22.10.2020, 14:39 UTC+2

Sie sind nicht angemeldet.

  • Anmelden
  • Registrieren

Lieber Besucher, herzlich willkommen bei: Knoppix Forum | www.KnoppixForum.de. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.

1

06.07.2020, 08:26

Suche KNOPPIX 5.3 iso

Hallo,

wo kann ich die KNOPPIX_V5.3.1DVD-2008-03-26-DE.iso runterladen?

Auf der Seite der Uni Kl finde ich nichts mehr.

Welche Knoppix Distro war die letzte,auf der Qtparted zu finden ist?

Vielen Dank.

Beiträge: 842

Geschlecht: Männlich

2

06.07.2020, 14:36

Hallo. Die Knoppix 5.1.1 fand ich 2015 bei winfuture.de
Qtparted war bestimmt bei V6.1 und V6.7 bei jüngeren weiß ich nicht ich benutze Gparted.
von Pentium II bis HP Laptop gibt es keinen Rechner der mir sagt was ich machen soll :thumbsup:
ich bin Ubuntu im Sinne von Desmond Tutu
Linux Knoppix Flash auf USB Stick

3

06.07.2020, 19:40

Hab die 5.3.1 ISO heute gefunden,leider nicht in Deutsch.

Dort ist aber schon Gpartet als Partitionsmanager zu finden.

Also muß es noch etwas älter sein.

Hab eine alte Knoppix Hacks,dort ist Qtparted drauf.Läuft aber nur mit alten Rechnern - ansonsten werden USB Geräte nicht erkannt.

Mal noch ein wenig gedulden .......

MfG.

4

06.07.2020, 19:54

Dort ist aber schon Gpartet als Partitionsmanager zu finden.

Also muß es noch etwas älter sein.


Qtparted war ein Frontend zu parted, das Qt nutze und eine kurze Zeit der grafische Partitionsmanager für KDE gewesen ist.
Seit langen Jahren wird es nicht mehr entwickelt und KDE hat einen ganz anderen Partitionsmanager gefunden, der vermutlich aber ebenfalls parted nutzt (ich weiß es wirklich nicht genau, weil ich so etwas auch gar nicht nutze).

Gparted ist ein Frontend zu parted, das GTK nutzt und immer noch zu haben ist. Leider kann ich derzeit keine gute Recherche zu diesem Programm durchführen und bleibe damit eher vage.

Wie auch immer: welchen Grund hast du genau, an Qtparted interessiert zu sein?
Es kann doch maximal das, was parted kann und das kann vollkommen ohne GUI angesprochen werden oder eben mit Gparted auch grafisch?

5

06.07.2020, 21:21

Na ja,

ich bin da schon länger an etwas dran.

Qtparted zeigt eine virtuelle Partition als sda-1 an und als virtuell.

Mit Gparted wird das so nicht angezeigt.

Geht um Bootnet - Hack.

Beiträge: 842

Geschlecht: Männlich

6

07.07.2020, 00:10

P.S.: liveislive fällt mir Opus ich glaube Mitte 80iger ein.
von Pentium II bis HP Laptop gibt es keinen Rechner der mir sagt was ich machen soll :thumbsup:
ich bin Ubuntu im Sinne von Desmond Tutu
Linux Knoppix Flash auf USB Stick

7

07.07.2020, 09:26

-------- P.S.: liveislive fällt mir Opus ich glaube Mitte 80iger ein. --------

Das war eine super Zeit,Party`s ohne Ende und das Wochenende durchfeiern fast ohne Schlaf und Montags trotzdem pünktlich auf der Matte gestanden.

Heute läge ich da im Koma ......

8

07.07.2020, 10:07

Qtparted zeigt eine virtuelle Partition als sda-1 an und als virtuell.


ich weiß nicht, was das ist, aber vielleicht kannst du ja auch mit parted direkt, mit fdisk, file oder mmls aus dem sleuthkit die Information sehen, die du brauchst.

RalfonLinux

Erleuchteter

Beiträge: 2 959

Geschlecht: Männlich

9

07.07.2020, 10:41

Qtparted zeigt eine virtuelle Partition als sda-1 an und als virtuell.
Abgesehen davon das ich nicht weiss was du mit virtueller Partition meinst, was zeigt dir gparted an ?
Auf Wunsch gibt es nur noch Text und keine Bilder mehr in der Signatur.
Keine ? ....... :evil:

Quellcode

1
2
3
4
5
6
7
8
.
    ~
   - -          M
   /V\         - *
  // \\        /V\
 /( _ )\      // \\
  ^~ ~^      /( _ )\
              ^~ ~^

10

07.07.2020, 14:24

-------- Abgesehen davon das ich nicht weiss was du mit virtueller Partition meinst, was zeigt dir gparted an ? ------

Gparted zeigt mir allenfalls eine kleine graue Unallocatet Partition ca.2MB am ende der NTFS Partition an.Bei einem sauberen Windows gibt es keine unallocatet am Ende der Partition.
Das sind alles alte XP - Vista Laptops,die ich größenteils für kleines Geld bei Ebay geschossen habe.
Mir ist dabei nur die unallocatet bei all diesen Rechnern aufgefallen und da stimmt was nicht.
Entweder ein allgemeines Update zum Schnüffeln oder Hack.

cfdisk /dev/sda ist sauber,cfdisk /dev/sda1 zeigt dann aber 4 Unterpartitionen an.QNX4 3.Teil,Speedstor,Discsecure Multiboot,unbekannt.

Was haben diese Partitionen bei Windows zu suchen?

QNX4 ist ein OS für Navigeräte,evtl. kann man damit einen Rechner über den Äther auslesen,mt einem einfachen Navigerät.

In einem anderen Forum habe ich gelesen,daß so ein Rechner Daten - Signale sendet.Mit einer App fürs Handy kann man das einfach prüfen.

Mehr möchte ich hier nicht sagen.

Qtparted zeigt die Partition als sda -1 (minus 1) und als virtuell an.Partition ist virtuell,kann nicht geändert werden.

Auch bei USB Sticks,die an so einem Windows Rechner formatiert wurden ist der Wurm drin.

Wie gesagt bin ich da schon länger damit beschäftigt und das ist jetzt nur so am Rande erwähnt.

Wen es interessiert,der besorgt sich eine alten Laptop,am besten mit (gelöscher) Festplatte.

11

07.07.2020, 15:31

Gparted zeigt mir allenfalls eine kleine graue Unallocatet Partition ca.2MB am ende der NTFS Partition an.Bei einem sauberen Windows gibt es keine unallocatet am Ende der Partition.

wieso? Alle "guten" Partitionstabellen zeigen immer Bereiche an, die unbenutzt bleiben. Damit sorgt man für ein passenderes Verteilen der Dateisysteme. Stichwort hier ist Allignement und es kommt ja immer darauf an, wer diese Partitionen erstellt hat.


QNX4 ist ein OS für Navigeräte,evtl. kann man damit einen Rechner über den Äther auslesen,mt einem einfachen Navigerät.

https://de.wikipedia.org/wiki/QNX
Also, QNX wird etwa auch von meinem Arbeitgeber als Echtzeit-Betriebssystem eingesetzt und ich kann dir sagen: da hat es gar nichts mit Navigation zu tun. Es ist sehr viel universeller und dass es auch mal für ein Navigationssystem benutzt worden ist, sagt eigentlich nicht viel.
QNX4 ist eines der möglichen Dateisysteme, die QNX benutzen kann. Ob auch andere Systeme ein QNX-Dataisystem lesen können, das weiß ich nicht.
Nun stelle ich mir die Frage, was denn eine QNX4 Partition auf einem Rechner bewirken kann:
Mir fällt dazu nur eine Möglichkeit ein, dass in einem Multiboot-Szenario eben nicht nur ein Windows, sondern auch in QNX-Neutrino gebootet werden kann. Das müsste dann allerdings jemand bewusst so eingerichtet haben.

Auch bei USB Sticks,die an so einem Windows Rechner formatiert wurden ist der Wurm drin.

Kannst du da etwas mehr an Informationen liefern?

Bei mir läuft ein Windows-XP in einer virtuellen Umgebung und ich erinnere zahlreiche Installationen damit und habe nicht bei einer einzigen davon auch nur annähernd ein solches Verhalten erlebt, dass also bei der Installation ein zusätzliches Betriebssystem installiert wird. Es genügt also ganz bestimmt nicht, irgendwelche alten Rechner zu kaufen und dann auf die Suche nach QNX-Partitionen zu gehen. Das müssen doch schon sehr spezielle Geräte gewesen sein.

Ich glaube nicht, dass ich noch eine alte HD mit installiertem XP finden werde.
Aber ich habe eine, mit installiertem Win10 und möchte die mal zeigen:

Quellcode

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
pit@Celsius ~:- > mmls -B /dev/da0
DOS Partition Table
Offset Sector: 0
Units are in 512-byte sectors

      Slot      Start        End          Length       Size    Description
000:  Meta      0000000000   0000000000   0000000001   0512B   Primary Table (#0)
001:  -------   0000000000   0000002047   0000002048   1024K   Unallocated
002:  000:000   0000002048   0001126399   0001124352   0549M   NTFS / exFAT (0x07)
003:  000:001   0001126400   1953521663   1952395264   0930G   NTFS / exFAT (0x07)
004:  -------   1953521664   1953525166   0000003503   0001M   Unallocated
pit@Celsius ~:- > gpart show da0
=>        63  1953525104  da0  MBR  (932G)
          63        1985       - free -  (993K)
        2048     1124352    1  ntfs  [active]  (549M)
     1126400  1952395264    2  ntfs  (931G)
  1953521664        3503       - free -  (1.7M)

pit@Celsius ~:- > file -s /dev/da0s1
/dev/da0s1: DOS/MBR boot sector, code offset 0x52+2, OEM-ID "NTFS    ", sectors/cluster 8, Media descriptor 0xf8, sectors/track 63, heads 255, hidden sectors 2048, dos < 4.0 BootSector (0x80), FAT (1Y bit by descriptor); NTFS, sectors/track 63, sectors 1124351, $MFT start cluster 46848, $MFTMirror start cluster 2, bytes/RecordSegment 2^(-1*246), clusters/index block 1, serial number 0705ac8255ac7e646
pit@Celsius ~:- > file -s /dev/da0s2
/dev/da0s2: DOS/MBR boot sector, code offset 0x52+2, OEM-ID "NTFS    ", sectors/cluster 8, Media descriptor 0xf8, sectors/track 63, heads 255, hidden sectors 1126400, dos < 4.0 BootSector (0x80), FAT (1Y bit by descriptor); NTFS, sectors/track 63, sectors 1952395263, $MFT start cluster 786432, $MFTMirror start cluster 2, bytes/RecordSegment 2^(-1*246), clusters/index block 1, serial number 0e0e8cafde8cad148

Die eingebundene erste Partition liest sich dann etwa so:

Quellcode

1
2
3
4
5
6
7
pit@Celsius ~:- > ll /media/System-reserviert
total 417
drwxrwxrwx  1 pit  wheel    8192 10 Jan.  2019 Boot
-rwxrwxrwx  1 pit  wheel  407744  1 Jan.  2019 bootmgr
-rwxrwxrwx  1 pit  wheel       1 12 Apr.  2018 BOOTNXT
-rwxrwxrwx  1 pit  wheel    8192  8 Jan.  2019 BOOTSECT.BAK
drwxrwxrwx  1 pit  wheel       0  8 Jan.  2019 System Volume Information
Hier wird also eine eigene, kleine Partition für die Bootmagie benutzt, aber ansonsten nichts. Also nichts QNX oder so.

Über die Syntax von Qtparted staune ich. Keine Ahnung, was eine virtuelle Partition sein soll. Vielleicht meinen die eine erweiterte Partition? Das würde dann auf die anderen Befunde zutreffen können, ist allerdings aus verschiedenen Gründen nicht so üblich gewesen, gleich die erste Partition zu einer erweiterten zu machen. Auch erinnere ich nicht deutlich, ob das in Linux dann als sda1 erkannt wurde. Ist aber auch egal.
Denn: zum Spionieren und Senden von Daten braucht man garantiert kein QNX auf einem Windows-PC. Den Aufwand kann man deutlich geringer halten.

12

07.07.2020, 22:16

Sorry,ich bin kein Linux Experte.

Am besten besorgt man sich einen alten Laptop und wird so gut wie sicher fündig.

Liveboot und mit Gparted die Partitionen anzeigen lassen.Wenn am Ende diese spezielle ca. 2MB zu finden ist,stimmt etwas nicht.

Ein sauberes Windows hat diese Partition nicht.

cfdisk /dev/sda1 zeigt dann 4 Unterpartitionen an.sda1p1 - sda1p4.

Meißtens wird nur Disksecure Multiboot angezeigt,die anderen 3 als Unbekannt.

Hab mehrere Linux Versionen versucht und so nach und nach wurden dann alle 4 benannt.

Bad magic Number in Suerblock,Disk goes out of Space,Partitionstabelleneinträge sind nicht in Platten-Reihenfolge,das sind so typische Fehlermeldungen.

Windows läuft dabei aber unauffällig.

Mehr kann ich dazu nicht sagen.

RalfonLinux

Erleuchteter

Beiträge: 2 959

Geschlecht: Männlich

13

07.07.2020, 23:50

Sorry,ich bin kein Linux Experte.

Am besten besorgt man sich einen alten Laptop und wird so gut wie sicher fündig.

Liveboot und mit Gparted die Partitionen anzeigen lassen.Wenn am Ende diese spezielle ca. 2MB zu finden ist,stimmt etwas nicht.

Ein sauberes Windows hat diese Partition nicht.
Sorry, ein Windows-Experte bist du aber auch nicht.
Wie von pit schon geschrieben, die 2MB hinten auf einer Festplatte sind fast normal.
Ich habe hier einige alte Server laufen die das auch haben.
Windows hat damals zu den Zeiten von MBR immer auf dem 64. Sektor angefangen zu schreiben.
Wenn man nun aber SSD verwendet, sollte man die erste Partition nicht auf 0/0/63 sondern 0/0/2048 anfangen und das ist dann auch bei GPT so die Regel.
Durch die Clustergrösse von 4096 bzw 16384 kann bei einem NTFS (und somit bei einem WIndows-Format-Programm) der hintere Bereich nicht mehr sauber addressiert werden, und das ist der Verschnitt der über bleibt.
Sicherlich kann man da so einiges drin verstecken, aber ob ich es jetzt in die Sektoren 5-63 schreibe, oder hinten in den letzten 2MB, meine Seriennummer bekomme ich schon versteckt.

cfdisk /dev/sda1 zeigt dann 4 Unterpartitionen an.sda1p1 - sda1p4.

Meißtens wird nur Disksecure Multiboot angezeigt,die anderen 3 als Unbekannt.

Hab mehrere Linux Versionen versucht und so nach und nach wurden dann alle 4 benannt.

Bad magic Number in Suerblock,Disk goes out of Space,Partitionstabelleneinträge sind nicht in Platten-Reihenfolge,das sind so typische Fehlermeldungen.

Windows läuft dabei aber unauffällig.
Du weisst aber schon was du machst ?

Gehen wir mal von einer MBR-partionierten Festplatte aus.
Dann hast du max 4 Partitionseinträge welche unter Linux idR mit 1-4 nummeriert sind.
Also in deinem Fall sda1 bis sda4
Solltest du jetzt mehr Partitionen benötigen, so kannst du einer der primären Partition zu einer erweiterten Partition umlabeln.
Dadurch kannst du dann innerhalb der sda3 zB eine sda5-sda127 (kann auch nur bis sda31 sein, bin mir nicht ganz sicher) haben.
Diese Partitionen werden dir aber ganz normal bei einem fdisk angezeigt.

Mal so als Beispiel:

Quellcode

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
Disk /dev/sda: 1000 MiB, 1048576000 bytes, 2048000 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: dos
Disk identifier: 0x789216d0

Device       Boot   Start     End Sectors  Size Id Type
/dev/sda1         2048  206847  204800  100M  7 HPFS/NTFS/exFAT
/dev/sda2       206848  411647  204800  100M  7 HPFS/NTFS/exFAT
/dev/sda3       411648 2047999 1636352  799M  5 Extended
/dev/sda5       413696  823295  409600  200M  b W95 FAT32
/dev/sda6       825344 1234943  409600  200M 83 Linux
/dev/sda7      1236992 1646591  409600  200M 4f QNX4.x 3rd part
/dev/sda8      1648640 2047999  399360  195M 82 Linux swap / Solaris

Hab dir auch deine QNX-Partition mit rein gebastelt ;-)

Wenn du also ein fdisk -l /dev/sda machst, lässt du dir den MBR der Festplatte anzeigen.
Bei einem fdisk -l /dev/sda1 lässt du dir den MBR in einer Partition anzeigen, da ist idR aber keiner, daher auch die Fehlermeldung "Unknown superblock, Bad magic number, bad signature (für die Experten, das ist die MBR-Signature \x55AA)

Nun machen wir mal einen fdisk -l /dev/sda3 und erhalten:

Quellcode

1
2
3
4
5
6
7
8
9
10
11
Failed to read extended partition table (offset=411648): Invalid argument
Disk /dev/sda3: 512 B, 512 bytes, 1 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: dos
Disk identifier: 0x00000000

Device         Boot  Start    End Sectors  Size Id Type
/dev/sda3p1        2048 411647  409600  200M  b W95 FAT32
/dev/sda3p2      411648 823295  411648  201M  5 Extended
Erklärung:
Er schaut in die Partition 3 rein und findet einen Partitionstabelleneintrag der besagt:
Hier beginnt bei Sektor 2048 eine Partition mit der Länge von 409600 Sektoren und er errechnet sich daraus den Sektor 411647
Nun +1 und er erwartet einen weiteren Partitonstabelleneintrag (logische Partitionen werden verkettet)
Er liest jetzt also 411678 auf der Festplatte!!! und landet am Sektorbeginn von sda3

Böses Foul, ist nun ein Zirkelbezug und könnte deinen Rechner jetzt etwas länger beschäftigen, aber er hat es ja erkannt und "Invalid argument" gemeldet.

Wenn die Partitionen jetzt nicht 100+100+200 gewesen wären, hätte er vllt mitten in das Dateisystem geguckt und ein Byte als QNX oder sonst was interpretiert.
Es sind alles nur Bytes, erst der Betrachter erkennt einen Sinn darin.
Wenn der Partitionierer sich nun ein MFT ansieht, kann er mit der Interpretierung als MBR nur auf die Nase fallen.
Gleiches bei einem GPT und fdisk


Mehr kann ich dazu nicht sagen.
Schade, ich frag mich nämlich immer noch wo es um den Botnet-Hack geht....


Schönen Abend noch

@pit:
Manche packen die erweiterte Partiton nach vorne (hauptsache der BootRecord ist nach genug an 0) weil dort die Zugriffsgeschwindigkeit grösser sein soll.
Da logische Partitionen verkettet sind, erhoffen sie sich so ein schnelleres System.
Ausserdem sind die Bytes ja schneller da, weil sich die Magnetscheibe im Aussenbereich ja auch schneller dreht

Ist vergleichbar mit dem SoftRAM von damals, alles Magic ......

BTW: sda3 ist eine Erweiterte und wird angezeigt.
Unter GPT gibt es das nicht mehr, da sind es alles primäre Partitionen.
Auf Wunsch gibt es nur noch Text und keine Bilder mehr in der Signatur.
Keine ? ....... :evil:

Quellcode

1
2
3
4
5
6
7
8
.
    ~
   - -          M
   /V\         - *
  // \\        /V\
 /( _ )\      // \\
  ^~ ~^      /( _ )\
              ^~ ~^

14

08.07.2020, 09:51

Ich werde bestimmt nicht alte PCs kaufen, um mir deren Festplatten anzusehen. Wenn ich einen PC kaufe, dann, weil ich ihn nutzen möchte und dazu wird nicht nur das Gerät außen und innen gereinigt, sondern vor allem auch die Festplatte. Ich würde nie ein fertig installiertes System benutzen wollen.
Und obwohl ich selbst für mich kein Windows installieren möchte, würde ich dann, wenn doch, nur eines von Microsoft nehmen. Also nicht mit einem OEM-System arbeiten wollen. Und zwar zum Einen, weil diese OEM-Systeme oft mit den schlimmsten zusätzlichen Programmen nur so überladen sind, die man so gar nicht haben möchte und die einen PC nur verlangsamen und nichts nützen, zum Anderen aber genau auch deshalb, weil die Hersteller nicht wirklich jedesmal Windows neu installieren, also den Windows-Installer auch arbeiten lassen, der ja auch die Partitionierung vornimmt und in seinem Sinne sauber die Partitionen einrichtet. OEM-Hersteller klonen ihr System und übertragen das von Rechner zu Rechner, weil das sehr viel schneller geht. Allerdings funktioniert das nur dann auch einigermaßen genau, so lange etwa die Empfängerplatte auch haargenau gleich ist. Macht es der Fertigungsprozess nötig, mal geringfügig abweichende Platten zu nutzen, dann werden die unter Umständen nicht optimal genutzt. Das kann durchaus zu einem deutlich verlangsamten System führen. RalfonLinux hat in seinem vorhergehenden Beitrag ja schon ein wenig die Zusammenhänge erläutert. Ich will das nur kurz zusammenfassen: am Besten hat man Partitionen in der Größe eines Vielfachen der kleinsten Zuordnungseinheit, den Inoden eines klassischen Dateisystems und lässt sie an Plätzen starten und enden, die wiederum in dieses Raster passen. Kennt man genaue Struktur von Platte oder SSD (oft gaukeln einem die Kontroller hier aber falsche Sachen vor), so kann man auch dies berücksichtigen, was dann alles zusammen durchaus anstrengende Rechenarbeit bedeuten kann. Worauf ich aber nicht näher eingehen möchte.

