Daten von NTFS-Partition wiederherstellen

    Hallo Leute,

    welchen optimalen Weg gibt es, Daten von einer NTFS-Partition wiederherzustellen, deren Anfang mit ext2/ext3 überschrieben wurde?

    Kriegt man die ganze Struktur wieder gangfähig oder kann man nur noch einzelne Dateien rausfischen?

    … und muss dafür zwingend eine nur unter Windows lauffähige Recovery-Software her?

    • • • – • – – • – –

    Die ganze Dateisystem-Struktur von NTFS bekommt man ohne den Superblock am Anfang fast nie mehr in Gang und auch TestDisk versagt trotz meist intakt gebliebener MFT (die etwa bei einem Achtel des Dateisystems beginnt) dabei, das überschriebene Dateisystem überhaupt noch zu als solches zu erkennen, geschweige denn seine Struktur zu ermitteln. Da kommen nur noch Tools wie TestDisks Schwesterprogramm PhotoRec in Betracht, die Daten auf Dateibasis aufgrund typischer Dateimerkmale (z. B. des Aufbaus von JPEG- oder Zip-Dateien) wiederherstellen, aber häufig ohne jegliche Metadaten (insbesondere ohne richtigen Dateinamen).

    Ein Versuchs wärs aber mal wert.

    Ich muss nochmal schauen, was genau überschrieben wurde. Ich erinnere mich, dass mir ein Hexdump mal zeigte, dass die Partition komischerweise mit meinen ChatZilla- oder Pidgin-Chatlogs beginnt.

    • • • – • – – • – –

    Zitat von s4ndwichMakeR

    Ich erinnere mich, dass mir ein Hexdump mal zeigte, dass die Partition komischerweise mit meinen ChatZilla- oder Pidgin-Chatlogs beginnt.


    Diese Text-Dokumente kannst du ansonsten auch gar nicht wesentlich anders versuchen zu retten, denn reiner Text in 8-Bit-Kodierung hat inhärent nun mal keine strukturellen Alleinstellungsmerkmale (von einer gewissen Häufung von Zeilenendzeichen abgesehen), die ihn von Datenmüll abheben. ;)

    Ansonsten gibt es hier nähere Informationen, wie man die Suche nach speziellen Dateien in der MFT auch zu Fuß mithilfe eines Hexeditors bewältigen kann:
    NTFS.com File Recovery Concepts & Products
    Den Anfang der MFT kannst du durch systematisches Suchen nach dem Identifier für einen MFT-Record (Äquivalent der Inode unter Unix-Dateisystemen), nämlich „FILE“ (46 49 4C 45) in Vielfachen der NTFS-Clustergröße (meist 4.096 = 0x1000 Byte) finden.

    Normalerweise wird die gesamte Struktur in der Mitte der Platte nochmal gespiegelt (also ne doppelte MFT), aber das müsste man wahrscheinlich von Hand hinfusseln.

    Spoiler anzeigen


    Haupt-Laptop:
    Dell Vostro 3560 - i7-3632QM, 6GB
    Rechenknechte:
    Lenovo - i5, 4GB
    Medion - Pentium Dual Core, 3GB
    IBM T60 - Core Duo, 2GB
    Lenovo T400 - Core2Duo, 2GB
    Server:
    Sony - Pentium M, 512MB
    Unbenutzt:
    Noname - Celeron D, 1GB

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!

Benutzerkonto erstellen Anmelden