-01-19 22:43:12 [M:20,T/P:11476/7108] DynamicVolumeType:0 2020-01-19 22:43:12 [M:20,T/P:11476/7108] 2020-01-19 22:43:12 [M:48,T/P:11476/7108] TbPathSwap C:\tbdataswap.dat 2020-01-19 22:43:12 [M:48,T/P:11476/7108] TbDataSwap: Error = 0x1ae48105, Line = 430 2020-01-19 22:43:12 [M:48,T/P:11476/7108] TbDataSwap: Error = 0x1ae48105, continue 2020-01-19 22:43:12 [M:20,T/P:11476/7108] [EnumDisk]GetPartitionNum:iskIndex:3 2020-01-19 22:43:12 [M:20,T/P:11476/7108] [EnumDisk]GetPartitionNum 824 2020-01-19 22:43:12 [M:20,T/P:11476/7108] [EnumDisk]GetPartitionInfo:iskIndex:3, PartitionIndex:1 2020-01-19 22:43:12 [M:20,T/P:11476/7108] DiskNumber:3 2020-01-19 22:43:12 [M:20,T/P:11476/7108] PartitionNumber:1 2020-01-19 22:43:12 [M:20,T/P:11476/7108] DiskSignature:1565092250d 2020-01-19 22:43:12 [M:20,T/P:11476/7108] HiddenSector:0d 2020-01-19 22:43:12 [M:20,T/P:11476/7108] StartSector:745287680d 2020-01-19 22:43:12 [M:20,T/P:11476/7108] TotalSector:1148928d 2020-01-19 22:43:12 [M:20,T/P:11476/7108] UsedSector:977368d 2020-01-19 22:43:12 [M:20,T/P:11476/7108] FSTotalSector:1148927d 2020-01-19 22:43:12 [M:20,T/P:11476/7108] Driver: 2020-01-19 22:43:12 [M:20,T/P:11476/7108] PartitionType:39 2020-01-19 22:43:12 [M:20,T/P:11476/7108] IsActive:0 2020-01-19 22:43:12 [M:20,T/P:11476/7108] IsBoot:0 2020-01-19 22:43:12 [M:20,T/P:11476/7108] IsSystem:0 2020-01-19 22:43:12 [M:20,T/P:11476/7108] IsPrimary:1 2020-01-19 22:43:12 [M:20,T/P:11476/7108] IsLogical:0 2020-01-19 22:43:12 [M:20,T/P:11476/7108] IsReadOnly:0 2020-01-19 22:43:12 [M:20,T/P:11476/7108] VolumeType:4 2020-01-19 22:43:12 [M:20,T/P:11476/7108] ClusterSize:8 2020-01-19 22:43:12 [M:20,T/P:11476/7108] IsHidden:0 2020-01-19 22:43:12 [M:20,T/P:11476/7108] IsBad:0 2020-01-19 22:43:12 [M:20,T/P:11476/7108] IsDynamic:0 2020-01-19 22:43:12 [M:20,T/P:11476/7108] IsGPT:0 2020-01-19 22:43:12 [M:20,T/P:11476/7108] IsOffline:0 2020-01-19 22:43:12 [M:20,T/P:11476/7108] IsSecBySec:0 2020-01-19 22:43:12 [M:20,T/P:11476/7108] SectorSize:512 2020-01-19 22:43:12 [M:20,T/P:11476/7108] bIsDiskMount:0 2020-01-19 22:43:12 [M:20,T/P:11476/7108] DynamicVolumeType:0 2020-01-19 22:43:12 [M:20,T/P:11476/7108] 2020-01-19 22:43:12 [M:48,T/P:11476/7108] TbPathSwap :\tbdataswap.dat 2020-01-19 22:43:12 [M:48,T/P:11476/7108] TbDataSwap: Error = 0x1ae48105, Line = 430 2020-01-19 22:43:12 [M:48,T/P:11476/7108] TbDataSwap: Error = 0x1ae48105, continue 2020-01-19 22:43:12 [M:20,T/P:11476/7108] [EnumDisk]GetPartitionNum:iskIndex:3 2020-01-19 22:43:12 [M:20,T/P:11476/7108] [EnumDisk]GetPartitionNum 824 2020-01-19 22:43:12 [M:20,T/P:11476/7108] [EnumDisk]GetPartitionInfo:iskIndex:3, PartitionIndex:2 2020-01-19 22:43:12 [M:20,T/P:11476/7108] DiskNumber:3 2020-01-19 22:43:12 [M:20,T/P:11476/7108] PartitionNumber:2 2020-01-19 22:43:12 [M:20,T/P:11476/7108] DiskSignature:1565092250d 2020-01-19 22:43:12 [M:20,T/P:11476/7108] HiddenSector:63d 2020-01-19 22:43:12 [M:20,T/P:11476/7108] StartSector:746444223d 2020-01-19 22:43:12 [M:20,T/P:11476/7108] TotalSector:1207059777d 2020-01-19 22:43:12 [M:20,T/P:11476/7108] UsedSector:1207059777d 2020-01-19 22:43:12 [M:20,T/P:11476/7108] FSTotalSector:0d 