Stattdessen will ich noch über den Austausch von Daten reden.
Diese müssen jedenfalls immer von deinem Gerät zu einem Empfänger gelangen. Gesammelt werden können sie auf die unterschiedlichste Weise, aber so lange sie auf deinem Endgerät verbleiben, kann sie ja niemand auswerten.
Nun kann man sich mal fragen, wie groß die Möglichkeiten bei einem alten XP-Laptop dafür waren.
Und dann vielleicht darüber nachdenken, wie die Möglichkeiten dafür bei einem modernen Smartphone sind. Dabei sind diese Geräte nicht nur sehr viel weiter verbreitet, ihre Benutzer sind allermeist vollkommen unbedarfte Endanwender, die sich über ein Angebot an Apps freuen und diese auch bereitwillig und ohne Skrupel installieren. Und nicht nur das: auch die verwendete HW ist zum größten Teil nur "Black-Box" und niemand weiß tatsächlich, was genau damit gemacht werden kann und zwar direkt, also am Betriebssystem vorbei.
Natürlich kann man derartige Szenarien auch für Laptops anwenden. Nur, dass es schon aus Kostengründen höchst unwahrscheinlich ist, dass vollkommen ungezielt beliebige Geräte so produziert wurden (also speziell in der Vergangenheit), dass sie obskure Modems implementiert haben, die dann Daten unerkannt und am System vorbei verschicken. So etwas ist gezielten Angriffen vorbehalten. Der Aufwand würde doch keinesfalls bei mir oder mit mir zusammen 99,9% aller Anwender lohnen.
Nochmal: es ist sehr viel einfacher, innerhalb eines Windows entsprechende SW zu installieren, die das ganz bequem und ohne zusätzliche Kosten macht.

15

09.07.2020, 11:30

Also.ich kaufe keine alten PC um mir Festplatten anzusehen.

Von Acronis gibt es Programme,die auf Linux basieren.Ich habe den Drive Cleaner und den Partitionsmanager.Sind jeweils Boot CD.Fehlt noch der OS-Selector.

Mit dem Partitionsmanager kann man sich auch die Partitionstabelle und den MBR anzeigen lassen.

Bild 1 zeigt den MBR am Anfang der Platte und Bild 2 den am Ende der Platte.Ich dachte immer,ein MBR reicht aus?
[attach]1146[/attach][attach]1147[/attach]

Bilder 3-4-5 zeigen die Partitionstabelle mit dem Os - Selector.
Scheinbar sind auf der Platte mit diesem Programm (Os - Selector) versteckte Partitionen erstellt worden!
[attach]1148[/attach][attach]1149[/attach][attach]1150[/attach]

Habe noch weitere Bilder vom Terminal - nächster Beitrag.

16

09.07.2020, 11:49

Hier Bilder von Gparted und vom Terminal.

[attach]1151[/attach][attach]1152[/attach][attach]1153[/attach]

Dann deckt sich die Ausgabe von fdisk -l /dev/sda1 - Disk secure Multiboot mit der vom Os-Selector.

Den QNX4 hat es bei Win 7 angezeigt.Das hier ist ein frisch aufgesetztes Win Vista.

Noch was,das Programm Winhex von X-Ways dient auch zur Forensic.

Ist freeware und also solche nicht editierbar,zum auslesen reicht das aber.

Wenn man sich das virtuelle Laufwerk einer 2,5" Platte anzeigen läßt,muß dort als erster Eintrag stehen Partition...Wenn dort steht Anfang der Platte,dann stimmt etwas ganz und gar nicht.
Und so ist es auch bei dieser Platte.

Beiträge: 842

Geschlecht: Männlich

17

09.07.2020, 11:50

Sorry,ich bin kein Linux Experte.

Ich war 2007 auch kein Experte als ich Knoppix 6.1 von einer PC-Zeitschrift Beilage probiert hatte und bin es bis heute nicht.
2009 fand ich Ubuntu 9.04 auf einer Zeitschrift DVD. Seit dem wurde Linux interessant für mich.
Diese Seite fand ich etwa 2012. Um zu wissen was es zu erst gab, UNIX, LINUX, WINDOWS, und warum solltest Du lesen.
https://de.wikipedia.org/wiki/Geschichte_von_Linux

Das Bild ist vom Koppix 8.6.1 Flash USB Gparted nach der Installation von EFI auf dem HP Laptop. Ich sehe da zwei schwarze Löscher. Eins hinter FAT EFI und eins hinter NTFS Windows.
Das kannst Du mit einem PM Manager von Windows nicht sehen.
»ubuntuli« hat folgende Datei angehängt:
von Pentium II bis HP Laptop gibt es keinen Rechner der mir sagt was ich machen soll :thumbsup:
ich bin Ubuntu im Sinne von Desmond Tutu
Linux Knoppix Flash auf USB Stick

Beiträge: 842

Geschlecht: Männlich

18

09.07.2020, 15:58

Korrektur
In meinen Unterlagen fand ich PDF Dateien von anderen Foren 2014 bis 2019. Nicht alle PM zeigen diese schwarzen Löscher, einige zeigen sie. Name. Alter des PM und Hersteller sind entscheidend.
von Pentium II bis HP Laptop gibt es keinen Rechner der mir sagt was ich machen soll :thumbsup:
ich bin Ubuntu im Sinne von Desmond Tutu
Linux Knoppix Flash auf USB Stick

19

09.07.2020, 16:54

nun wird es etwas abenteuerlich und ich will mir nicht die Mühe machen, auf irgendwelchen Bildern alles zu erkennen, was es dort zu sehen gibt und bleibe deshalb eher grundsätzlich.
Und fange damit an: du solltest besser genauer wissen, was du machen möchtest und womit du es zu tun hast.
MBR
https://de.wikipedia.org/wiki/Master_Boot_Record
Dieser Beitrag erklärt das so genau, dass ich es mir erspare, irgendwas mehr dazu zu sagen.
GPT
MBR ist alt, aber immer noch gültig und für viele Systeme nutzbar. GPT ist aber neuer und wird beinahe nur noch eingesetzt und zwar alleine schon deshalb, weil der GPT auch am Ende eines Datenträgers nochmal vorhanden ist. Das verleiht eine größere Sicherheit, führt aber dann auch zu Fehlermeldungen, wenn der GPT nicht sauber (also doppelt) geschrieben wird, sondern vielleicht nur der erste Teil verändert wird. Das geht nämlich, weil, der GPT enthält einen MBR (PMBR).
Mit GPT kann man sehr viel mehr direkte Partitionen in unterschiedlichen Dateisystemen anlegen. Mit MBR war man da sehr begrenzt, genau gesagt auf nur vier Primäre Partitionen (es wurde zuvor bereits erklärt). Der PMBR innerhalb des GPT-Blocks sieht fast so aus, wie ein MBR von früher, er kennzeichnet nur allen verfügbaren Platz als belegt, damit nicht aus Versehen mit einem untauglichen Tool, das nur MBR erkennt und nicht GPT, irgendwas zerstört werden kann.
Siehe dazu den inzwischen auch recht guten Beitrag zu GPT: https://de.wikipedia.org/wiki/GUID_Partition_Table

Irgendein Tool zeigt dir nun zwei MBR auf einem Datenträger, einer vorne, einer hinten. Was genau angezeigt wird, weiß man nicht, jedenfalls nicht aus den Bildern. Lass mich mal eine Ausgabe von einer meiner Systemplatten zeigen:

Quellcode

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
pit@Celsius ~:- > hexdump -Cv -n 512 /dev/ada0
00000000  fc 31 c0 8e c0 8e d8 8e  d0 bc 00 0e be 1a 7c bf  |.1............|.|
00000010  1a 06 b9 e6 01 f3 a4 e9  00 8a 80 fa 80 72 0b 8a  |.............r..|
00000020  36 75 04 80 c6 80 38 f2  72 02 b2 80 e8 c8 00 b6  |6u....8.r.......|
00000030  01 bb 00 0e be 88 07 e8  a3 00 66 81 3e 00 0e 45  |..........f.>..E|
00000040  46 49 20 75 0d 66 81 3e  04 0e 50 41 52 54 75 02  |FI u.f.>..PARTu.|
00000050  eb 19 80 fe 01 0f 85 b2  00 b6 00 be 10 12 bf 88  |................|
00000060  07 66 ff 0c b9 02 00 f3  a5 eb c6 be 48 0e bb 00  |.f..........H...|
00000070  10 e8 69 00 89 de bf 90  07 b1 10 f3 a6 75 3f 89  |..i..........u?.|
00000080  df 8d 75 20 bb c0 07 8e  c3 31 db 56 e8 4e 00 5e  |..u .....1.V.N.^|
00000090  66 8b 45 28 66 3b 04 75  0f 66 8b 45 2c 66 3b 44  |f.E(f;.u.f.E,f;D|
000000a0  04 75 05 8e c3 e9 58 75  66 ff 04 66 83 54 04 00  |.u....Xuf..f.T..|
000000b0  8c c0 83 c0 20 3d 00 90  73 4c 8e c0 eb cd 66 ff  |.... =..sL....f.|
000000c0  0e 50 0e 74 50 a1 54 0e  01 c3 81 fb 00 12 72 a4  |.P.tP.T.......r.|
000000d0  66 ff 06 48 0e 66 83 16  4c 0e 00 eb 8e 66 ff 74  |f..H.f..L....f.t|
000000e0  04 66 ff 34 06 53 6a 01  6a 10 89 e6 b8 00 42 cd  |.f.4.Sj.j.....B.|
000000f0  13 83 c4 10 72 1a c3 be  00 12 c7 04 1e 00 b8 00  |....r...........|
00000100  48 cd 13 72 0b c3 be 28  07 eb 16 be 3e 07 eb 11  |H..r...(....>...|
00000110  be 56 07 eb 0c be 74 07  eb 07 bb 07 00 b4 0e cd  |.V....t.........|
00000120  10 ac 84 c0 75 f4 eb fe  42 6f 6f 74 20 6c 6f 61  |....u...Boot loa|
00000130  64 65 72 20 74 6f 6f 20  6c 61 72 67 65 00 49 6e  |der too large.In|
00000140  76 61 6c 69 64 20 70 61  72 74 69 74 69 6f 6e 20  |valid partition |
00000150  74 61 62 6c 65 00 49 2f  4f 20 65 72 72 6f 72 20  |table.I/O error |
00000160  6c 6f 61 64 69 6e 67 20  62 6f 6f 74 20 6c 6f 61  |loading boot loa|
00000170  64 65 72 00 4d 69 73 73  69 6e 67 20 62 6f 6f 74  |der.Missing boot|
00000180  20 6c 6f 61 64 65 72 00  01 00 00 00 00 00 00 00  | loader.........|
00000190  9d 6b bd 83 41 7f dc 11  be 0b 00 15 60 b8 4f 0f  |.k..A.......`.O.|
000001a0  90 90 90 90 90 90 90 90  90 90 90 90 90 90 90 90  |................|
000001b0  90 90 90 90 90 90 90 90  00 00 00 00 00 00 00 00  |................|
000001c0  02 00 ee ff ff ff 01 00  00 00 6f 59 1c 1d 00 00  |..........oY....|
000001d0  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
000001e0  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
000001f0  00 00 00 00 00 00 00 00  00 00 00 00 00 00 55 aa  |..............U.|
00000200
Das sind die ersten 512Bytes von dieser Platte, also der Bereich, der als MBR erkannt würde. Man kann direkt mit dem Wikipedia-Artikel vergleichen und einige Dinge wiederfinden. Grundsätzlich scheint die MBR-Welt da in Ordnung zu sein. Was nun diverse Tools daraus machen und anzeigen würden, weiß ich nicht und ich habe auch kein GNU/Linux laufen, um mal mit Gparted nach solch einer Platte zu sehen, kann das aber später vielleicht nachholen.
Die gleiche Systemplatte zeigt mit meinen verfügbaren Tools zB dies:

Quellcode

1
2
3
4
5
6
7
pit@Celsius ~:- > gpart show ada0
=>       40  488397088  ada0  GPT  (233G)
         40       1024     1  freebsd-boot  (512K)
       1064        984        - free -  (492K)
       2048   16777216     2  freebsd-swap  (8.0G)
   16779264  469762048     3  freebsd-zfs  (224G)
  486541312    1855816        - free -  (906M)
und dies:

Quellcode

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
pit@Celsius ~:- > mmls -B /dev/ada0
GUID Partition Table (EFI)
Offset Sector: 0
Units are in 512-byte sectors

      Slot      Start        End          Length       Size    Description
000:  Meta      0000000000   0000000000   0000000001   0512B   Safety Table
001:  -------   0000000000   0000000039   0000000040   0020K   Unallocated
002:  Meta      0000000001   0000000001   0000000001   0512B   GPT Header
003:  Meta      0000000002   0000000033   0000000032   0016K   Partition Table
004:  000       0000000040   0000001063   0000001024   0512K   boot0
005:  -------   0000001064   0000002047   0000000984   0492K   Unallocated
006:  001       0000002048   0016779263   0016777216   0008G   swap1
007:  002       0016779264   0486541311   0469762048   0224G   system0
008:  -------   0486541312   0488397167   0001855856   0906M   Unallocated
Bitte beachte, dass bereits diese beiden Tools leicht abweichende Ausgaben liefern! Es ist die gleiche Platte und sie ist eindeutig mittels GPT partitioniert und die Partitionen finden sich darauf auch wieder. Wenn ich nun in meinem System nachsehe:

Quellcode

1
2
3
4
5
pit@Celsius ~:- > ls /dev | grep ada0
ada0
ada0p1
ada0p2
ada0p3
finde ich also drei Partitionen auf dieser Platte und die heißen bei mir ada0p1, ada0p2 und ada0p3. Andere Systeme und andere Tools mögen hier durchaus abweichende Bezeichnungen finden. Tools, vor allem also alte Tools, die nicht GPT erkennen und auflösen, würden mir aber irgendeinen Mist anzeigen, der gar nicht passt. Unter Anderen ist fdisk bei mir so ein Tool, das ich deshalb gar nicht mehr benutze, nicht mal mehr, um irgendwas anzusehen. Eine Ausgabe möchte ich nun hier einwerfen, um dies zu bestätigen, aber mein System ist kein GNU/Linux und das Linux fdisk arbeitet anders, ich kenne das nicht und möchte darüber nichts sagen. Ich weiß nicht, was es anzeigt und was davon stimmt und was wie gedeutet werden muss.

Quellcode

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
pit@Celsius ~:- > fdisk /dev/ada0
******* Working on device /dev/ada0 *******
parameters extracted from in-core disklabel are:
cylinders=484521 heads=16 sectors/track=63 (1008 blks/cyl)

Figures below won't work with BIOS for partitions not in cyl 1
parameters to be used for BIOS calculations are:
cylinders=484521 heads=16 sectors/track=63 (1008 blks/cyl)

Media sector size is 512
Warning: BIOS sector numbering starts with sector 1
Information from DOS bootblock is:
The data for partition 1 is:
sysid 238 (0xee),(EFI GPT)
    start 1, size 488397167 (238475 Meg), flag 0
	beg: cyl 0/ head 0/ sector 2;
	end: cyl 1023/ head 255/ sector 63
The data for partition 2 is:
<UNUSED>
The data for partition 3 is:
<UNUSED>
The data for partition 4 is:
<UNUSED>
Das ist die gleiche Platte wie oben und offensichtlich ist die Ausgabe beinahe vollkommen unbrauchbar!

In den gezeigten Bildern erkenne ich richtige Ausgaben in Bild 6.JPG und in Bild 8.JPG.
Auf dem Laufwerk sda wurde eine Partition sda1 angelegt und die ist in NTFS formatiert und ganz und gar korrekt!
Mit der Ausgabe von fdisk auf /dev/sda1 passiert dies: die ersten 512Byte der Partition sda1 werden von fdisk gelesen und als Partitionstabelle interpretiert, obwohl es gar keine Partitionstabelle an dieser Stelle gibt! Wozu auch? Die Ausgabe ist deshalb vollkommen beliebiger Unsinn und steht in keinem Zusammenhang zu irgendwelchen Tatsachen!
Was da der OS-Selector anzeigt und wozu das gut sein soll, erkenne ich nicht und will es deshalb auch nicht kommentieren.

Ich weiß immer noch nicht, was ein viruelles Laufwerk sein soll.
Wenn du von erweiterten Partitionen redest, wird vielleicht ein Schuh daraus, aber du hast hier keine solchen! Wenn du die finden willst indem du dann ziemlich wahllos die Bytes am Anfang einer Partition ausliest, wirst du je nach verwendetem Tool entsprechend mysteriöse Augaben hervorzaubern, die aber reiner Blödsinn sind.
Wenn das eine alte Platte ist und die die eh nicht mehr brauchst oder eine Kopie (ein Backup) hast, dann lösche doch mal aus Knoppix alle Daten darauf. Nicht auf der Platte, sondern auf der Partition. Wenn du als root eingibst:

Quellcode

1
dd if=/dev/zero of=/dev/sda1 bs=1M
sollte das funktionieren. Dabei bleibt der Eintrag im MBR (auf sda) unverändert, aber deine Anschließende "Ausgabe" der Partitionstabelle in der Partition1 (sda1) sollte sich verändert haben, weil da nun ja nichts mehr steht (man könnte auch einfach nur 512Bytes mit Nullen schreiben, um das zu zeigen).

Lass mich noch einen Stick in mein System einlegen und zeigen, was da zu sehen ist (nochmal: kein GNU/Linux, anderes fdisk, aber ähnliche Ergebisse). Der Stick enthält zwei Partitionen:

Quellcode

1
2
3
4
5
6
7
8
9
10
pit@Celsius ~:- > mmls -B /dev/da0
DOS Partition Table
Offset Sector: 0
Units are in 512-byte sectors

      Slot      Start        End          Length       Size    Description
000:  Meta      0000000000   0000000000   0000000001   0512B   Primary Table (#0)
001:  -------   0000000000   0000002047   0000002048   1024K   Unallocated
002:  000:000   0000002048   0012290047   0012288000   0005G   Win95 FAT32 (0x0c)
003:  000:001   0012290048   0242614271   0230324224   0109G   Linux (0x83)
Eine ist FAT32 und eine andere ist EXT4 formatiert. fdisk zeigt das auch:

Quellcode

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
pit@Celsius ~:- > fdisk /dev/da0
******* Working on device /dev/da0 *******
parameters extracted from in-core disklabel are:
cylinders=15102 heads=255 sectors/track=63 (16065 blks/cyl)

Figures below won't work with BIOS for partitions not in cyl 1
parameters to be used for BIOS calculations are:
cylinders=15102 heads=255 sectors/track=63 (16065 blks/cyl)

Media sector size is 512
Warning: BIOS sector numbering starts with sector 1
Information from DOS bootblock is:
The data for partition 1 is:
sysid 12 (0x0c),(DOS or Windows 95 with 32 bit FAT (LBA))
    start 2048, size 12288000 (6000 Meg), flag 80 (active)
	beg: cyl 0/ head 32/ sector 33;
	end: cyl 765/ head 5/ sector 8
The data for partition 2 is:
sysid 131 (0x83),(Linux native)
    start 12290048, size 230324224 (112463 Meg), flag 0
	beg: cyl 765/ head 5/ sector 9;
	end: cyl 1023/ head 254/ sector 63
The data for partition 3 is:
<UNUSED>
The data for partition 4 is:
<UNUSED>
Wie gesagt, mit fdisk sehe ich gar nicht erst nach so etwas, aber hier zeigt es korrekte Verhältnisse: ein Stick, ein MBR, zwei primäre Partitionen. Basta.
Nun sehe ich mit fdisk auf die 512Bytes der ersten Partition, wo aber gar kein MBR liegt und keine Partitionstabelle vorhanden ist und erhalte dies:

