Block-Level Kopie / Forensische 1 zu 1 Kopie einer Festplatte

G

grisoux

Registriert
Thread Starter
Dabei seit
21.01.2013
Beiträge
3
Reaktionspunkte
0
Hallo, mit welcher Software kann ich tatsächliche 1 zu 1 Kopien einer Festplatte machen.
Ich brauch die Kopie um versehentlich gelöschte Daten mittels Datenrettungsprogramm wieder herzustellen, ohne an dem original herumdoctern zu müssen.
Die Klassiker CCC, CopyCatX oder FDP eigenen sich leider nicht, sie Kopieren zwar auf Blocklevel, jedoch nicht die als gelöscht markierten Sektoren.
Meine Google Recherche blieb bis jetzt erfolglos, hat jemand da Erfahrung?
Danke im Voraus für die Hilfe.
 
Schonmal diskwarrior versucht zum retten ? Das hat bei mir gute Arbeit geleistet!
 
Ich wäre einfach beruhigter wenn ich das mit einer Kopie machen könnte, die "defekte" Platte bleibt dann in der Schublade und ich kann nach frei an der Kopie arbeiten...
 
grisoux schrieb:
Ich brauch die Kopie um versehentlich gelöschte Daten mittels Datenrettungsprogramm wieder herzustellen, ohne an dem original herumdoctern zu müssen.
Zum Vergrößern anklicken....

Denkfehler.

Da du zum Kopieren eh eine zweite, neue HDD benötigst, kannst du auch gleich die alte HDD ausbauen, gegen die neue HDD ersetzen und die alte zur späteren »Datenrettung« und/oder überspielen alter Daten beiseitelegen.
 
Wenn die Platte / Partition kleiner ist als das Ziel, dann geht ein

Code: 
diskutil list
dd if=/dev/diskAs2 of=/dev/diskBs2 bs=4k conv=noerror

Als root, oder mit sudo vorne.
Ich habe die disknummern durch A und B ersetzt. Damit keiner meint er sollte das mal zu Hause testen.
 
was auch immer du mit "Forensische Kopie" meinst. Bleibt wohl ein Geheimnis.
Wenn du doch eh nur gelöschte Dateien wiederherstellen willst, warum dann überhaupt eine Block-Level Kopie? Das ist doch Unsinn.
Ein TM-Backup hilft in dem Fall genauso.
 
CloneZilla probiert?
 
Eine wirkliche, echte Kopie wird es ohnehin nicht geben können, weil jede Platte physikalisch defekte Sektoren hat. Neue Platten blenden die selber aus. ("damals" pappten noch Aufkleber drauf mit Angaben zu defekten, bei einigen OS musste man die bei Installation eintippen...)
Und weil die defekten Sektoren immer woanders sind, gibt es keine identischen 2 Platten.
 
CloneZilla dürfte es herzlich egal sein, ob relevante Daten auf einem Sektor stehen oder nicht, da hier ein Image einer HD angelegt, die beim Restore ein 1:1-Abbild des Originals erstellt, also incl. aller bereits gelöschter Daten.
 
Da die Platte selber die defekten ausklammert, kann auch Clonezilla nur eine logische Kopie erstellen. :)
 
falkgottschalk schrieb:
Da die Platte selber die defekten ausklammert, kann auch Clonezilla nur eine logische Kopie erstellen. :)
Zum Vergrößern anklicken....

Der TE will ja auch nicht die defekten sondern nur als gelöscht markierten (wie immer auch das unter OS X aussehen soll, m.W. werden nur die Vektoren auf die Sektoren gelöscht, wenn der Papierkorb geleert ist) Sektoren mitsichern...

BTW: Jede Software kann nur logische Kopien erstellen, da sie nicht auf defekte Sektoren zugreifen kann.
 
Das habe ich schon verstanden. Da aber bei der "originalen" Platte z.B. die Sektoren 10,11,12,_14_,15,16 verwendet werden, nach dem logischen kopieren aber 10,11,12,_13_,15,16 ist die "Kopie" halt nicht identisch mit dem "original" und eine Datenrettungs-Software kann sich anders verhalten.
Bei den uralten scsi/rll/mfm-Platten konnte man, mit Norten-Utiities am PC, übrigens sehr wohl konkret adressieren Spur, Head, Sektor - sowohl beim Lesen als auch beim Schreiben.
 
falkgottschalk schrieb:
Das habe ich schon verstanden. Da aber bei der "originalen" Platte z.B. die Sektoren 10,11,12,_14_,15,16 verwendet werden, nach dem logischen kopieren aber 10,11,12,_13_,15,16 ist die "Kopie" halt nicht identisch mit dem "original" und eine Datenrettungs-Software kann sich anders verhalten.
Bei den uralten scsi/rll/mfm-Platten konnte man, mit Norten-Utiities am PC, übrigens sehr wohl konkret adressieren Spur, Head, Sektor - sowohl beim Lesen als auch beim Schreiben.
Zum Vergrößern anklicken....

M.W. müssten die Sektoren als leer gesichert werden und die restlichen eben mit dem originalen Inhalt. Ich wüsste jetzt nicht, dass Klonprogramme Sektoren nach eigenem Gusto "umoptimieren". Sowas würde mich von der Benutzung abschrecken, da man ja dann nie weiß, was beim Rücksichern herauskommt.

Oder hast Du ein Beispiel parat, wobei Umorganisation der Sektoren vorgenommen wird?
 
DAS BSI sagt Dir hier wie es geht und was zu tun ist. Für Dich wäre dann „Forensische Gewinnung von Datenträgerabbildern (forensische Duplikation)“ ab Seite 235 ff interessant.

//doger
 
doger schrieb:
DAS BSI sagt Dir hier wie es geht und was zu tun ist. Für Dich wäre dann „Forensische Gewinnung von Datenträgerabbildern (forensische Duplikation)“ ab Seite 235 ff interessant.

//doger
Zum Vergrößern anklicken....

Das BSI schlägt vor, eine spezielle Version von dd zu verwenden, die
- von einer Linux-Live-CD aufgerufen wird
- zusätzlich einen Hashcodevergleich von Quelle und erzeugtem Image vornimmt

Damit ist es fast dasselbe, wie es in Post #5 gesagt wurde. Einzig ein Hashsummenvergleich fehlt und die Vorbedingung, dass die zu lesende Platte nicht währenddessen beschrieben werden darf (also nicht gemountet).
 
macmarx schrieb:
… dass die zu lesende Platte nicht währenddessen beschrieben werden darf (also nicht gemountet).
Zum Vergrößern anklicken....
Was wohl essenziell ist um etwaige Veränderungen zu verhindern …
Aber egal ich will mich darüber bestimmt nicht streiten, sondern dem TE eigentlich eine Variante B zur Verfügung stellen.

//doger
 
doger schrieb:
Was wohl essenziell ist um etwaige Veränderungen zu verhindern …
Aber egal ich will mich darüber bestimmt nicht streiten, sondern dem TE eigentlich eine Variante B zur Verfügung stellen.

//doger
Zum Vergrößern anklicken....

Genau, bei forensischen Kopien darf die zu sichernde Platte währenddessen nicht beschrieben werden, es dann nur noch eine Geschmackssache, ob man dd (oder einen Klon), CloneZilla oder einen anderen beliebigen Kopierer auf Sektorbasis nimmt. Ob CCC das leistet kann ich nicht sagen...
 
Sektorbasis würde ich nicht wählen, da Sektoren remapped und als gelöscht markierte Blöcke somit übergangen werden. Die beste Methode ist tatsächlich an einem UNIX-System die Platte read-only mounten (!) und anschließend mit dd und der richtigen Blocksize einen 1:1 Klon erstellen.
 
mj schrieb:
Sektorbasis würde ich nicht wählen, da Sektoren remapped und als gelöscht markierte Blöcke somit übergangen werden. Die beste Methode ist tatsächlich an einem UNIX-System die Platte read-only mounten (!) und anschließend mit dd und der richtigen Blocksize einen 1:1 Klon erstellen.
Zum Vergrößern anklicken....

Im Studium hatten wir die Definition mitbekommen, dass Sektoren physische und Blöcke logische Unterteilungen von Spuren auf einem Datenträger sind, weswegen man ja auch bei dd Blocksizes angeben kann, die nicht der Größe von physischen Sektoren entsprechen.
 
Bin jetzt weiter gekommen mit "Data Rescue 3" als Demosoftware. Spiegelt ein Image mit allen Sektoren ob benutzt oder unbenutzt. Alle vorherigen Versuche hatten das nicht; das Ergebnis war immer ohne Nutzen. Das neue Image kann ich jetzt mit ruhigem gewissen im Rechner lassen und damit Arbeiten.
es zeige erste erfolge....
Vielen Dank für eure Auskünfte!
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten