data recovery testdisk photorec en dan?

donderdag 15 juli 2021 06:10

Acties:

0 Henk 'm!

Topicstarter

Gister kwam iemand me vragen om data van een usb stick te recoveren. Per ongeluk een directory met .xlsx files gewist met data op van 2017 tot nu. Met testdisk heb ik niets kunnen recoveren. De map zag ik wel maar erin proberen gaan ging niet (filesystem damaged?). Met photorec heb ik 266 xls files kunnen recoveren maar alle metadata over de files is natuurlijk kwijt. Dus ze zal alle 266 files moeten overlopen wat erin staat.

Nu is mijn vraag tweeledig:
Wat is nu net het verschil tussen testdisk en photorec? Ik weet dat testdisk er vanuit gaat dat het bestandssysteem nog intact is en photorec niet. Maar dan snap ik nog niet goed hoe testdisk gewiste files terug kan krijgen. Het filesysteem kent immers de te zoeken files toch niet meer?

Deel 2 van de vraag. Stel nu dat photorec ook niets had gegeven. Wat zou ik nog verder kunnen doen? Ik heb geen clean room, maar kan je als niet-data-recovery-bedrijf nog "dieper" gaan graven? (Ik veronderstel dat het antwoord waarschijnlijk gaat afhangen van het medium en bestandssysteem, en al dan niet gebruik van RAID en/of files al dan niet overschreven geweest)

donderdag 15 juli 2021 18:50

Mijzelf

PhotoRec zoekt het hele oppervlak van de schijf af naar herkenbare headers, en leest in die header hoe lang de file is, en/of probeert de file te herkennen in de bytes/sectoren die volgen. Dit gaat dus helemaal mis als de files gefragmenteerd zijn.
Ik ken Testdisk ook als partitie tabel hersteller, maar blijkbaar kan hij meer. Ik neem aan dat hij in directories gewiste files kan herkennen. Bij FAT wordt bij een gewiste file alleen het eerste karakter op 0 (of zoiets) gezet, en de clusters vrijgegeven. Dus als die clusters niet weer in gebruik zijn genomen, kun je de file 'ontwissen', en moet je een nieuwe eerste letter verzinnen.
Als in jouw geval de directory entry nog kan worden gevonden/herkent, maar de bijbehorende sectors zijn alweer in gebruik, of niet meer herkenbaar als directory, kun je hem niet undeleten, en dus ook niet de files erin.

donderdag 15 juli 2021 08:06

Acties:

+1 Henk 'm!

Nielson

Het zijn twee heel verschillende programma's, testdisk is meer bedoeld om per ongeluk gewiste partities te herstellen, niet om specifiek te zoeken naar gewiste bestandjes. Overigens zijn er naast die twee nog de wereld aan verschillende recovery programma's met elk hun eigen methodes en pluspunten, dus als de een niet werkt gewoon een ander proberen, zolang je maar niets wegschrijft naar de disk (en deze niet fysiek) defect is) kun je gewoon proberen welke het beste resultaat geeft.

donderdag 15 juli 2021 08:49

Acties:

0 Henk 'm!

bucovaina89

Topicstarter

@Nielson thanks voor je antwoord.

Ik vind op internet pagina's die testdisk los van partities manipuleren ook omschrijven als een data recovery tool om verwijderde bestanden te recoveren. Niet schrijven naar een disk waar je van wil recoveren is idd best practice, anders schiet je in je eigen voet. Dus dd/ddrescue/... eerst, dan verder klooien op de img file die je daaruit krijgt.

Je antwoord lijkt me helemaal correct maar het is geen antwoord op de vraag die ik bedoel. Mijn vraag is niet zozeer of er een verschil is tussen beide programma's maar wat het verschil is.

Ik wil begrijpen waarom in mijn situatie photorec wel werkt en testdisk niet. Ik zie in testdisk een verwijderde directorynaam (metadata aanwezig) maar krijg die niet open (effectieve data niet accessible). Met photorec krijg ik wel een berg files terug. Dus geen metadata wel de data die je terug wil.

Hoe komt dat? Wat is het mechanisme dat maakt dat photorec er wel in slaagt?

donderdag 15 juli 2021 18:50

Acties:

Beste antwoord ✓
+1 Henk 'm!

Mijzelf

PhotoRec zoekt het hele oppervlak van de schijf af naar herkenbare headers, en leest in die header hoe lang de file is, en/of probeert de file te herkennen in de bytes/sectoren die volgen. Dit gaat dus helemaal mis als de files gefragmenteerd zijn.
Ik ken Testdisk ook als partitie tabel hersteller, maar blijkbaar kan hij meer. Ik neem aan dat hij in directories gewiste files kan herkennen. Bij FAT wordt bij een gewiste file alleen het eerste karakter op 0 (of zoiets) gezet, en de clusters vrijgegeven. Dus als die clusters niet weer in gebruik zijn genomen, kun je de file 'ontwissen', en moet je een nieuwe eerste letter verzinnen.
Als in jouw geval de directory entry nog kan worden gevonden/herkent, maar de bijbehorende sectors zijn alweer in gebruik, of niet meer herkenbaar als directory, kun je hem niet undeleten, en dus ook niet de files erin.

vrijdag 16 juli 2021 11:27

Acties:

0 Henk 'm!

Thralas

bucovaina89 schreef op donderdag 15 juli 2021 @ 06:10:
Deel 2 van de vraag. Stel nu dat photorec ook niets had gegeven. Wat zou ik nog verder kunnen doen? Ik heb geen clean room, maar kan je als niet-data-recovery-bedrijf nog "dieper" gaan graven?

Het staat of valt met de algoritmes die het desbetreffende recoverypakket heeft geimplementeerd al dan niet in combinatie met het overschreven filesystem.

Daarom kan het geen kwaad om meerdere pakketten te proberen. Zeker omdat je aangeeft dat er enkel een map is verwijderd, niet dat het hele bestandssysteem is overschreven.

Je zou DMDE en/of R-Studio nog kunnen proberen. Commercieel, maar goed betaalbaar en je kunt als het goed is zien wat het op zou leveren met de gratis versie.

Vraag

Beste antwoord (via bucovaina89 op 16-07-2021 10:38)

Alle reacties