Keine Partition in Testdisk auch nach "deeper search"

[Flyget]

Hallo zusammen,

als erstes möchte ich fairerweise erwähnen, dass ich dieses Problem auch im cgsecurity.org - Forum geschildert habe. Da die Zeit etwas drängt, jetzt eben auch noch hier.

Als erstes die Vorgeschichte:
- Laptop-Netzteil an MyBook mit 2TB angeschlossen -> Festplatte rührt sich nicht mehr
- Austausch der Festplattenelektronik mit "Bios-Swap", Firmware wurde also übertragen.
- Festplatte läuft wieder an!

Nun zum Problem:
Die Festplatte wird erkannt, allerdings will Windwos den MBR neu schreiben. Dies wurde nicht durchgeführt, und die Festplatte nun an ein Linuxsystem angeschlossen. Die Festplatte wird in Testdisk (Beta 7.0) erkannt, und etwa 18xx MB als Speicherplatz angezeigt. Als erstes wurde dann mit Testdisk ein "Quicksearch" durchgeführt, leider ohne Erfolg. Bei der Deepsearch wurde anschließend auch keine Partition erkannt.

Momentan läuft mal PhotoRec und ich schau, was an Daten gefunden wird.

Habt ihr noch Ideen, wie ich die Daten retten kann?

Beste Grüße,
Fabi

 

[SkaFan]

versuch mal unter linux die platte mit "sudo mount -t ntfs -o,ro /dev/sdX1 /ziel" zu mounten. /zeil must zu vorher erstellen und sdX1 mit deiner "defekten" platte ersetzen. kannst dir alle platten z.b. mit "sudo fdisk -l" anzeigen lassen

bei mir war auch mal der MFT defekt, windows war total am ende und mount meinte dann nur, MFT kaputt - nutze backup MFT und alle daten waren wieder da.


EDIT:
PhotoRec nützt dir dabei übrigens gar nix! das kann nur einzelne dateien wieder herstellen, und braucht dazu ne heiles dateisystem.

 

[Simpson474]

Öffne die HDD mal in HxD oder WinHex ("Extras" bzw. "Tools" -> "Open Disk") und stell einen Screenshot von Sektor 63 und Sektor 2048 hier rein. Außerdem wäre eine Screenshot von CrystalDiskInfo interessant.

PhotoRec nützt dir dabei übrigens gar nix! das kann nur einzelne dateien wieder herstellen, und braucht dazu ne heiles dateisystem.

PhotoRec verwendet keinerlei Informationen aus dem Dateisystem: aus diesem Grund kann das Programm nur Dateien wiederherstellen, welche über einen eindeutigen Dateiheader verfügen und nicht fragmentiert sind.

 

[Flyget]

Besten Dank schonmal für die Antworten!

Der erste Screenshot zeigt die Ausgabe beim Versuch die Festplatte zu mounten. NTFS signature is missing... und so weiter

Im zweiten Screenshot sollte der Sektor 63 der Festplatte zu sehen sein, wenn ich mich nicht täusche. Position hab ich per folgender Rechnung berechnet: Sektor 63 liegt bei (mit vermuteten 512Byte Sektoren) Byte 32256. Dies entspricht 0x7e00. Sektor 2048 entspricht dann Byte 100000. Soweit richtig?

Der dritte Screenshot zeigt dementsprechend hoffentlich Sektor 2048.

Sorry, dass ich nicht die vorgeschlagenen HEX-Programme nutzen kann, die Festplatte hängt inzwischen per SATA im Linux-Server. Auf diesem läuft nur ein SSH, bzw halt ne Konsole.

 

[Simpson474]

Nicht gut, gar nicht gut: kann es sein, dass das externe Gehäuse mit Hardwareverschlüsselung beworben wurden? Deine Rechnung ist richtig, die Sektoren sollten passen: die Daten die man dort sieht, sollten jedoch nicht so aussehen. Hat das Gehäuse überlebt? Bitte zunächst mit einer unwichtigen HDD testen, ansonsten könnte das Gehäuse im schlimmsten Fall die HDD gleich wieder killen.

 

[Flyget]

Das Gehäuse liegt noch hier, kann ich morgen gerne testen. Modellnummer des MyBook Essential lautet "wdbacw0020hbk-01". Wenn ich bei Amazon schaue, steht bei einem Modell "wdbacw0020hbk" Hardwareverschlüsselung mit dabei. Könnte nat. sein das es dann bei dem hier liegenden Gehäuse auch mit integriert ist *grrrrr*.

Ich werde morgen mal eine andere Festplatte einbauen und testen. Kann man da jede beliebige Festplatte einbaun? Oder gibts da irgendwelche Vorraussetzungen (Kapazität...). Werde morgen auf jedenfall berichten.

Nur mal rein Informativ. Wie sollten denn die Sektoren 63 und 2048 aussehen, und warum?

 

[Simpson474]

Je nachdem ob Windows XP (oder früher) bzw. Windows Vista (oder neuer) die HDD partitioniert hat, liegt der Beginn der NTFS Partition bei Sektor 63 (Windows XP) oder Sektor 2048 (Windows Vista): dieser enthält an Offset 3 das Wort NTFS. Außerdem sieht zumindest Sektor 2048 verschlüsselt aus, die Daten sehen zufällig und nicht komprimierbar aus. Ist die HDD verschlüsselt, so sollten alle beschriebenen Sektoren so aussehen wie Sektor 2048: sollte Photorec keine einzige deiner Dateien wiederherstellen können, so ist dies ebenfalls ein starker Hinweis auf eine Hardwareverschlüsselung.

EDIT: Theoretisch solltest du jede HDD in das Gehäuse packen können (größer wie 2 TB würde ich jedoch nicht wagen) - ich hoffe nur, dass das Gehäuse beim Wechsel der HDD den Verschlüsselungskey nicht ändert (ist unwahrscheinlich, ich kenne jedoch bei Western Digital Controller, die Anhand der HDD Größe zumindest die 4KB Emulation der Sektoren umkonfigurieren). Du musst also das Risiko abwägen, ob du zunächst eine andere HDD testen willst (und damit eine Änderung des Keys riskierst) oder ob du direkt die betroffene HDD einbaust (und Rauchentwicklung an der HDD riskierst). Einfache Gehäuse (ohne Hardwareverschlüsselung) haben normal kein Problem mit 20V, die verbauten Spannungswandler geben meist erst über 30V auf - je mehr Elektronik im Gehäuse steckt, desto höher ist die Gefahr, dass 20V auch das Gehäuse zerstört haben. Bei einer Hardwareverschlüsselung kann ich dir jedoch jetzt schon garantieren: ist der Controller im Gehäuse defekt, in welchem der Key gespeichert ist, so kommt höchstens noch die NSA an die Daten.

 

[Flyget]

Besten Dank für die Infos!

Inzwischen hab ich die Festplatte mal mit dem ursprünglichen USB-Controler aus dem Gehäuse angeschlossen, und es funktioniert wohl soweit noch. Momentan läuft ein Testdisk quick-search, aber es gibt wohl unzählige Lesefehler... Anbei mal ein Screenshot:



Schon irgendwelche Vorschläge? Sonst werd ich mich melden, sobald der Quickserach fertig ist.

Beste Grüße,
Fabi

 

[Simpson474]

Ein Screenshot der beiden Sektoren wäre noch einmal interessant.

 

[Flyget]

Hallo nochmal,

also inzwischen gibts hier sehr positive Nachrichten zu vermelden. Nachdem unzählige Read-error Meldungen kamen und testdisk bei 60% eine kernel-panic verursacht hat, hab ich die Festplatte mal versuchsweise wieder an einen Windows-PC gehängt. Dort kam auch gleich eine Meldung, ob ich den Datenträger entsperren möchte. Nachdem ich bei meinem Bruder das PW erfragt hatte, waren alle Daten vorhanden, als wäre nichts passiert!

*puuuuhhhhhh*


Evtl. hat sich die Festplatte unter Linux nicht richtig gemeldet, oder was auch immer der komische WD-Controler da so alles treibt, bis man sein PW eingegeben hat. Kann es sein, dass es ernstere Probleme unter Linux (auf der Konsole) gibt, wenn man die Platte nicht mit dem Passwort freigeschaltet hat? Kann man die Festplatte überhaupt über die Konsole entsperren?!

Fest steht auf jedenfall, dass 1. nie wieder ein MyBook ins Haus kommt, 2. die bestehenden MyBooks ausgeschlachtet werden, und die Festplatten in Gehäuse kommen OHNE eine Hardwareverschlüsselung (was für ein Unsinn!), und 3. das computerbase-forum eine top Anlaufstelle ist!

Besten Dank nochmal an alle, die mitgeholfen haben!!!

Fabi