mikrocontroller.net

Forum: PC Hard- und Software Datenrettung / Image von Fesplatte unter Linux


Announcement: there is an English version of this forum on EmbDev.net. Posts you create there will be displayed on Mikrocontroller.net and EmbDev.net.
Autor: Lea B. (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Hallo ihr lieben,

ich weiß das Internet ist voll von Anleitungen. Ich möchte aber dennoch 
auf Nummer sicher gehen, da ich sowas bisher noch nicht gemacht habe und 
mir ziemlich unsicher bin.

Daher die kurze Frage:

Wenn ich ein Image von einer Festplatte (320GB, sdc1) mit unbekanntem 
Zustand und Inhalt ziehen möchte, kann ich dann einfach:

> dd if=/dev/sdc1 of=~/image_sdc1.img

verwenden? Kann ich dann später das Image wie eine Festplatte mounten 
und weiter damit arbeiten? Geplant sind Maßnahmen zur 
Datenwiederherstellung und/oder Sicherung.

Frage 2: Wird das Image so groß wie die Festplatte sdc1?

Danke und liebe Grüße,
eure Lea

PS: Auch andere Vorschläge oder Alternativen nehme ich gerne an ;)

-----------------------------

Hintergrund ist folgender: Jemand war der Meinung auf meinem Grundstück 
Sperrmüll und Elektroschrott zu entsorgen.

Mit dabei war auch ein Laptop samt Festplatte. Daher will ich versuchen 
Daten wiederherzustellen, um den Verursacher zu finden.

Autor: Sven B. (scummos)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Kannst du so machen, das Image wird dann 1:1 genau so groß sein wie die 
Platte (also 320 GB). Du kopierst hier nur Partition 1 der Platte, wenn 
du die ganze willst, "/dev/sdc" statt "/dev/sdc1" verwenden.

Das entstehende Image kannst du mit "mount -o loop ..." mounten.

Zum Archivieren kannst du das ganze vor dem Speicher noch durch gzip 
leiten, aber wenn du direkt damit arbeiten willst, bringt das wenig.

: Bearbeitet durch User
Autor: Peter E. (Firma: S&P) (eosangel)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Du kannst ja die Dateien auslesen und auf ein anderes Medium kopieren.
Wenn es nicht geht kannst Du es hiermit versuchen:

$ sudo ddrescue -f --no-split /dev/sda /dev/sdc logfile
$ sudo ddrescue -f -r3 /dev/sda /dev/sdc logfile

Sollten dann einige Dateien kaputt sein hilft evt.
Testdisk, Photorec, Foremost, oder Scalpel.


the Raccoon

Autor: DPA (Gast)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Lea B. schrieb:
> Wenn ich ein Image von einer Festplatte (320GB, sdc1) mit unbekanntem
> Zustand und Inhalt ziehen möchte, kann ich dann einfach:
>
>> dd if=/dev/sdc1 of=~/image_sdc1.img

Ja, schon, aber wenn es irgendwo zu nem Lesefehler kommt, bricht dd ab. 
Ich würde für sowas eher ddrescue nehmen. Ausserdem ist sdc1 nur die 
erste Partition von sdc. Für alle Partitionen, nimm /dev/sdc statt 
/dev/sdc1

> Frage 2: Wird das Image so groß wie die Festplatte sdc1?

Ja. Eventuell könnte man es zwar durch gzip jagen und so komprimieren, 
und dann mit archivemount wieder normal nutzen, aber getestet hab ich 
das noch nie.

Lea B. schrieb:
> Kann ich dann später das Image wie eine Festplatte mounten
> und weiter damit arbeiten?

Ja. Falls das Image von einer Partition ist, mit:
# Mounten
mount -o loop,ro ~/image_sdc1.img /mnt/bla
# Unmounten
umount -lf ~/image_sdc1.img
(Falls readonly nicht gewünscht ist, das ro weglassen.)

Bei Images von ganzen Festplatten:
# Image als Loopdevice (r weglassen, falls readonly nicht gewünscht)
losetup -Pfr --show ~/image_sdc1.img
# Loopdevice wieder löschen
losetup -D /dev/loopX
Das gibt dan ein Loopdevice aus, z.B. /dev/loop0. Die Partitionen sind 
dann /dev/loop0p1, /dev/loop2, etc. Kann man dan auch normal per mount 
Befehl mounten, z.B. "mount /dev/loop0p1 /mnt/bla".

Dann hätte ich auch noch: https://github.com/Daniel-Abrecht/fuserescue
Das kopiert die blöcke, auf die gerade zugegriffen wird.

Autor: Lea B. (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Schon mal ein riesen Dankeschön für eure Infos :)

Habe gerade mal "dd" mit einer Partition (12GB) getestet und komme auf 
nur 10,3 MB/s (nach HDD). Meine SSD ist leider zu klein für die große 
Partition, denn da bin ich bei 66,4 MB/s.

Das wären dann fast 20 Tage für die Kopie, dass muss jetzt nicht sein :/

Autor: SR (Gast)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Hm?

10MByte/s sind 600 MB pro Minute und somit 36 GByte pro Stunde, also 
ganz grob etwa 10 Stunden!

Autor: Lea B. (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
SR schrieb:
> Hm?
>
> 10MByte/s sind 600 MB pro Minute und somit 36 GByte pro Stunde, also
> ganz grob etwa 10 Stunden!

Huch, da hab ich wohl einmal vergessen durch 60 zu teilen facepalm ;)

Sorry

Autor: ... (Gast)
Datum:

Bewertung
-1 lesenswert
nicht lesenswert
Es ist auch immer eine gute Idee, dem dd eine Blocksize mitzugeben.

Z.B. bs=1024000

Ein Bekannter hatte mal vor DDS-Tapes zu kopieren.
Ohne Blocksize wird da wirklich immer nut ein Block (= 512 byte)
gelesen und geschrieben.
Das war fuer die beiden Streamer natuerlich Tierquaelerei
und dauerte obendrein ewig.

Autor: c-hater (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
... schrieb:
> Es ist auch immer eine gute Idee, dem dd eine Blocksize mitzugeben.
>
> Z.B. bs=1024000

Oder einfacher: bs=1M

Autor: Bernd K. (prof7bit)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Lea B. schrieb:
> Wenn ich ein Image von einer Festplatte (320GB, sdc1) mit unbekanntem
> Zustand und Inhalt ziehen möchte, kann ich dann einfach:
>
>> dd if=/dev/sdc1 of=~/image_sdc1.img

Nein, dann nimmst Du besser ddrescue. Das bleibt nicht bei kaputten 
Sektoren hängen sondern überspringt diese und merkt sie sich für später 
um erstmal so schnell wie möglich alle lesbaren Schäfchen ins Trockene 
zu bringen. Danach versucht es reihum nur noch gezielt die kaputten 
Daten zu lesen.

Außerdem kann es eine Logdatei anlegen in der drin steht was es gemacht 
hat und was es noch machen muss, so kann man es zum Beispiel ein zweites 
mal starten nachdem man die Platte im Eisfach hatte und es versucht dann 
nur noch das zu lesen was er vorher noch nicht lesen konnte.

ddrescue ist Stand der Technik auch bei kommerzieller Datenrettung, 
damit wird erstmal gelesen was überhaupt noch irgendwie zu lesen geht.

: Bearbeitet durch User
Autor: Nano (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Lea B. schrieb:

> Mit dabei war auch ein Laptop samt Festplatte. Daher will ich versuchen
> Daten wiederherzustellen, um den Verursacher zu finden.

Das wäre zwar ein Indiz, reicht aber als Beweis möglicherweise nicht 
aus.
Denn von wo willst du wissen, dass das wirklich der Verursacher war, 
wenn jemand einer anderen Person schaden will, dann müsste dieser ja nur 
den Laptop der Person klauen und ins nächste Nachbargrundstück werfen.

Ansonsten gilt wenn alles andere nichts nützt, Elektroschrott kann man 
als Privatperson bei der dafür entsprechenden Kommune oftmals kostenlos 
entsorgen.

Autor: Lea B. (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Danke nochmal an alle, habe jetzt ddrescue genommen :)

"dd" ist fast schon wie erwartet mit einem I/O Fehler nach 5GB 
ausgestiegen.

"ddrescue" hat bisher (210GB) nur 1 Error gefunden.

Peter E. schrieb:
> $ sudo ddrescue -f --no-split /dev/sda /dev/sdc logfile
> $ sudo ddrescue -f -r3 /dev/sda /dev/sdc logfile

Abweichend dazu habe ich "-f" weg gelassen, da ich ein Image schreibe. 
"--no-split" kennt die manpage nicht, nur "--no-scrape" oder "-n", 
welches ich jetzt verwende um die Platte zu schonen.

Übrigens habe ich im Mittel eine Lese/Schreibrate von 52 MB/s, ohne 
besondere Einstellungen.

Nano schrieb:
> Das wäre zwar ein Indiz, reicht aber als Beweis möglicherweise nicht
> aus.
> Ansonsten gilt wenn alles andere nichts nützt, Elektroschrott kann man
> als Privatperson bei der dafür entsprechenden Kommune oftmals kostenlos
> entsorgen.

Zu beweisen gibt's auch nichts, da ich keine Zivilklage anstrebe. Wir 
sind hier auf dem Dorf, da wird das so geregelt. Einfach hinzugehen und 
mal nett fragen :)

Falls man sich jedoch unkooperativ zeigt, nehme ich meinen Radlager und 
fahre alles zurück. Denn leider hat der nette Kollege so viel Sperrmüll 
zu meinem gestellt, das mein 3m³ Kontingent nicht ausreichend war. Sein 
Müll ist zu großen Teilen weg, meiner aber noch komplett da. 
Schätzungsweise hat da jemand einfach 4-5m³ abgeladen.

Bei uns kommt der Sperrmüll nur auf Bestellung, entweder 3x1m³ oder 
1x3m³. Jetzt muss ich meinen Sperrmüll also entweder komplett bezahlen, 
oder ihn bis Januar stehen lassen.

So, das wird jetzt aber zu viel OT.

Autor: Schakeline (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Hallo Lea B.,

Lea B. schrieb:
> Falls man sich jedoch unkooperativ zeigt, nehme ich meinen Radlager und
> fahre alles zurück. Denn leider hat der nette Kollege so viel Sperrmüll

ich hätte auch gerne so einen Radlager.
Ich find's total gut, wenn Frauen wie Du sich so für Technik begeistern 
können.

Liebe Grüße
Schakeline

Autor: Lea B. (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
So, hat alles geklappt! Hat gute zwei Stunden gerödelt, nur 1 Error :)

Vielen Dank nochmal!

Auf der Festplatte sind direkt Lebensläufe, Bewerbungen und viele (teils 
"unvorteilhafte") Bilder zu finden. Zusätzlich noch einen Skype-Namen 
und mehrere Spielaccounts (z.B. League of Legends). Mal schauen ob ich 
auch noch einen Browserverlauf finde ;D

Sehr interessant und lehrreich heute ;)

Allerdings sind die Daten von 2012-2014 und der Verursacher scheinbar 
75km weit weg. Ich rufe morgen mal die Telefonnummer an und warte ab was 
passiert.

Ich halte euch auf dem laufenden, wenn ihr wollt ;)

Autor: Nano (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Lea B. schrieb:
> So, hat alles geklappt! Hat gute zwei Stunden gerödelt, nur 1
> Error :)
>
> Vielen Dank nochmal!
>
> Auf der Festplatte sind direkt Lebensläufe, Bewerbungen und viele (teils
> "unvorteilhafte") Bilder zu finden. Zusätzlich noch einen Skype-Namen
> und mehrere Spielaccounts (z.B. League of Legends). Mal schauen ob ich
> auch noch einen Browserverlauf finde ;D
>
> Sehr interessant und lehrreich heute ;)
>
> Allerdings sind die Daten von 2012-2014 und der Verursacher scheinbar
> 75km weit weg. Ich rufe morgen mal die Telefonnummer an und warte ab was
> passiert.
>
> Ich halte euch auf dem laufenden, wenn ihr wollt ;)

Ich rate mal, dass da ein Gewerbetreibender versucht hat, seine LKW 
Ladung Elektroschrott loszuwerden.
Siehe dazu auch:
https://www.mikrocontroller.net/articles/WEEE-Anmeldung


Wenn dem so ist, dann kann der ursprüngliche Laptopbesitzer wohl nichts 
dafür, aber du könntest zur Polizei gehen, die können dann ermitteln an 
wen der Laptopbesitzer sein Laptop zum Entsorgen abgegeben hat.

Autor: Nano (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Lea B. schrieb:
> Falls man sich jedoch unkooperativ zeigt, nehme ich meinen Radlager und
> fahre alles zurück. Denn leider hat der nette Kollege so viel Sperrmüll
> zu meinem gestellt, das mein 3m³ Kontingent nicht ausreichend war. Sein
> Müll ist zu großen Teilen weg, meiner aber noch komplett da.
> Schätzungsweise hat da jemand einfach 4-5m³ abgeladen.

Ach ja und noch etwas.
Damit machst du dich nur selbst strafbar bzw. verstößt gegen irgendwas.

Es gab schon Vermieter, die den Müll, den der Ex-Mieter in der Wohnung 
gelassen hat, vor dem Haus der neuen Wohnung des Ex-Mieters abgeladen 
haben und dann den ganzen Müll wieder mitnehmen mussten.
Ob Geldbußen und Co im Spiel waren, kann auch sein.

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [avrasm]AVR-Assembler-Code[/avrasm]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.