ruyven_macaran
Trockeneisprofi (m/w)
Ich versuchs erstmal hier, vielleicht ist es aber auch ein Betriebssystems- oder Tools-Thema...
Situation:
- 2x Samsung HD322GJ im RAID 0 an Intel ICH10R
- Gparted behauptet, dieser RAID wäre komplett leer - weist daraufhin, dass es keine Partitionen außerhalb eines Laufwerkes geben kann (Zustimmung!)
- Es findet aber eine (leere) 16 GiB Parition auf einem Einzellaufwerk, dass Mitglied des RAIDs ist
- Windows (7 x64 und XP x32) ist das alles ziemlich schnurz, das findet sauber eine primäre Partition und eine sekundäre mit vier Laufwerken und kann die auch anstandslos verwenden.
Damit könnte mir das ja eigentlich egal sein, aber ich will nicht nur, dass es jetzt funktioniert - ich will im Notfall auch mit Boot-CDs auf meine Daten zugreifen zu können (und Gparted ist da schon eine der mächtigeren) und vor allem möchte ich verhindern, dass irgend eine derartige CD denkt "oh schön, leeres Laufwerk. Kann ich ja meine Daten ablegen".
Vorgeschichte
Lösungsvorschläge erwünscht.
Interessantes Detail: Erstelle ich (wiederum mit dd) eine 1:1 Kopie des angeblich leeren RAIDs auf eine seperate Festplatte, erfolgt dessen Erkennung auch unter Gparted vollkommen problemlos.
(Falls jemand vorschlagen möchte, dieses funktionierende Image zurückkopieren: Lieber nicht. Klontools funktionieren nicht, weil sie die Laufwerksbezeichnungen Windows überlassen, dass sich dann selbst abschießt. Kopieren mit dd hat dieses Problem nicht, funktioniert aber nur vom kleineren aufs größere Laufwerk ohne die Paritionierungsinformationen zu gefährden, weil eben 1:1 kopiert wird, solange Platz ist - beim Image auf der größeren Festplatte kommt das Lead-Out aber erst bei 0,5 TB, der Schreibvorgang bricht nach 300 GB ab, wenn der RAID voll ist.)
Situation:
- 2x Samsung HD322GJ im RAID 0 an Intel ICH10R
- Gparted behauptet, dieser RAID wäre komplett leer - weist daraufhin, dass es keine Partitionen außerhalb eines Laufwerkes geben kann (Zustimmung!)
- Es findet aber eine (leere) 16 GiB Parition auf einem Einzellaufwerk, dass Mitglied des RAIDs ist
- Windows (7 x64 und XP x32) ist das alles ziemlich schnurz, das findet sauber eine primäre Partition und eine sekundäre mit vier Laufwerken und kann die auch anstandslos verwenden.
Damit könnte mir das ja eigentlich egal sein, aber ich will nicht nur, dass es jetzt funktioniert - ich will im Notfall auch mit Boot-CDs auf meine Daten zugreifen zu können (und Gparted ist da schon eine der mächtigeren) und vor allem möchte ich verhindern, dass irgend eine derartige CD denkt "oh schön, leeres Laufwerk. Kann ich ja meine Daten ablegen".
Vorgeschichte
Genauso ist das Problem nämlich entstanden.
Ausgangssituation:
- Auf zwei Samsung F4 liegt ein RAID 0 (und weiter hinten dank Matrix RAID ein RAID 1 - aber der ist hierfür egal). In dem gibt es eine primäre Parition (zum Glück nur mit Bootloader und ein paar temporären Verzeichnissen) und eine erweiterte (mit mehreren Laufwerken, u.a. Win7 x86-64)
Ablauf/Vorgeschichte:
- Irgend ein Depp verbreitet Trojaner über PCGH
- ich krieg einen ab
- ich probiere diverse Boot-CDs aus, um nach Rootkits zu scannen. Blöd: Keine erkennt den RAID und ohne Laufwerk kein Scan
- Kapersky kennt nicht nur kein RAID, sondern auch keine Zurückhaltung - und führt Schreibzugriffe auf die vermeintlich leeren Platten aus.
Problem. Großes Problem 
- beim nächsten Booten werden die Platten als "offline" erkannt, der RAID (auch der 1er) ist weg.
- Nach längeren Recherchen stoße ich auf den Hinweis, durch resetten einer Platte oder durch ab- und wieder anklemmen eine Neuerkennung zu erzwingen. Erstaunlicherweise klappt das, der Controller erkennt den RAID wieder (sogar intakt, nur der 1 ist degeneriert)
- Aber natürlich haben die Schreibvorgänge die primäre Partition mitsamt dem Bootloader beschädigt, auch die Windows-CD kommt mit der zertrümmerten Datei- und Paritionierungstruktur nicht zurecht.
- Nach vielem probieren spiele ich schlussendlich den Anfang eines alten Images wieder ein (unter Gparted = Linux mit dem "dd" Befehl. D.h. bitweise Kopie, ohne dass die Informationen über die restlichen Partitionen verändert werden können - und ohne eine Möglichkeit, gezielt nur die erste Partition zu kopieren. Ich musste also daumen*pi abbrechen, als meiner Schätzung nach der beschädigte Anfang von C: kopiert war. Ein Glück, dass das Laufwerk größtenteils leer war)
- Da es ein altes Image ist passt die eingespielte Dateistruktur hinten und vorn nicht zum tatsächlichen Laufwerksinhalt - aber zumindest die Paritionierungsinformationen stimmen wieder und den Rest kann Testdisk beheben
-> Windows arbeitet wieder, wie es soll.
Aber Gparted nicht, siehe oben.
Ausgangssituation:
- Auf zwei Samsung F4 liegt ein RAID 0 (und weiter hinten dank Matrix RAID ein RAID 1 - aber der ist hierfür egal). In dem gibt es eine primäre Parition (zum Glück nur mit Bootloader und ein paar temporären Verzeichnissen) und eine erweiterte (mit mehreren Laufwerken, u.a. Win7 x86-64)
Ablauf/Vorgeschichte:
- Irgend ein Depp verbreitet Trojaner über PCGH
- ich krieg einen ab
- ich probiere diverse Boot-CDs aus, um nach Rootkits zu scannen. Blöd: Keine erkennt den RAID und ohne Laufwerk kein Scan
- Kapersky kennt nicht nur kein RAID, sondern auch keine Zurückhaltung - und führt Schreibzugriffe auf die vermeintlich leeren Platten aus.
- beim nächsten Booten werden die Platten als "offline" erkannt, der RAID (auch der 1er) ist weg.
- Nach längeren Recherchen stoße ich auf den Hinweis, durch resetten einer Platte oder durch ab- und wieder anklemmen eine Neuerkennung zu erzwingen. Erstaunlicherweise klappt das, der Controller erkennt den RAID wieder (sogar intakt, nur der 1 ist degeneriert)
- Aber natürlich haben die Schreibvorgänge die primäre Partition mitsamt dem Bootloader beschädigt, auch die Windows-CD kommt mit der zertrümmerten Datei- und Paritionierungstruktur nicht zurecht.
- Nach vielem probieren spiele ich schlussendlich den Anfang eines alten Images wieder ein (unter Gparted = Linux mit dem "dd" Befehl. D.h. bitweise Kopie, ohne dass die Informationen über die restlichen Partitionen verändert werden können - und ohne eine Möglichkeit, gezielt nur die erste Partition zu kopieren. Ich musste also daumen*pi abbrechen, als meiner Schätzung nach der beschädigte Anfang von C: kopiert war. Ein Glück, dass das Laufwerk größtenteils leer war)
- Da es ein altes Image ist passt die eingespielte Dateistruktur hinten und vorn nicht zum tatsächlichen Laufwerksinhalt - aber zumindest die Paritionierungsinformationen stimmen wieder und den Rest kann Testdisk beheben
-> Windows arbeitet wieder, wie es soll.
Aber Gparted nicht, siehe oben.
Lösungsvorschläge erwünscht.
Interessantes Detail: Erstelle ich (wiederum mit dd) eine 1:1 Kopie des angeblich leeren RAIDs auf eine seperate Festplatte, erfolgt dessen Erkennung auch unter Gparted vollkommen problemlos.
(Falls jemand vorschlagen möchte, dieses funktionierende Image zurückkopieren: Lieber nicht. Klontools funktionieren nicht, weil sie die Laufwerksbezeichnungen Windows überlassen, dass sich dann selbst abschießt. Kopieren mit dd hat dieses Problem nicht, funktioniert aber nur vom kleineren aufs größere Laufwerk ohne die Paritionierungsinformationen zu gefährden, weil eben 1:1 kopiert wird, solange Platz ist - beim Image auf der größeren Festplatte kommt das Lead-Out aber erst bei 0,5 TB, der Schreibvorgang bricht nach 300 GB ab, wenn der RAID voll ist.)
Zuletzt bearbeitet:
)
(zumal der RAID1 weiter erkannt wird)