2020-01-19 22:43:12 [M:20,T/P:11476/7108] Driver:J 2020-01-19 22:43:12 [M:20,T/P:11476/7108] PartitionType:14 2020-01-19 22:43:12 [M:20,T/P:11476/7108] IsActive:0 2020-01-19 22:43:12 [M:20,T/P:11476/7108] IsBoot:0 2020-01-19 22:43:12 [M:20,T/P:11476/7108] IsSystem:0 2020-01-19 22:43:12 [M:20,T/P:11476/7108] IsPrimary:0 2020-01-19 22:43:12 [M:20,T/P:11476/7108] IsLogical:0 2020-01-19 22:43:12 [M:20,T/P:11476/7108] IsReadOnly:0 2020-01-19 22:43:12 [M:20,T/P:11476/7108] VolumeType:0 2020-01-19 22:43:12 [M:20,T/P:11476/7108] ClusterSize:0 2020-01-19 22:43:12 [M:20,T/P:11476/7108] IsHidden:0 2020-01-19 22:43:12 [M:20,T/P:11476/7108] IsBad:0 2020-01-19 22:43:12 [M:20,T/P:11476/7108] IsDynamic:0 2020-01-19 22:43:12 [M:20,T/P:11476/7108] IsGPT:0 2020-01-19 22:43:12 [M:20,T/P:11476/7108] IsOffline:0 2020-01-19 22:43:12 [M:20,T/P:11476/7108] IsSecBySec:0 2020-01-19 22:43:12 [M:20,T/P:11476/7108] SectorSize:512 2020-01-19 22:43:12 [M:20,T/P:11476/7108] bIsDiskMount:0 2020-01-19 22:43:12 [M:20,T/P:11476/7108] DynamicVolumeType:0 2020-01-19 22:43:12 [M:20,T/P:11476/7108] 2020-01-19 22:43:12 [M:48,T/P:11476/7108] TbPathSwap J:\tbdataswap.dat 2020-01-19 22:43:12 [M:48,T/P:11476/7108] TbDataSwap: Error = 0x1ae48105, Line = 430 2020-01-19 22:43:12 [M:48,T/P:11476/7108] TbDataSwap: Error = 0x1ae48105, continue 2020-01-19 22:43:12 [M:20,T/P:11476/7108] [EnumDisk]GetPartitionNum:iskIndex:3 2020-01-19 22:43:12 [M:20,T/P:11476/7108] [EnumDisk]GetPartitionNum 824 2020-01-19 22:43:12 [M:20,T/P:11476/7108] [EnumDisk]GetPartitionInfo:iskIndex:3, PartitionIndex:3 2020-01-19 22:43:12 [M:20,T/P:11476/7108] DiskNumber:3 2020-01-19 22:43:12 [M:20,T/P:11476/7108] PartitionNumber:3 2020-01-19 22:43:12 [M:20,T/P:11476/7108] DiskSignature:1565092250d 2020-01-19 22:43:12 [M:20,T/P:11476/7108] HiddenSector:63d 2020-01-19 22:43:12 [M:20,T/P:11476/7108] StartSector:1953504000d 2020-01-19 22:43:12 [M:20,T/P:11476/7108] TotalSector:21168d 2020-01-19 22:43:12 [M:20,T/P:11476/7108] UsedSector:0d 2020-01-19 22:43:12 [M:20,T/P:11476/7108] FSTotalSector:0d 2020-01-19 22:43:12 [M:20,T/P:11476/7108] Driver: 2020-01-19 22:43:12 [M:20,T/P:11476/7108] PartitionType:0 2020-01-19 22:43:12 [M:20,T/P:11476/7108] IsActive:0 2020-01-19 22:43:12 [M:20,T/P:11476/7108] IsBoot:0 2020-01-19 22:43:12 [M:20,T/P:11476/7108] IsSystem:0 2020-01-19 22:43:12 [M:20,T/P:11476/7108] IsPrimary:0 2020-01-19 22:43:12 [M:20,T/P:11476/7108] IsLogical:0 2020-01-19 22:43:12 [M:20,T/P:11476/7108] IsReadOnly:0 2020-01-19 22:43:12 [M:20,T/P:11476/7108] VolumeType:254 2020-01-19 22:43:12 [M:20,T/P:11476/7108] ClusterSize:0 2020-01-19 22:43:12 [M:20,T/P:11476/7108] IsHidden:0 2020-01-19 22:43:12 [M:20,T/P:11476/7108] IsBad:0 2020-01-19 22:43:12 [M:20,T/P:11476/7108] IsDynamic:0 2020-01-19 22:43:12 [M:20,T/P:11476/7108] IsGPT:0 2020-01-19 22:43:12 [M:20,T/P:11476/7108] IsOffline:0 2020-01-19 22:43:12 [M:20,T/P:11476/7108] IsSecBySec:0 2020-01-19 22:43:12 [M:20,T/P:11476/7108] SectorSize:512 2020-01-19 22:43:12 [M:20,T/P:11476/7108] bIsDiskMount:0 2020-01-19 22:43:12 [M:20,T/P:11476/7108] DynamicVolumeType:0 2020-01-19 22:43:12 [M:20,T/P:11476/7108]

Wir haben PartitionType:7, PartitionType:39, PartitionType:14, PartitionType:0

Part ___ Dec _ Hex
1. Part0: 7 __ 7: Windows NT NTFS
2. Part1: 39 __ 27: Windows RE hidden partition
3. Part2: 14 __ E: WIN95: DOS 16-bit FAT
4. Part3: 0 __ 0: Empty

0e WIN95: DOS 16-bit FAT, LBA-mapped 0f WIN95: Extended partition, LBA-mapped
Windows 95 uses 0e and 0f as the extended-INT13 equivalents of 06 and 05. For the problems this causes, see Possible data loss with LBA and INT13 extensions. (Especially when going back and forth between MSDOS and Windows 95, strange things may happen with a type 0e or 0f partition.) Windows NT does not recognize the four W95 types 0b, 0c, 0e, 0f ( Win95 Partition Types Not Recognized by Windows NT). DRDOS 7.03 does not support this type (but DRDOS 7.04 does).

https://www.win.tue.nl/~aeb/partitions/partition_types-1.html

Mich würde nun interessieren, wie diese beiden Angaben über die 3. Partition Part2: 14 __ E: WIN95: DOS 16-bit FAT zu interpretieren sind:
2020-01-19 22:43:12 [M:20,T/P:11476/7108] UsedSector:1207059777d
2020-01-19 22:43:12 [M:20,T/P:11476/7108] FSTotalSector:0d

Ich würde sagen, Alle Sektoren sind von der extended Partition belegt, die aber kein Filesystem enthält? 0d (0 dezimal)

Was aber dabei merkwürdig ist, dass das Testdiskimage sich nicht komprimieren lässt. Das heißt, die 575GB Imagedatei ist nach der Komprimierung mit 7Zip als image.dd.7z etwa genauso groß, wie das image.dd vo Testdisk.

Also sind das nicht hauptsächlich Nullen, also unbelegte Sektoren ...

Dass ich diese Partition angelegt habe liegt weiter zurück, etwa Oktober November. Da hatte ich mich mit einem wiederaufgefundenem Windows XP und Windows 98 VirtualBox beschäftigt, was eventuell erklären könnte, dass die extended Partition mit E (14d) gekennzeichnet ist. Leider reicht das Gedächtnis gerade noch nicht so weit zurück. Ich glaube auch kaum, dass mir ohne ein Hinweis in einer Aufzeichnung oder einem Log dazu noch etwas einfällt.

Alter Screenshot

 

[Jesterfox]

Was aber dabei merkwürdig ist, dass das Testdiskimage sich nicht komprimieren lässt.

Was mir dazu einfällt ist das es eine verschlüsselte Partition sein könnte, die besteht auch wenn sie leer ist aus scheinbar zufälligen Daten die sich nicht komprimieren lassen.

 

[floogy]

Schade, dass ich mir nicht sicher bin, dass die RAW Partition noch ungenutzt war. Na gut. Dann werde ich mal die anderen Systeme starten und schauen, ob sich dort Hinweise finden. Ich meine eventuell mal mit einer raw hdd vhd oder mit zvol etc. experimentiert zu haben. Mit iSCSI aber wohl eher nicht. Verschlüsselung eher auch nicht.

$ ls -l "L:\Data\outsourced data\images"/crucial*
-rw-r--r-- 1 floogy None 576G 21. Jan 14:12 'L:\Data\outsourced data\images/crucial_1TB_SSD_HD3Vol0_extended_J_testdisk_image.7z'
-rw-r--r-- 1 floogy None 576G 20. Jan 22:59 'L:\Data\outsourced data\images/crucial_1TB_SSD_HD3Vol0_extended_J_testdisk_image.dd'

Okay. Ich bin mir sowieso unsicher, ob das wiederherzustellen wäre, da die extended ja leider nicht über den ganzen freien Platz erstellt wurde, und ich das nach dem Löschen der „falschen“ Partition wieder versuchte das Layout so zu erstellen, wie es war. Aber da hatte ich das easeus.log noch nicht gefunden und daher die Erweiterte mit diskpart über den ganzen freien SSD-Platz erstellt. Ich hatte zuvor mit testdisk versucht etwas zu finden, aber das fand nur die wieder gelöschte neu angelegte Partition. Photorec fand 5 falsche 2-3GB große unbrauchbare flv Dateien, die wohl eher keine waren (falsch interpretiert) und eine ebenso falsche mp3 Datei. Im HexEditor findet sich nur Kauderwelsch, allerdings wohl in voller Belegung. Ich hatte die Hoffnung, dass es nur wenige Daten sind, also nicht alle Sektoren und HxD die Sektoren mit 00 einfach nicht darstellt .

Jedenfalls habe ich die Sektoren in eine Image-Datei gesichert, die nun Platz verbraucht. Und die original Partition, also SSD, habe ich nun wieder als extended frei gegeben und die logische Partition wieder angelegt, die ich zuvor unachtsam anlegte. Wenn mir etwas einfällt, lässt sich eventuell ja mit dem image irgendwann noch was anfangen. Oder ich stelle fest: Kein Problem, wegen Testverwendung sind keine wichtigen Daten verloren gegangen, falls ich einen Hinweis finden sollte, der mir wieder den Zugang zu der verschütteten Erinnerung zurückruft.

Ich nehme mal an FSTotalSector:0d sagt jetzt nicht unbedingt aus, dass da nichts war, sondern nur, dass, falls ein Dateisystem besteht, es nicht von easeus oder der Datenträgerverwaltung erkannt wird. Mal Linux booten etc.

Ah, eine leichte Erinnerung: Ich hatte auch mal eine VHD im Gerätemanager gemounted. Hm, aber das war wohl was anderes, das sind ja Imagedateien ... Ja, das hatte ich auch wieder per Datenträgerverwaltung ausgehangen.