Versucht, die Festplatte vom Desktop-Computer wiederherzustellen

1

Ich habe die Festplatte eines Freundes, die aufgrund eines Virus abgestürzt ist, denkt er zumindest.

Die Festplattenpartition C:\wird als unformatiert / unformatiert angezeigt, D:\ist in Ordnung und weist keine Probleme auf. Die Festplatte stammt von einem Windows 7-Computer und befindet sich derzeit in einer USB-Dockingstation. Es handelt sich um ein WD Caviar Blue SATA-Laufwerk.

Mit Partition Find and Mount kann ich das Laufwerk mounten und alle Verzeichnisse durchsuchen, die nicht durch das Benutzerprofil geschützt sind. Das Benutzerprofil ist so eingestellt, dass auf die enthaltene Datei nicht zugegriffen werden kann.

Was kann ich tun, um dieses Problem zu beheben? Ich würde es vorziehen, die Partition so zu reparieren, dass die Festplatte wieder in den Computer eingesetzt und wie gewünscht ausgeführt werden kann. Wenn dies jedoch nicht möglich ist, gibt es eine Möglichkeit, diese Verschlüsselung zu umgehen und auf die Daten zuzugreifen?

hard-drive partitioning data-recovery David A. Moody
quelle
Benutzerpartition verwendet EFS-Verschlüsselung? Oder handelt es sich nur um eine Berechtigungsfrage? Dies ist eine wirklich wichtige Unterscheidung, da sie steuert, was Sie tun müssen. Die wahrscheinlichste Ursache für Ihr Problem sind einfache Berechtigungen. Sie können diese umgehen, indem Sie das Laufwerk einfach unter Linux mounten. Wenn die Benutzer-Unterordner tatsächlich mit EFS verschlüsselt wurden, müssen Sie einige schwierige Arbeiten ausführen.
OmnipotentEntity
Ich kann diese Frage nicht beantworten, ich bin nicht mit der Funktionsweise der Verschlüsselung vertraut und der Eigentümer hat überhaupt keine Ahnung von irgendetwas. Ich kann Ihnen nur sagen, dass es sich um Win7 auf einer NTFS-Partition handelt und dass das Benutzerprofil geschützt wurde, sodass andere Benutzer keine Dateien anzeigen können.
David A. Moody
1
Wenn das alles ist, müssen Sie nur die Berechtigungen umgehen. Der einfachste Weg, dies zu tun, ist das Mounten der Partition unter Linux.
OmnipotentEntity
Stimmt, das würde mir wahrscheinlich Zugriff auf die Dateien geben, wenn das Laufwerk gemountet werden kann. Ich habe versucht, es auf meinem Mac zu installieren, aber es würde nicht funktionieren. Es ist nur die Partition Find and Mount, die jede Art von Zugriff ermöglicht hat. Ich verwende GetDataBack für NTFS, um die Daten wiederherzustellen. Es wird seit über 24 Stunden ausgeführt und der Scan ist noch nicht abgeschlossen. Was ich wirklich möchte, ist in der Lage zu sein, das Laufwerk so zu reparieren, dass es funktioniert und Windows bootet.
David A. Moody

Antworten:

0

Ok, es hört sich so an, als hätten Sie eine beschädigte MFT. Auf den meisten Festplatten beginnt die erste NTFS-Partition entweder in Sektor 63 oder in Sektor 2048. Da Sie ein Problem mit einem Virus haben, kann ich nicht versprechen, dass die Daten an diesen Offsets genau so aussehen werden.

Was Sie suchen, ist die einfache Zeichenfolge "NTFS", die sich auf den 4. Bytes am Anfang eines Sektors befindet.

Stellen Sie Folgendes von einer Root-Shell unter Linux aus:

hexdump -C /dev/sd{your drive letter} | less

Als nächstes geben Sie direkt Folgendes ein:

/NTFS<Enter>

wo mit <Enter>der Taste wahrsten Sinne des Wortes ein.

Sie sollten sich auf der ersten Instanz von NTFS befinden, die ungefähr wie folgt aussehen sollte:

00012000  eb 52 90 4e 54 46 53 20  20 20 20 00 02 08 00 00  |.R.NTFS    .....|
00012010  00 00 00 00 00 f8 00 00  3f 00 ff 00 3f 00 00 00  |........?...?...|
00012020  00 00 00 00 80 00 80 00  d8 a6 3f 01 00 00 00 00  |..........?.....|
00012030  00 00 0c 00 00 00 00 00  6d fa 13 00 00 00 00 00  |........m.......|
00012040  f6 00 00 00 01 00 00 00  ad 86 66 60 c8 66 60 7e  |..........f`.f`~|
00012050  00 00 00 00 fa 33 c0 8e  d0 bc 00 7c fb b8 c0 07  |.....3.....|....|
00012060  8e d8 e8 16 00 b8 00 0d  8e c0 33 db c6 06 0e 00  |..........3.....|
00012070  10 e8 53 00 68 00 0d 68  6a 02 cb 8a 16 24 00 b4  |..S.h..hj....$..|
00012080  08 cd 13 73 05 b9 ff ff  8a f1 66 0f b6 c6 40 66  |...s......f...@f|
00012090  0f b6 d1 80 e2 3f f7 e2  86 cd c0 ed 06 41 66 0f  |.....?.......Af.|
000120a0  b7 c9 66 f7 e1 66 a3 20  00 c3 b4 41 bb aa 55 8a  |..f..f. ...A..U.| 
000120b0  16 24 00 cd 13 72 0f 81  fb 55 aa 75 09 f6 c1 01  |.$...r...U.u....|
000120c0  74 04 fe 06 14 00 c3 66  60 1e 06 66 a1 10 00 66  |t......f`..f...f|
000120d0  03 06 1c 00 66 3b 06 20  00 0f 82 3a 00 1e 66 6a  |....f;. ...:..fj| 
000120e0  00 66 50 06 53 66 68 10  00 01 00 80 3e 14 00 00  |.fP.Sfh.....>...|
000120f0  0f 85 0c 00 e8 b3 ff 80  3e 14 00 00 0f 84 61 00  |........>.....a.|
00012100  b4 42 8a 16 24 00 16 1f  8b f4 cd 13 66 58 5b 07  |.B..$.......fX[.|
00012110  66 58 66 58 1f eb 2d 66  33 d2 66 0f b7 0e 18 00  |fXfX..-f3.f.....|
00012120  66 f7 f1 fe c2 8a ca 66  8b d0 66 c1 ea 10 f7 36  |f......f..f....6|
00012130  1a 00 86 d6 8a 16 24 00  8a e8 c0 e4 06 0a cc b8  |......$.........|
00012140  01 02 cd 13 0f 82 19 00  8c c0 05 20 00 8e c0 66  |........... ...f|
00012150  ff 06 10 00 ff 0e 0e 00  0f 85 6f ff 07 1f 66 61  |..........o...fa|
00012160  c3 a0 f8 01 e8 09 00 a0  fb 01 e8 03 00 fb eb fe  |................|
00012170  b4 01 8b f0 ac 3c 00 74  09 b4 0e bb 07 00 cd 10  |.....<.t........|
00012180  eb f2 c3 0d 0a 41 20 64  69 73 6b 20 72 65 61 64  |.....A disk read|
00012190  20 65 72 72 6f 72 20 6f  63 63 75 72 72 65 64 00  | error occurred.|
000121a0  0d 0a 4e 54 4c 44 52 20  69 73 20 6d 69 73 73 69  |..NTLDR is missi|
000121b0  6e 67 00 0d 0a 4e 54 4c  44 52 20 69 73 20 63 6f  |ng...NTLDR is co|
000121c0  6d 70 72 65 73 73 65 64  00 0d 0a 50 72 65 73 73  |mpressed...Press|
000121d0  20 43 74 72 6c 2b 41 6c  74 2b 44 65 6c 20 74 6f  | Ctrl+Alt+Del to|
000121e0  20 72 65 73 74 61 72 74  0d 0a 00 00 00 00 00 00  | restart........|
000121f0  00 00 00 00 00 00 00 00  83 a0 b3 c9 00 00 55 aa  |..............U.|

Die einzigen Dinge, die von der Spezifikation als gleich garantiert werden, sind die Endemarkierung 55 aaam Ende des Sektors und die NTFS-ID-Zeichenfolge "NTFS", gefolgt von 4 Leerzeichen

Die ersten 3 Bytes werden normalerweise als x86-Sprungbefehl angegeben, sodass sie normalerweise mit eb 52den hexadezimalen Bytes beginnen. Der Rest dieses Sektors besteht aus Partitionsinformationen (am Anfang) und Code (am Ende, wenn Ihr Computer einen Virus hat, wurde dieser wahrscheinlich geändert.)

Sie müssen den Hex-Offset, den Sie (in diesem Fall 12000) weniger erhalten, in Dezimalzahl konvertieren und dann durch 512 dividieren, um die Sektornummer zu erhalten.

Der normalste Wert für den Sektor, in dem NTFS startet, ist 63und 2048. Dies entspricht 00007e00und 00100000für die Byte-Offsets.

Sobald Sie Ihren Sektoroffset gefunden haben, können Sie den Partitions-Loopback über Linux einbinden, indem Sie Folgendes von einer Root-Shell aus ausgeben:

mount -o loop,offset=$[512*63] /dev/sd{whatever drive it is} /mnt/point

Wo 63ist die tatsächliche Sektornummer und /mnt/pointist ein Verzeichnis, das vorhanden ist ( /mnt/pointstandardmäßig in einigen Distributionen vorhanden.)

Wenn Sie nicht wissen, welches Laufwerk welches ist, können Sie dies fdisk -lals root herausfinden .

Wenn Ihr Verzeichnis nicht existiert, können Sie es mit erstellen mkdir -p /full/path/to/directory

Alternativ können Sie testdiskIhre MFT neu erstellen oder einfach Dateien von einer NTFS-Partition kopieren. Es befindet sich hier und kann kostenlos heruntergeladen werden. Es ist bereits im Paket-Manager einiger der beliebtesten Linux-Distributionen enthalten.

http://www.cgsecurity.org/wiki/TestDisk

Allmacht
quelle