Quellcode

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
pit@Celsius ~:- > fdisk /dev/da0s1
******* Working on device /dev/da0s1 *******
parameters extracted from in-core disklabel are:
cylinders=764 heads=255 sectors/track=63 (16065 blks/cyl)

parameters to be used for BIOS calculations are:
cylinders=764 heads=255 sectors/track=63 (16065 blks/cyl)

Media sector size is 512
Warning: BIOS sector numbering starts with sector 1
Information from DOS bootblock is:
The data for partition 1 is:
sysid 7 (0x07),(NTFS, OS/2 HPFS, QNX-2 (16 bit) or Advanced UNIX)
    start 3224498923, size 432871117 (211362 Meg), flag 9
	beg: cyl 187/ head 180/ sector 14;
	end: cyl 784/ head 0/ sector 13
The data for partition 2 is:
sysid 22 (0x16),(OS/2 BM: hidden DOS with 16-bit FAT (>= 32MB))
    start 3272020941, size 1953460034 (953837 Meg), flag f4
	beg: cyl 906/ head 235/ sector 61;
	end: cyl 262/ head 116/ sector 59
The data for partition 3 is:
sysid 111 (0x6f),(unknown)
    start 0, size 0 (0 Meg), flag 20
	beg: cyl 370/ head 101/ sector 50;
	end: cyl 10/ head 114/ sector 13
The data for partition 4 is:
sysid 0 (0000),(unused)
    start 50200576, size 924335794 (451335 Meg), flag 0
	beg: cyl 0/ head 0/ sector 0;
	end: cyl 0/ head 0/ sector 0
Spookiee? Nein, einfach nur irgendwelche Bytes von einem dummen Tool interpretiert. Den gleichen Bereich mit einem nur wenig klügeren Tool angesehen:

Quellcode

1
2
pit@Celsius ~:- > mmls -B /dev/da0s1
Cannot determine partition type
!
Nochmal anders:

Quellcode

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
pit@Celsius ~:- > hexdump -Cv -n 512 /dev/da0s1
00000000  eb 58 90 4d 53 57 49 4e  34 2e 31 00 02 20 50 00  |.X.MSWIN4.1.. P.|
00000010  02 00 00 00 00 f8 00 00  3f 00 ff 00 00 08 00 00  |........?.......|
00000020  00 80 bb 00 b8 0b 00 00  00 00 00 00 11 4f 04 00  |.............O..|
00000030  01 00 06 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000040  80 01 29 6a ad f3 e3 4b  4e 2d 38 36 30 2d 32 20  |..)j...KN-860-2 |
00000050  20 20 46 41 54 33 32 20  20 20 fa fc 31 c9 8e d1  |  FAT32   ..1...|
00000060  bc 76 7b 52 06 57 1e 56  8e c1 b1 26 bf 78 7b f3  |.v{R.W.V...&.x{.|
00000070  a5 8e d9 bb 78 00 0f b4  37 0f a0 56 20 d2 78 1b  |....x...7..V .x.|
00000080  31 c0 b1 06 89 3f 89 47  02 f3 64 a5 8a 0e 18 7c  |1....?.G..d....||
00000090  88 4d f8 50 50 50 50 cd  13 eb 62 8b 55 aa 8b 75  |.M.PPPP...b.U..u|
000000a0  a8 c1 ee 04 01 f2 83 fa  4f 76 31 81 fa b2 07 73  |........Ov1....s|
000000b0  2b f6 45 b4 7f 75 25 38  4d b8 74 20 66 3d 21 47  |+.E..u%8M.t f=!G|
000000c0  50 54 75 10 80 7d b8 ed  75 0a 66 ff 75 ec 66 ff  |PTu..}..u.f.u.f.|
000000d0  75 e8 eb 0f 51 51 66 ff  75 bc eb 07 51 51 66 ff  |u...QQf.u...QQf.|
000000e0  36 1c 7c b4 08 e8 e9 00  72 13 20 e4 75 0f c1 ea  |6.|.....r. .u...|
000000f0  08 42 89 16 1a 7c 83 e1  3f 89 0e 18 7c fb bb aa  |.B...|..?...|...|
00000100  55 b4 41 e8 cb 00 72 10  81 fb 55 aa 75 0a f6 c1  |U.A...r...U.u...|
00000110  01 74 05 c6 06 46 7d 00  66 b8 00 45 00 00 66 ba  |.t...F}.f..E..f.|
00000120  00 00 00 00 bb 00 80 e8  0e 00 66 81 3e 1c 80 d0  |..........f.>...|
00000130  cf 5f 69 75 74 e9 f8 02  66 03 06 60 7b 66 13 16  |._iut...f..`{f..|
00000140  64 7b b9 10 00 eb 2b 66  52 66 50 06 53 6a 01 6a  |d{....+fRfP.Sj.j|
00000150  10 89 e6 66 60 b4 42 e8  77 00 66 61 8d 64 10 72  |...f`.B.w.fa.d.r|
00000160  01 c3 66 60 31 c0 e8 68  00 66 61 e2 da c6 06 46  |..f`1..h.fa....F|
00000170  7d 2b 66 60 66 0f b7 36  18 7c 66 0f b7 3e 1a 7c  |}+f`f..6.|f..>.||
00000180  66 f7 f6 31 c9 87 ca 66  f7 f7 66 3d ff 03 00 00  |f..1...f..f=....|
00000190  77 17 c0 e4 06 41 08 e1  88 c5 88 d6 b8 01 02 e8  |w....A..........|
000001a0  2f 00 66 61 72 01 c3 e2  c9 31 f6 8e d6 bc 68 7b  |/.far....1....h{|
000001b0  8e de 66 8f 06 78 00 be  da 7d ac 20 c0 74 09 b4  |..f..x...}. .t..|
000001c0  0e bb 07 00 cd 10 eb f2  31 c0 cd 16 cd 19 f4 eb  |........1.......|
000001d0  fd 8a 16 74 7b 06 cd 13  07 c3 42 6f 6f 74 20 65  |...t{.....Boot e|
000001e0  72 72 6f 72 0d 0a 00 00  00 00 00 00 00 00 00 00  |rror............|
000001f0  00 00 00 00 00 00 00 00  fe 02 b2 3e 18 37 55 aa  |...........>.7U.|
00000200
Die ersten 512Bytes der ersten Partition des Sticks. Da steht überhaupt nichts brauchbares drin, also keinerlei Angaben zu Partitionen und so weiter. Aber es sind Daten vorhanden und der Bereich entspricht dem Bereich, den ein MBR haben würde. Wenn da nun irgendein dummes Tool nachsieht, findet es an den passenden Stellen irgendwelche Bytes und interpretiert diese. Du kannst das ja selbst mal machen und mit dem Wikipedia-Artikel versuchen, was du herausfindest.
Nur, nochmal: das ist gar kein MBR und was da ab dem Byte 446 (1BE) steht, ist irgendeine Information, aber keine Partitionstabelle! Die Daten werden nur ganz stur von dummen Tools ausgelesen und interpretiert.

20

10.07.2020, 13:48

Suche KNOPPIX 5.3 iso

Also das mit dem Quelltext verstehe ich nicht.Nutze Knoppix 7.7.Wie wird der Quelltext angezeigt?

Wie lautet die Eingabe im Terminal für sda1?

Wenn ich das hier eingebe > mmls -B /dev/sda1 kommt Bash -B Befehl nicht gefunden.

> mmls /dev/sda1 ---- Bash /dev/sda1 keine Berechtigung

Wie man eine HDD mit dd if ..... löscht ist mir bekannt.Hab die HDD schon mehrfach gelöscht.Mit dd if.. ,DEBAN,Acronis,shred -fvn1 /dev/...

Auf der Platte finden sich immer 2 Part. Tabellen - found valid MBR and invalid GPT.

Mit gdisk und extra zap und wipe fs das bereinigt,nach dem Formatieren ist es wieder so wie vorher.

Hier Bilder Hexdump sda und sda1
[attach]1155[/attach][attach]1159[/attach]
Hier ein Bild vom Programm Disk.Wird als verstecktes Windows angezeigt.Das gehört so sicher nicht.
[attach]1157[/attach]
Hierzu eine Frage,Bild links oben Blockgerät 10gb ???

Hier ein Bild von Win7 auf der selben HDD installiert vor ca. 1 jahr mir Acronis Partitionsmanager als Partitionstabelle ausgegeben.Da sieht man das QNX4.
[attach]1158[/attach]

Bitte noch mehr Eingaben,bin für weiteres dankbar.

Soweit ich weiß,wird der Os-Selector von Acronis auf der HDD isntalliert und ist schreibgeschützt - passwortgeschützt.

Man kann ein Programm ja auch zweckentfremden.

Der Beitrag »Suche KNOPPIX 5.3 iso« von »liveislive« (10.07.2020, 13:55) wurde vom Autor selbst gelöscht (10.07.2020, 14:08).

22

10.07.2020, 17:10

Also das mit dem Quelltext verstehe ich nicht.Nutze Knoppix 7.7.Wie wird der Quelltext angezeigt?

Was meinst du?
Quelltext nennt man das, was durch Kompilieren zu einem Programm wird. Das ist also in irgendeiner Sprache geschrieben. Soetwas kam bisher nicht vor.

Wenn ich das hier eingebe > mmls -B /dev/sda1 kommt Bash -B Befehl nicht gefunden.

mmls muss dazu natürlich installiert sein. Ich habe nur ein Knoppix 8.6 live und da ist mmls enthalten. Ob das bei 7.7 der Fall ist, weiß ich nicht. Bei mir habe ich das immer nach installiert, wenn es nicht vorhanden war. Es ist Teil des sleuthkit, der also installiert werden muss.
Es gibt aber (fast) gar keinen Grund, nicht ein neueres Knoppix zu verwenden, denn, in einem 7.7 dürftest du aller Wahrscheinleichkeit nichts mehr nachinstallieren können. Zu alt.

Bitte noch mehr Eingaben,bin für weiteres dankbar.

Nun bin ich ein denkbar schlechter Lehrer und gar nicht kompetent und außerdem auch nicht Willens, hier einen Online-Kurs über Systeme und Tools zu starten, die ich selbst gar nicht nutze. Mir ist es schon genug, mich halbwegs in meinem System zurecht zu finden.

Mich hatten nur die merkwürdigen Partitionen interessiert, die von dir beschrieben wurden und ich bin nun sicher, dass daran gar nichts merkwürdig ist, sondern nur Befehle unsinnig angewendet wurden und deshalb unsinnige Interpretationen zurück meldeten.
Wenn der Acronis OS-Selector ein Boot-Mechanismus ist, der mehrere Betriebssysteme starten kann, dann hat er das Potenzial, alles falsch zu machen, was man sich nur so vorstellen kann. Solche Tools würde ich nur mit äußerster Vorsicht einsetzen. Sie sind niemals Sorglos-Glücklich-Pakete für alle Umstände und alle Zeiten. Sie sind sehr oft sehr beschränkt auf bestimmte Anwendungsfälle. Wenn du nur ein System installierst, solltest du nur dessen Bootmechanismus benutzen. Ob du im Legacy-Mode oder UEFI booten möchtest, ist deine Wahl und abhängig von deinen Vorlieben oder eben eine Wahl des Installers für das gewünschte OS.

Ich rate dir ganz entschieden, nicht manuell etwas zu ändern, sondern den Urteilen des jeweiligen Installers zu vertrauen. Du verfügst ganz offenbar nicht über die notwendigen Grundkenntnisse, erfolgreich Handarbeit zu leisten. Mir sind diese Kenntnisse nicht fremd und ich bin so oft gescheitert und habe soviel Mist gemacht, dass ich selbst keine Handarbeit anlegen möchte, wenn das nicht unbedingt notwendig ist.
Persönlich konnte ich nie gut mit mehreren Systemen auf einem PC leben (Multi-Boot), weshalb ich damit keine Erfahrung habe. Tatsache ist, das Microsoft nicht gut als zweites System leben kann. Eine moderne GNU/Linux-Distribution kann das gut und auch ein vorhandenes Windows einbeziehen. Dabei wird ein Bootloader installiert und es braucht keinen zusätzlichen OS-Selector. Aber Achtung: ALLE Systeme sollten entweder im Legacy oder im UEFI-Mode installiert werden und natürlich dann auch entsprechend booten.

Nochmal: die irgendwann gezeigten Partitionen nach einer Windows-Neuinstallation sind in Ordnung und da gibt es nichts ungewöhnliches oder verstecktes oder geheimes Wissen.
Dass am Ende ein Bereich frei bleibt, ist gut und in Ordnung!
Wenn zwischendurch "schwarze Löcher" auftauchen, ist das gut und in Ordnung und es wäre eher merkwürdig, wenn diese Löcher nicht vorhanden wären!
Dass man mit unsinniger Anwendung dummer Befehle Ausgaben erhalten kann, die lustigerweise merkwürdige Kombinationen enthalten, bedeutet gar nichts. Oder glaubt irgendjemand, weil in einer meiner gezeigten Ausgaben auf meinen USB-Stick eine QNX-2 Partition "zu sehen ist", wäre die tatsächlich vorhanden und mein Stick würde geheime Daten über seinen Standort ins Weltall senden? ich hoffe, dass dies verstanden ist. Man muss einfache und dumme Befehle richtig anwenden und korrekt interpretieren, wenn man sie anwenden will.
Komplexere Tools, die man nicht ausreichend kennt und versteht, verschlimmern diese Situation unter Umständen auch noch.
Nochnochmal: vergeude keine Zeit mit Suche nach Merkwürdigkeiten, die einfach nicht existieren. Das ist so ähnlich wie Wolkengesichter sehen, nur mit etwas mehr technischer Hilfe.

PS: ich will auch schon deshalb nichts weiter zu den gezeigten Bildern sagen, weil mir nicht klar ist, was denn wie entstanden ist und was wann zeigt. Es gibt viel zu viele Möglichkeiten und mal ist eines richtig und dann stimmen wieder ganz andere Dinge.
Wenn du ein Windows brauchst und dieses installieren willst, lösche vorher die Platte komplett und installiere neu. Lass dann alle Spielereien mit irgendwelchen Tools. Nimm ein aktuelles Knoppix oder bau die Platte in einen PC mit einem tauglichen OS ein und dann können wir die gerne betrachten und ansehen. Oder vertrau einfach darauf, dass es richtig und gut installiert wurde. Es werden zumindest keine geheimen Systeme auf irgendwelchen Partitionen liegen! Glaub mir.

23

10.07.2020, 18:23

------ Was meinst du?

Quelltext nennt man das, was durch Kompilieren zu einem Programm wird.
Das ist also in irgendeiner Sprache geschrieben. Soetwas kam bisher
nicht vor. ------

Ich meine den Quellcode von Deinen Ausgaben,hab ich falsch geschrieben.

Oder ist das gleich dem Terminal?

Ich besorge mir mal ein aktuelles Knoppix und versuche das mal mit mmls.

Vielen Dank für die ausführlichen Antworten.

24

11.07.2020, 10:13

Oder ist das gleich dem Terminal?


alle Ausgaben, die ich hier in "code" gepostet habe, sind direkt per copy and paste aus einem Terminal genommen.
Das sind alles einfache Befehle auf meiner shell in meinem System, das nicht GNU/Linux ist. Du hast aber ja einen dieser Befehle auch angewendet: hexdump. Wenn du solche Befehle anwendest, solltest du sie auch kennen. Zumindest solltest du das nachvollziehen können, was du damit machst. Dabei kann die man und info hilfreich sein. Viele Systeme installieren diese Dokumentation zu einem Befehl direkt mit. Dann kann mit einem einfachen man hexdump die man-page zu diesem Kommando gelesen werden und mit info hexdump, falls vorhanden, die zusätzliche Information.

Quellcode

1
2
3
4
5
6
pit@Celsius ~:- > man hexdump
HEXDUMP(1)              FreeBSD General Commands Manual             HEXDUMP(1)

NAME
     hexdump, hd – ASCII, decimal, hexadecimal, octal dump
...
Als Beispiel ein Auszug aus meinem System. Das zeigt HEXDUMP(1), also, dass dies ein Kommando der Sektion 1 ist und damit ein direktes System-Kommando. Wenn du das in Knoppix oder einem anderen GNU/Linux benutzt, wirst du da mit Sicherheit andere Informationen sehen. Deshalb ist es wichtig, wenn ich immer wieder darauf hinweise, dass mein System kein GNU/Linux ist. Es kann durchaus Abweichungen geben.
Und das mache ich lieber, als mein System zu verlassen und nur deshalb ein GNU/Linux zu starten und zu benutzen, um hier auch immer die richtigen Befehle für Linux-User zu treffen. Die Ähnlichkeit ist groß genug, dass man den Transfer leisten kann, allerdings sollte man den auch leisten und nicht einfach per copy and paste etwas übernehmen.

RalfonLinux

Erleuchteter

Beiträge: 2 959

Geschlecht: Männlich

25

14.07.2020, 10:30

@liveislive
Die von pit verwendete Darstellung heisst code-block
mit einem

Quellcode

1
2
Dies ist Code o.ä.
Über mehrere Zeilen
sieht es entsprechend schöner aus

Quellcode

1
2
[codex]Dies ist Code o.ä.
Über mehrere Zeilen[/codex]
Statt codex schreibst du aber nur code

Und nun noch mal, eine Partitiontabelle gibt es am Anfang der Platte und eine Kopie am Ende.
Innerhalb der Partitionstabelle sind die Partitionen verzeichnet.
Innerhalb einer Partition gibt es aber kein Einträge.

Kleines Beispiel:

Der Autotransporter ist von aussen erkennbar als LKW mit 4 Autos drauf.
Innerhalb des LKW siehst du aber nur dein Lenkrad und weisst das es kein Fahrrad sein kann, mehr aber auch nicht.
Du könntest ja auch hinten in einem Auto sitzen und auf ein Lenkrad gucken.

Jetzt aber zu behaupten durch das Lenkrad wäre es ganz sicher ein Auto ist FALSCH.

Der Autotransporter ist dein MBR das einzelne Auto deine Partition.
Innerhalb der Partition/Auto gibt es aber keinen Anhänger wo du Fahrzeuge drauf erkennen könntest.


Zitat

Wie
man eine HDD mit dd if ..... löscht ist mir bekannt.Hab die HDD schon
mehrfach gelöscht.Mit dd if.. ,DEBAN,Acronis,shred -fvn1 /dev/...

Auf der Platte finden sich immer 2 Part. Tabellen - found valid MBR and invalid GPT.
DAS halte ich für ein Gerücht.

Du hast nicht die Platte gelöscht sondern eine Partition.

Es ist ein himmelweiter Unterschied ob du

Quellcode

1
dd if=/dev/zero of=/dev/sda
oder

Quellcode

1
dd if=/dev/zero of=/dev/sda1
machst
Auf Wunsch gibt es nur noch Text und keine Bilder mehr in der Signatur.
Keine ? ....... :evil:

Quellcode

1
2
3
4
5
6
7
8
.
    ~
   - -          M
   /V\         - *
  // \\        /V\
 /( _ )\      // \\
  ^~ ~^      /( _ )\
              ^~ ~^

KnoppixOpa

Anfänger

Beiträge: 29

Geschlecht: Männlich

26

16.07.2020, 02:45

5.3.1 ISO in Deutsch

Hab die 5.3.1 ISO heute gefunden,leider nicht in Deutsch.
Hallo liveislive,

die 5.3.1 ISO in Deutsch, und andere ältere Knoppix-Versionen, sind hier zu finden:

http://mirror.cs.utah.edu/pub/knoppix/knoppix-dvd/

27

20.07.2020, 20:49


Zitat

Wie
man eine HDD mit dd if ..... löscht ist mir bekannt.Hab die HDD schon
mehrfach gelöscht.Mit dd if.. ,DEBAN,Acronis,shred -fvn1 /dev/...

Auf der Platte finden sich immer 2 Part. Tabellen - found valid MBR and invalid GPT.
DAS halte ich für ein Gerücht.

Du hast nicht die Platte gelöscht sondern eine Partition.

Es ist ein himmelweiter Unterschied ob du

Quellcode

1
dd if=/dev/zero of=/dev/sda
oder

Quellcode

1
dd if=/dev/zero of=/dev/sda1
machst


Das ist mir bekannt daß man nicht die Partition,sondern das Laufwerk löschen muß.

Mit Partedmagic kann man ganz einfach ein Secure Erase ausführen.

Dann sollte die HDD doch gelöscht sein?

Das Bios könnte auch manipuliert sein.Jedenfalls findet sich immer das Disk Secure Multiboot mit der Eingabe fdisk /dev/sda1 -l oder cfdisk /dev/sda1.
Und das gehört eindeutig zu Linux.

Das stimmt etwas nicht ..... entweder Stasi 2.0 oder Hack.

@ Knoppix Opa

Vielen Dank für den Link.hab mir mal 2 ISO geladen und muß nur noch brennen.
Mal gespannt,ab wann Gparted installiert ist.





28

20.07.2020, 23:53

Das Bios könnte auch manipuliert sein.Jedenfalls findet sich immer das Disk Secure Multiboot mit der Eingabe fdisk /dev/sda1 -l oder cfdisk /dev/sda1.
Und das gehört eindeutig zu Linux.

Das stimmt etwas nicht ..... entweder Stasi 2.0 oder Hack.


Bist du da irgendwie renitent?
Es stimmt da alles, du hast keinen MBR in sda1 und wenn du den mit fdisk auslesen willst, bekommst du irrsinnige Meldungen. Anstelle des MBR, den fdisk erwartet, stehen irgendwelche Daten, Dateien, die du gespeichert hast. fdisk interpretiert die und liefert Mist, vollkommen unkontrollierten Mist. Zumindest ist das in den bisherigen Beispielen so gewesen.

Du kannst die Platte löschen, so oft du möchtest. Der Fehler ist ja, dass du dann wieder irgendwas installierst und die Platte dabei partitionierst. Dann richtest du ein Dateisystem auf sda1 ein (formatierst) und schon können da diese Daten stehen, die nicht unsinnig sind, die aber von fdisk unsinnig interpretiert werden.
Würdest du nicht formatieren und die Partition unangetastet lassen oder die Partition gezielt mit Nullen überschreiben und dann, genau dann mittels fdisk auslesen, würdest du keinen Unsinn auslesen.
Irgendwelche sicheren Lösch-Tools überschreiben oft nicht mit Nullen, sondern mit Unsinn (das Überschreiben mit Nullen ist nicht so wirklich sicher). Das bedeutet, dass da dann irgendwas zu lesen ist und sobald du darauf wieder fdisk loslässt, interpretiert es diesen Schrott und denkt sich, dass der Anwender schon wissen wird, wie er den Befehl korrekt einsetzt.
Und er ist nicht korrekt eingesetzt, wenn er auf den Anfang einer Partition gerichtet wird und er ist nicht korrekt eingesetzt (wobei ich den Linux fdisk nicht kenne) wenn er auf ein GPT-Schema, erst recht mit mehr als vier Partitionen angewendet wird.

OK. Es ist mir beinahe zu viel des Guten, aber ich versuche es doch noch mal. Dabei musst du nun akzeptieren, dass ich virtuelle Laufwerke in meinem System anlegen kann (und auch, dass ich kein Linux benutze und fdisk deshalb anders und womöglich noch schlechter funktioniert).
Also, das Gerät, welches ich nun angelegt habe, hat den Namen /dev/md1 und ich habe ihm eine gewisse Geometrie mitgegeben (also Sektoren und Block-größe) und es mit 500M ziemlich schmal ausgelegt, was aber hier zunächst genügen soll.
Das Gerät ist neu und jungfräulich. Es ist gerade erschaffen worden und hat noch keine Daten gesehen und wurde noch nicht partitioniert und nicht formatiert. Dementsprechend sehen die ersten 512Bytes aus (ich zeige die hier vollständig, aber man wird nichts sehen):

Quellcode

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
pit@Celsius /home/pit:-# hexdump -Cv -n 512 /dev/md1
00000000  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000010  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000020  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000030  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000040  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000050  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000060  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000070  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000080  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000090  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
000000a0  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
000000b0  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
000000c0  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
000000d0  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
000000e0  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
000000f0  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000100  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000110  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000120  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000130  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000140  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000150  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000160  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000170  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000180  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000190  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
000001a0  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
000001b0  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
000001c0  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
000001d0  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
000001e0  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
000001f0  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000200

Ich zeige trotzdem nochmal einen fdisk, obwohl ich auch betonen möchte, dass der sogar hier Unsinn zeigt:

Quellcode

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
pit@Celsius /home/pit:-# fdisk /dev/md1
******* Working on device /dev/md1 *******
parameters extracted from in-core disklabel are:
cylinders=500 heads=64 sectors/track=32 (2048 blks/cyl)

parameters to be used for BIOS calculations are:
cylinders=500 heads=64 sectors/track=32 (2048 blks/cyl)

fdisk: invalid fdisk partition table found
Media sector size is 512
Warning: BIOS sector numbering starts with sector 1
Information from DOS bootblock is:
The data for partition 1 is:
sysid 165 (0xa5),(FreeBSD/NetBSD/386BSD)
    start 32, size 1023968 (499 Meg), flag 80 (active)
	beg: cyl 0/ head 1/ sector 1;
	end: cyl 499/ head 63/ sector 32
The data for partition 2 is:
<UNUSED>
The data for partition 3 is:
<UNUSED>
The data for partition 4 is:
<UNUSED>
Es gibt noch keine Partitionen! Die beiden nächsten Befehle zeigen dies auch etwas zuverlässiger:

Quellcode

1
2
3
4
pit@Celsius /home/pit:-# mmls -B /dev/md1
Cannot determine partition type
pit@Celsius /home/pit:-# gpart show md1
gpart: No such geom: md1.
Nun erstelle ich mal Partitionen und weise darauf hin, dass die Ausgaben echt lang werden und deshalb unübersichtlich, dass man sie aber wirklich verfolgen sollte, um zu verstehen:

Quellcode

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
pit@Celsius /home/pit:-# gpart create -s GPT md1
md1 created

pit@Celsius /home/pit:-# hexdump -Cv -n 512 /dev/md1
00000000  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000010  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000020  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000030  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000040  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000050  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000060  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000070  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000080  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000090  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
000000a0  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
000000b0  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
000000c0  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
000000d0  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
000000e0  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
000000f0  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000100  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000110  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000120  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000130  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000140  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000150  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000160  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000170  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000180  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
00000190  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
000001a0  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
000001b0  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
000001c0  02 00 ee ff ff ff 01 00  00 00 ff 9f 0f 00 00 00  |................|
000001d0  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
000001e0  00 00 00 00 00 00 00 00  00 00 00 00 00 00 00 00  |................|
000001f0  00 00 00 00 00 00 00 00  00 00 00 00 00 00 55 aa  |..............U.|
00000200

pit@Celsius /home/pit:-# fdisk /dev/md1
******* Working on device /dev/md1 *******
parameters extracted from in-core disklabel are:
cylinders=500 heads=64 sectors/track=32 (2048 blks/cyl)

parameters to be used for BIOS calculations are:
cylinders=500 heads=64 sectors/track=32 (2048 blks/cyl)

Media sector size is 512
Warning: BIOS sector numbering starts with sector 1
Information from DOS bootblock is:
The data for partition 1 is:
sysid 238 (0xee),(EFI GPT)
    start 1, size 1023999 (499 Meg), flag 0
	beg: cyl 0/ head 0/ sector 2;
	end: cyl 1023/ head 255/ sector 63
The data for partition 2 is:
<UNUSED>
The data for partition 3 is:
<UNUSED>
The data for partition 4 is:
<UNUSED>

pit@Celsius /home/pit:-# mmls -B /dev/md1
GUID Partition Table (EFI)
Offset Sector: 0
Units are in 512-byte sectors

      Slot      Start        End          Length       Size    Description
000:  Meta      0000000000   0000000000   0000000001   0512B   Safety Table
001:  -------   0000000000   0001023999   0001024000   0500M   Unallocated
002:  Meta      0000000001   0000000001   0000000001   0512B   GPT Header
003:  Meta      0000000002   0000000033   0000000032   0016K   Partition Table
pit@Celsius /home/pit:-# gpart show /dev/md1
=>     40  1023920  md1  GPT  (500M)
       40  1023920       - free -  (500M)

Was ist passiert?
Ich habe noch gar keine Partitionen angelegt! Aber ich habe dem Gerät schon ein GPT-Schema aufgedrückt und das hat bereits für einige Veränderungen gesorgt, die man auch leicht nachvollziehen kann, wenn man die Ausgaben vergleicht. Nun aber wirklich einige Partitionen:

Quellcode

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
pit@Celsius /home/pit:-# mmls -B /dev/md1
GUID Partition Table (EFI)
Offset Sector: 0
Units are in 512-byte sectors

      Slot      Start        End          Length       Size    Description
000:  Meta      0000000000   0000000000   0000000001   0512B   Safety Table
001:  -------   0000000000   0000000039   0000000040   0020K   Unallocated
002:  Meta      0000000001   0000000001   0000000001   0512B   GPT Header
003:  Meta      0000000002   0000000033   0000000032   0016K   Partition Table
004:  000       0000000040   0000102439   0000102400   0050M   
005:  001       0000102440   0000225319   0000122880   0060M   
006:  002       0000225320   0000368679   0000143360   0070M   
007:  003       0000368680   0000409639   0000040960   0020M   
008:  004       0000409640   0000573479   0000163840   0080M   
009:  005       0000573480   0000675879   0000102400   0050M   
010:  006       0000675880   0000860199   0000184320   0090M   
011:  007       0000860200   0000880679   0000020480   0010M   
012:  -------   0000880680   0001023999   0000143320   0069M   Unallocated
pit@Celsius /home/pit:-# gpart show md1
=>     40  1023920  md1  GPT  (500M)
       40   102400    1  freebsd-ufs  (50M)
   102440   122880    2  freebsd-ufs  (60M)
   225320   143360    3  freebsd-zfs  (70M)
   368680    40960    4  freebsd-swap  (20M)
   409640   163840    5  freebsd-ufs  (80M)
   573480   102400    6  linux-data  (50M)
   675880   184320    7  dragonfly-hammer2  (90M)
   860200    20480    8  dragonfly-hammer  (10M)
   880680   143280       - free -  (70M)
Ich fürchte, dass dies nun wirklich vergebene Liebesmüh ist, weil es einfach nicht nachvollzogen wird. Die Ausgaben sind zu lang und zu unübersichtlich, aber ich bemühe mich trotzdem weiter. Mein virtuelles Gerät hat nun also im GPT-Schema partitioniert acht primäre Partitionen erhalten. Diese tragen einen Label, einen Typ, der aber nur ein Name ist und der von mmls nicht aufgelöst wird, in der Ausgabe von gpart aber zu lesen ist (gpart ist ein FreeBSD-Tool, das es nicht für Linux gibt).

Ich möchte ausdrücklich darauf hinweisen, dass ich am Ende ca 70M unbenutzt gelassen habe und dass ich erst bei Sektor 40 starte. Die GPT-Partitionstabelle geht bis Sektor 33 und weil er bei 2 startet, sind das 32 Sektoren mit jeweils 512Bytes und insgesamt 16K! Das ist ein großer Unterschied zum MBR-Schema, für das fdisk ausgelegt wurde. Diese Partitionierung hat gar nichts magisches an sich, sie folgte meinen Befehlen, die ich hier nicht gezeigt habe. Es gibt ein "schwarzes Loch" direkt am Anfang und eines am Ende und das ist gut und gewollt!

Ich will das nun nicht ausgiebig zeigen, aber der Bereich des MBR, der in GPT ja durch einen PMBR repräsentiert wird, ist von mir ja ganz bewusst unverändert geblieben. Normalerweise würde man dort etwas hineinschreiben, einen Bootcode zum Beispiel. Bei mir stehen da immer noch lauter Nullen bis zum 55 aa im letzten Byte. Eine Ausgabe von fdisk zeigt genau das:

Quellcode

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
pit@Celsius /home/pit:-# fdisk /dev/md1
******* Working on device /dev/md1 *******
parameters extracted from in-core disklabel are:
cylinders=500 heads=64 sectors/track=32 (2048 blks/cyl)

parameters to be used for BIOS calculations are:
cylinders=500 heads=64 sectors/track=32 (2048 blks/cyl)

Media sector size is 512
Warning: BIOS sector numbering starts with sector 1
Information from DOS bootblock is:
The data for partition 1 is:
sysid 238 (0xee),(EFI GPT)
    start 1, size 1023999 (499 Meg), flag 0
	beg: cyl 0/ head 0/ sector 2;
	end: cyl 1023/ head 255/ sector 63
The data for partition 2 is:
<UNUSED>
The data for partition 3 is:
<UNUSED>
The data for partition 4 is:
<UNUSED>
Obwohl hier acht primäre Partitionen angelegt sind (die aber mittels GPT erst danach, also ab Sektor 2 angelegt sind), kann fdisk nichts erkennen. Es schaut treu und doof auf die 512Byte am Anfang und denkt sich, dass dort alles drin steht, was es wissen muss und das interpretiert es und gibt es wieder.

OK. Schauen wir doch mal kurz auf irgendeine Partition, ich denke, ich nehme die sieben (achso, beim Anlegen der Partitionen wurde auch deren Name gezeigt, den ich nun nutze):

Quellcode

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
pit@Celsius /home/pit:-# fdisk /dev/md1p7
******* Working on device /dev/md1p7 *******
parameters extracted from in-core disklabel are:
cylinders=90 heads=64 sectors/track=32 (2048 blks/cyl)

parameters to be used for BIOS calculations are:
cylinders=90 heads=64 sectors/track=32 (2048 blks/cyl)

fdisk: invalid fdisk partition table found
Media sector size is 512
Warning: BIOS sector numbering starts with sector 1
Information from DOS bootblock is:
The data for partition 1 is:
sysid 165 (0xa5),(FreeBSD/NetBSD/386BSD)
    start 32, size 184288 (89 Meg), flag 80 (active)
	beg: cyl 0/ head 1/ sector 1;
	end: cyl 89/ head 63/ sector 32
The data for partition 2 is:
<UNUSED>
The data for partition 3 is:
<UNUSED>
The data for partition 4 is:
<UNUSED>
Man mag es mir bitte glauben: da steht überhaupt rein gar nichts. Die ersten 512Byte der Partition Nummer sieben bestehen aus lauter Nullen.! Ich zeige das nur der Übersicht halber nun nicht.
Man merke sich: fdisk ist doof und wahrscheinlich (wie gesagt, bei Linux mag es anders sein) heutzutage ziemlich unbrauchbar.

Damit will ich hier auch enden. Vielleicht etwas unbefriedigend, weil ich diesmal den Fall nicht nachgestellt habe und auch nicht nachstellen konnte, wo Daten, irgendwelche Daten, die ich willkürlich an den Anfang einer Partition platzierte, ein ähnlich abstruses Ergebnis bei der Ausgabe von fdsik lieferten. Sie lieferten immer ein Ergebnis, das überhaupt nicht stimmte, aber sie lieferten nicht solche Sachen, wie QNX-Partitionen.

Wenn wir also eine angebliche Merkwürdigkeit, einen "Das stimmt etwas nicht ..... entweder Stasi 2.0 oder Hack." Kommentar erhalten und uns darüber auf Grund der Partitionierung eines Systems unterhalten wollen, dann bitte mit verlässlicheren Daten! Und am Besten auch in einem neuen Beitrag. Was wird wann gemacht und zeigt dann welche Ergebnisse?
Laufwerk ist "genullt"? -> zeigen
Laufwerk ist partitioniert, aber nicht formatiert -> zeigen
Laufwerk wird formatiert -> zeigen
Laufwerk wird mit SW bespielt -> zeigen
Und vor all dem deutlich machen, ob mittels GPT oder MBR partitioniert wird!

Und vielleicht nochmal den Hinweis: es ist deutlich besser, sich auszukennen, als irgendwelche Tools blind zu nutzen, von denen man überhaupt nicht weiß, was die denn machen.

KnoppixOpa

Anfänger

Beiträge: 29

Geschlecht: Männlich

29

21.07.2020, 06:28


Gparted zeigt mir allenfalls eine kleine graue Unallocatet Partition ca.2MB am ende der NTFS Partition an.
Bei einem sauberen Windows gibt es keine unallocatet am Ende der Partition.
Das sind alles alte XP - Vista Laptops,die ich größenteils für kleines Geld bei Ebay geschossen habe.
Mir ist dabei nur die unallocatet bei all diesen Rechnern aufgefallen und da stimmt was nicht.
Entweder ein allgemeines Update zum Schnüffeln oder Hack.

Hallo liveislive,
wahrscheinlich ist da gar nichts Mysteriöses dran.

Die kleinen "unallocated"-Bereiche haben wahrscheinlich folgende Ursache:
In früheren Zeiten wurden Festplatten-Partitionen an Zylindern (Spuren) ausgerichtet,
zum Beispiel "von Zylinder 1 bis Zylinder 30".
Heute werden die Partitionen meist an Megabyte-Blöcken ausgerichtet.
Es ist aber selten, dass ein Zylinder eine ganze Anzahl Megabytes enthält,
daher diese "verschenkten Bereiche".
Wenn man mit GParted Partitionen einrichtet, kann man auswählen,
ob man sich an Megabytes oder an Zylindern orientieren will.

Zitat

cfdisk /dev/sda ist sauber,cfdisk /dev/sda1 zeigt dann aber 4 Unterpartitionen an.
QNX4 3.Teil,Speedstor,Discsecure Multiboot,unbekannt.
Was haben diese Partitionen bei Windows zu suchen?

Generell:
Die (von Windows meist genutzte) DOS-Partitionstabelle
erlaubt zwei Arten von Partitionen - primäre und erweiterte.
Es sind maximal 4 primäre Partitionen möglich.
Will man mehr als 4 Partitionen haben, richtet man eine erweiterte Partition ein,
und in dieser kann man dann mehr als 4 logische Partitionen einrichten.
Die logischen Partitionen werden dann gewöhnlich mit Nummern 5 usw. angezeigt.

Windows-Systeme:
"Preisgünstige" PCs werden oft ohne Betriebssystem-CDs/DVDs ausgeliefert.
Diese haben dann eine versteckte Partition, auf der die Installationsmedien liegen,
die man sich dann selbst auf CD-R / DVD--R brennen muss.
Oft ist das dann noch verschlüsselt.

Darüber hinaus gibt es oft noch extra Partitionen,
die Programme enthalten, mit denen man bei einer "verpfuschten" Windows-Partition
den originalen Auslieferungszustand wiederherstellen kann.
Kann sein, dass da irgendwelche exotischen Formatierungen verwendet werden.

Wenn ich solche Festplatten habe und den Inhalt nicht mehr brauche,
dann lege ich mit GParted eine neue DOS-Partitiontabelle an, und Ruhe ist.

30

23.07.2020, 20:41

Vielen Dank für die sehr ausführlichen Antworten.

Ich komme da trotzdem auf einen anderen Nenner.

Mit cfdisk /dev/sda1 weden mir die 4 sda1p1 - sda1p4 angezeigt und noch 2 grün hinterlegte free Space Partitionen.

Die p1 - p4 kann ich löschen und dabei wird auch aktiv auf die Platte geschrieben.Aus den 2 free Space wird dann eine free Space,darauf hat man keinen Zugriff.

Das selbe kann ich mit dem Acronis Programm ausführen,dort sind es aber nur die 4 Partitoonen.Wenn ich dort alles auf 00h setze und gehe auf ausführen,wird auch aktiv auf die Platte geschrieben.

Nach einem Neustart - CD Boot sind diese Partitionen auch nicht mehr vorhanden,also kann es eigentlich keine Fehlermeldung sein.

Unter Windows sind mir 3 Eigenarten aufgefallen.

1. Die Platte ist etwa zu 50% belegt und ich lösche den freien Speicherplatz mit C-Cleaner (nullen),dann kommt nach einer gewissen Zeit die Meldung: Das Startvolume ist fast voll,Sie müssen Speicherplatz freigeben.

2. Ich möchte eine DVD brennen,dann kommt eine Meldung: Es sind Daten zum Schreiben aud DVD vorhanden,möchten Sie hinzufügen?
Ich wähle nein und brenne die DVD.Danach ist auf der DVD ein versteckter Ordner zu finden der mitgebrannt wurde.Es ist der Ordner Desktop Konfigurationseinstellungen,der unter Windows verstekt ist.

3. Ich nehme einen frich gelöschen und mit fat32 formatierten USB-Stick,stöpsle diesen an den Rechner und doppelklicke das Laufwerk.
Es öffnet sich ein leeres Fenster,da ja auch nichts auf dem Stick vorhanden ist.
Nach einem Rechtsklick auf das Fenster und auf Eigenschaften,erscheint für 1sec. eine Datei "Temp".
Diese Datei ist dann nicht unter Windows als auch Linux zu finden,wenn man versteckte anzeigen auswählt.
Mit Winhex auf Windows installiert findet sich eine 16MB große emd13AF.tmp datei auf dem Stick.

Ich arbeite nicht mit diesen Rechnern,möchte nur wissen .......

Linux HardwareLinux Computer & PCs | