Festplatten-Editor

Du suchst ein Programm für einen bestimmten Zweck?
kalamazoo
Beiträge: 65
Registriert: 28.08.2017 11:31:49

Festplatten-Editor

Beitrag von kalamazoo » 30.11.2019 23:58:49

Nachdem Debiantestdisk die alte NTFS-Partition nicht gefunden hat, meine Frage:
Gibt es für Debian/Linux eine Art "Festplatten-Editor" mit dem man die gesamte HD ausgeben kann?
Kurz erklärt, was ich meine: in den Zeiten von DOS gab es -- wenn ich nicht irre -- von Norton oder Symantec eine Utility, mit der man die gesamte Festplatte ausgeben und untersuchen konnte, vom FAT über das Root-Verzeichnis bis hin zu den Dateien und Ordnerstrukturen. Wie ist das unter Debian?
kalamazoo = der Privatanwender, um den Linux immer schon buhlte und der Debian tatsächlich im Büroalltag zu verwenden versucht
=> etwas Geduld mit mir, ich nehme jeden guten Ratschlag gerne an, brauche aber vielleicht etwas länger, diesen auch zu verstehen

michaa7
Beiträge: 3228
Registriert: 12.12.2004 00:46:49
Lizenz eigener Beiträge: MIT Lizenz

Re: Festplatten-Editor

Beitrag von michaa7 » 01.12.2019 02:30:32

Ich verstehe nicht was du mit "ausgeben" meinst, aber vielleicht suchst du Debiangddrescue oder Debianforemost.
gruß

michaa7

-------------------------------
Menschen ändern gelegentlich ihre Ansichten, aber nur selten ihre Motive. (Oskar Negt)
Forumsumfrage: Welche debianartige Distribution / SubDistri nutzt du?
Und wenn ihr textet das Abstimmen im Formular nicht vergessen ...

kalamazoo
Beiträge: 65
Registriert: 28.08.2017 11:31:49

Re: Festplatten-Editor

Beitrag von kalamazoo » 01.12.2019 06:31:08

Danke für die Antwort und sorry für die laienhafte Ausdrucksweise!

Debiangddrescue hatte nicht geholfen, Debianforemost kannte ich zwar noch nicht, ist aber nicht das, was ich suche, obwohl "forensic program" schon mal recht gut klingt

Mit "Ausgeben" meinte ich die Darstellung eines Datenträgers am Bildschirm. Das Programm sollte den Datenträger logisch oder physisch betrachten und byte-weise bearbeitet lassen. Ein "Hex-Editor" kommt dem schon nahe, es sollte aber nicht auf die Bearbeitung von Dateien, sondern von ganzen Partitionen und Datenträgern ausgelegt sein (mit Angabe der Sektoren, Zylinder, Heads, Zugriff auf Metainformationen). Man sollte also den ganzen physischen Datenträger Byte für Byte, Sektor für Sektor durchgehen können.

Zweck: eine Partition ist zwar beschädigt, die Daten müssten aber noch vorhanden sein; ich würde gern die in ihrer Struktur beschädigte Daten lesen und gegebenenfalls wiederherstellen

ich hoffe, das ist jetzt etwas klarer
kalamazoo = der Privatanwender, um den Linux immer schon buhlte und der Debian tatsächlich im Büroalltag zu verwenden versucht
=> etwas Geduld mit mir, ich nehme jeden guten Ratschlag gerne an, brauche aber vielleicht etwas länger, diesen auch zu verstehen

debianoli
Beiträge: 3538
Registriert: 07.11.2007 13:58:49
Wohnort: Augschburg

Re: Festplatten-Editor

Beitrag von debianoli » 01.12.2019 08:57:22

Zuerst solltest du ein Image der kaputten Festplatte anlegen und mit dem arbeiten. Sonst geht da immer mehr kaputt. Du kannst das zB mit cp machen oder per ddrescue

kalamazoo
Beiträge: 65
Registriert: 28.08.2017 11:31:49

Re: Festplatten-Editor

Beitrag von kalamazoo » 01.12.2019 11:27:58

Ist bereits gemacht!
kalamazoo = der Privatanwender, um den Linux immer schon buhlte und der Debian tatsächlich im Büroalltag zu verwenden versucht
=> etwas Geduld mit mir, ich nehme jeden guten Ratschlag gerne an, brauche aber vielleicht etwas länger, diesen auch zu verstehen

michaa7
Beiträge: 3228
Registriert: 12.12.2004 00:46:49
Lizenz eigener Beiträge: MIT Lizenz

Re: Festplatten-Editor

Beitrag von michaa7 » 01.12.2019 13:27:12

... ob das was taugt weiß ich nicht, aber ich habe mal aus spaß an der freud gegoogelt, nach "linux hdd editor", und folgende linux-tools gefunden:

http://www.disk-editor.org/index.html (freeware)
http://www.wxhexeditor.org (freeware)
gruß

michaa7

-------------------------------
Menschen ändern gelegentlich ihre Ansichten, aber nur selten ihre Motive. (Oskar Negt)
Forumsumfrage: Welche debianartige Distribution / SubDistri nutzt du?
Und wenn ihr textet das Abstimmen im Formular nicht vergessen ...

Benutzeravatar
Heliosstyx
Beiträge: 167
Registriert: 14.03.2019 13:25:59

Re: Festplatten-Editor

Beitrag von Heliosstyx » 01.12.2019 13:34:10

Lies das: https://www.ontrack.com/blog/2017/08/17 ... software/ , dann siehst Du auf was Du Dich da einlässt. Wenn Du darin nicht langjährige Berufserfahrung hast, kannst Du die Daten gleich shreddern. Gib das den Profis, dann funktioniert es auch und für das Honorar schulden die Dir auch etwas. Fundiertes Know-How der Festplattentechnologien und der Dateisysteme ist ein absolutes Minimum und zwar detailliert.
8)

wanne
Moderator
Beiträge: 6118
Registriert: 24.05.2010 12:39:42

Re: Festplatten-Editor

Beitrag von wanne » 03.12.2019 05:37:30

kalamazoo hat geschrieben: ↑ zum Beitrag ↑
30.11.2019 23:58:49
Gibt es für Debian/Linux eine Art "Festplatten-Editor" mit dem man die gesamte HD ausgeben kann?
Kurz erklärt, was ich meine: in den Zeiten von DOS gab es -- wenn ich nicht irre -- von Norton oder Symantec eine Utility, mit der man die gesamte Festplatte ausgeben und untersuchen konnte, vom FAT über das Root-Verzeichnis bis hin zu den Dateien und Ordnerstrukturen.
Am Ende kann testdiks das selbe und mehr. Nur wenn die Informationen so kaputt sind, das der nicht mal mehr das ne Partition findet erkennt, brauchst du von MFT oder Ordnerstrukturen garantiert gar nicht erst anfangen...
Du kannst mit photorec versuchen noch einzelne Dateien wiederherzustellen.
Zweck: eine Partition ist zwar beschädigt, die Daten müssten aber noch vorhanden sein; ich würde gern die in ihrer Struktur beschädigte Daten lesen und gegebenenfalls wiederherstellen
Damit testdisk nicht mal mehr den Anfang der ntfs-Partition findet muss schon einiges kaputt sein. Ich glaube du hast massiv eine falsche Vorstellung davon, wie kaputt deine Daten sind. Wie hast du das denn hinbekommen?!
Im Prinzip kannst du das relativ einfach zerstören indem du die beiden Verweise woe die beiden MFTs liegen killst. (liegen leider direkt hintereinander) und ich habe keine Ahnung wie man eine MFT als solche erkennen könnte, wenn man nicht weiß, wo sie ist.) Aber dass du ausgerechnet die triffst...

Am ende kannst du das ding natürlich immer mit nem besseren Hex-Editor öffnen. Aber ich glaube kaum, dass du da was verstehst.
Gibt noch den Magic String 0x000000000000000080008000, an dem du nen NTFS-Bootsektor
den testdisk so nicht kennt. 8 byte später kommen dann die Vereise auf die beiden MFTs. Aber ich glaube nicht, dass das noch lebt, wenn testdisk sonst nichts mehr findet.
rot: Moderator wanne spricht, default: User wanne spricht.

kalamazoo
Beiträge: 65
Registriert: 28.08.2017 11:31:49

Re: Festplatten-Editor

Beitrag von kalamazoo » 03.12.2019 05:56:35

michaa7 hat geschrieben: ↑ zum Beitrag ↑
01.12.2019 13:27:12
http://www.disk-editor.org/index.html (freeware)
http://www.wxhexeditor.org (freeware)
Danke michaa7!
wxhexeditor kenne ich bereits und kommt einem Disk Editor schon recht nahe
disk-editor muss ich erst installieren
mittlerweile habe ich mir foremost näher angesehen, das ist zwar nicht, was ich suche, aber generell recht interessant

Heliosstyx hat geschrieben: ↑ zum Beitrag ↑
01.12.2019 13:34:10
Lies das: https://www.ontrack.com/blog/2017/08/17 ... -software/, dann siehst Du auf was Du Dich da einlässt
guter Artikel, Heliosstyx -- keine Angst, erstens habe ich ein Image der HD erstellt und zweitens sind auf der alten Platte selbst keine wirklich wichtigen Daten, die nicht irgendwo gesichert wären; ich möchte das ganze machen, bevor ich den Datenträger ohnehin neu partitioniere; selbst Schreddern würde mich also nicht wirklich stören

die Profis haben mit mir schon Geschäfte gemacht, hier geht es mir lediglich darum, wieder ein bisschen mit der Festplattenarchitektur herumzuspielen; vor ca.30 Jahren in DOS- und FAT-Zeiten habe ich mich da gar nicht so schlecht ausgekannt (ich habe da mal den FAT und das Root Directory rekonstruiert und händisch neu geschrieben, nachdem irgend ein Windows-Programm die Festplattenkomprimierung nicht erkannt und die Formatierung ungefragt "berichtigt" hat; das hat mich zwar fast einen ganzen Tag gekostet, dann lief aber alles wieder ohne jeglichen Datenverlust ...); mit NTFS konnte dieser Festplatten-Editor dann nicht mehr umgehen; da das Dateisystem aber ohnedies um vieles stabiler war als zuvor, war es aber auch kaum mehr nötig, auf der untersten Ebene Zugriff zu erlangen

im Grunde möchte ich also unter Linux wieder ausprobieren, was auf Bit- und Byte-Ebene überhaupt geht; gerne auch mit einem professionellen Programm, mit dem ich mir dann meine schlaflosen Nächte um die Ohren hauen kann :lol:
kalamazoo = der Privatanwender, um den Linux immer schon buhlte und der Debian tatsächlich im Büroalltag zu verwenden versucht
=> etwas Geduld mit mir, ich nehme jeden guten Ratschlag gerne an, brauche aber vielleicht etwas länger, diesen auch zu verstehen

debianoli
Beiträge: 3538
Registriert: 07.11.2007 13:58:49
Wohnort: Augschburg

Re: Festplatten-Editor

Beitrag von debianoli » 03.12.2019 06:18:32

Ob du bei so etwas speziellem für ein MS-Dateisystem bei GNU/Linux fündig wirst, wage ich zu bezweifeln. Das gibt es eher als Windows Programm.

Ansonsten kann man mit den erwähnten photorec und foremost Dateien suchen lassen. Das klappt. Hier sind noch weitere Tools https://www.maketecheasier.com/recover- ... nux-tools/

wanne
Moderator
Beiträge: 6118
Registriert: 24.05.2010 12:39:42

Re: Festplatten-Editor

Beitrag von wanne » 03.12.2019 06:23:46

kalamazoo hat geschrieben: ↑ zum Beitrag ↑
03.12.2019 05:56:35
mit NTFS konnte dieser Festplatten-Editor dann nicht mehr umgehen; da das Dateisystem aber ohnedies um vieles stabiler war als zuvor, war es aber auch kaum mehr nötig,
Das hat stark miteinander zu tun. NTFS kannst du mit Journaling und passenden Reperaturtools nicht mehr so einfach aus dem Tritt bringen. – Wenn da trotzdem so grundsätzlich was kaputt geht, dass da nicht mal mehr die hauseigenen Reparaturmechanismen greifen kannst du mit einem paar Zeilen tool auch nichts mehr retten. – Ganz abgesehen davon, dass NTFS ne gaaaanz andere Komplexität als FAT hat.
Du kannst dir vor allem mal Debianscrounge-ntfs angucken. Aber auch das, will die Position der MFT haben. – Eine Erkennung solcher ist geplant aber nicht implementiert. – Kurz die haben genau so wenig Ahnung wie ich wo man die her bekommen soll. Eventuell will man sich die Positionen wirklich automatisch mal irgend wo auf den Anfang der Platte dumpen...
Ob du bei so etwas speziellem für ein MS-Dateisystem bei GNU/Linux fündig wirst, wage ich zu bezweifeln. Das gibt es eher als Windows Programm.
Glaube nicht, dass sich die Toolings so viel schenken.
rot: Moderator wanne spricht, default: User wanne spricht.

kalamazoo
Beiträge: 65
Registriert: 28.08.2017 11:31:49

Re: Festplatten-Editor

Beitrag von kalamazoo » 03.12.2019 19:55:14

debianoli hat geschrieben: ↑ zum Beitrag ↑
03.12.2019 06:18:32
Ob du bei so etwas speziellem für ein MS-Dateisystem bei GNU/Linux fündig wirst, wage ich zu bezweifeln. Das gibt es eher als Windows Programm.
Es handelt sich um ein Dual-Boot-System, bei dem ursprünglich Windows XP installiert war und auf dem ich schon längere Zeit nur noch mit Debian arbeite. Der gesamte Bereich von Sektor 2048 bis zum Beginn der Linux-Partition wird als "unallocated" ausgewiesen, dort saß mal Windows. Nachdem in diesem Bereich keine Partition erkannt wird -- da für das System ja nicht vorhanden --, müssten sich dort doch noch die alten Daten finden lassen. Oder übersehe ich da etwas?

Meines Erachtens könnte gerade GNU/Linux bei einem Multi-Boot-System mehr finden als irgendeine Windowsanwendung, da unter Windows andere als die M$-proprietären Dateisysteme kaum erkannt werden, Linux aber durchaus auf NTFS zugreifen kann.

wanne hat geschrieben: ↑ zum Beitrag ↑
03.12.2019 06:23:46
... – Ganz abgesehen davon, dass NTFS ne gaaaanz andere Komplexität als FAT hat.
Ja, das ist mir schon klar, und -- abgesehen davon, dass ich es kaum noch gebraucht habe --, war das auch der Grund, weshalb ich ohne dieses gut leben konnte. Mit meinem Umstieg auf Linux würde ich allerdings gerne, zumindest in langsamen Schritten, wieder die lang vermisste Kontrolle über PCs, Netzwerk und IT zurückgewinnen, die ich mit jedem neuen Release von Windows verloren habe (das erinnert mich ein wenig an die zeitgenössischen PKWs, bei denen man mittlerweile selbst auch schon keine Zündkerze mehr wechseln kann und für den Austausch eines Lämpchens bei der Fahrzeugbeleuchtung in die Werkstatt muss -- ich weiss, LED etc.).

Kurz gesagt: mich interessiert, was überhaupt unter Linux für einen engagierten Privatanwender "forensisch" möglich ist
kalamazoo = der Privatanwender, um den Linux immer schon buhlte und der Debian tatsächlich im Büroalltag zu verwenden versucht
=> etwas Geduld mit mir, ich nehme jeden guten Ratschlag gerne an, brauche aber vielleicht etwas länger, diesen auch zu verstehen

debianoli
Beiträge: 3538
Registriert: 07.11.2007 13:58:49
Wohnort: Augschburg

Re: Festplatten-Editor

Beitrag von debianoli » 04.12.2019 09:11:31

kalamazoo hat geschrieben: ↑ zum Beitrag ↑
03.12.2019 19:55:14
Kurz gesagt: mich interessiert, was überhaupt unter Linux für einen engagierten Privatanwender "forensisch" möglich ist
Ziemlich viel. Die entsprechenden Tools wurden dir oben bereits genannt, damit kannst du die verschiedensten Dateiformate aus Festplatten extrahieren. Nach wannes Einwurf, dass die Tools bei MS nicht unbedingt mehr können als unter Linux, kannst du damit eigentlich alles machen, was man als ambitionierter Privatanwender machen kann. Denn alle möglichen Datei-Formate werden mit photorec und foremost erkannt und wiederhergestellt.

Debianforemost etwa hat recht illustre Autoren:

Code: Alles auswählen

AUTHORS
       Original Code written by Special Agent Kris Kendall and Special Agent Jesse Kornblum of the United States Air Force Office of Special Investigations.

       Modification by Nick Mikus a Research Associate at the Naval Postgraduate School Center for Information Systems Security Studies and Research.  The modification of Foremost  was
       part of a masters thesis at NPS.


kalamazoo hat geschrieben: ↑ zum Beitrag ↑
03.12.2019 19:55:14
Es handelt sich um ein Dual-Boot-System, bei dem ursprünglich Windows XP installiert war und auf dem ich schon längere Zeit nur noch mit Debian arbeite. Der gesamte Bereich von Sektor 2048 bis zum Beginn der Linux-Partition wird als "unallocated" ausgewiesen, dort saß mal Windows. Nachdem in diesem Bereich keine Partition erkannt wird -- da für das System ja nicht vorhanden --, müssten sich dort doch noch die alten Daten finden lassen. Oder übersehe ich da etwas?
Wie groß wäre denn dieser Bereich in GB überhaupt? Wenn es recht wenig Speicherplatz ist, ist mal bei einer Installation schiefgegangen.

Ansonsten hat irgendetwas diesen Bereich ruiniert, wenn der Platz etwa einer Win-Installation entspricht. Ist die Festplatte in Ordnung?

wanne
Moderator
Beiträge: 6118
Registriert: 24.05.2010 12:39:42

Re: Festplatten-Editor

Beitrag von wanne » 04.12.2019 14:08:22

kalamazoo hat geschrieben: ↑ zum Beitrag ↑
03.12.2019 19:55:14
Der gesamte Bereich von Sektor 2048 bis zum Beginn der Linux-Partition wird als "unallocated" ausgewiesen, dort saß mal Windows. Nachdem in diesem Bereich keine Partition erkannt wird -- da für das System ja nicht vorhanden --, müssten sich dort doch noch die alten Daten finden lassen. Oder übersehe ich da etwas?
2048 Sektoren sind 1MiB! Da liegt garantiert kein Windows drin. (Also rein theoretisch würde da Windows 2.x rein passen. Selbst Windows 3.1 wäre zu groß. Windows 10 brauch 16000 mal mehr Platz...) Oder anders gesagt: Da passt etw ein viertel von einem Bild, dass deine Digitalkamera schießt rein.
Btw. ist das auch zu klein für NTFS: Du brauchst für ein leeres NTFS ohne Dateien 1025kiB.
In dem MiB, liegt deine Partitionistabelle und dein Bootloader sonst nichts.

Edit: Wie groß wäre denn dieser Bereich in GB überhaupt? Das entspricht 0.0009765625GiB oder 0.001048576GB.
rot: Moderator wanne spricht, default: User wanne spricht.

debianoli
Beiträge: 3538
Registriert: 07.11.2007 13:58:49
Wohnort: Augschburg

Re: Festplatten-Editor

Beitrag von debianoli » 04.12.2019 14:19:14

wanne hat geschrieben: ↑ zum Beitrag ↑
04.12.2019 14:08:22
kalamazoo hat geschrieben: ↑ zum Beitrag ↑
03.12.2019 19:55:14
Der gesamte Bereich von Sektor 2048 bis zum Beginn der Linux-Partition wird als "unallocated" ausgewiesen, dort saß mal Windows. Nachdem in diesem Bereich keine Partition erkannt wird -- da für das System ja nicht vorhanden --, müssten sich dort doch noch die alten Daten finden lassen. Oder übersehe ich da etwas?
Edit: Wie groß wäre denn dieser Bereich in GB überhaupt? Das entspricht 0.0009765625GiB oder 0.001048576GB.
Ich denke eher, dass er das anders meinte: Bei Sektor 2048 geht ein "leerer" Bereich bis zum Beginn der Linux-Installation los.

Antworten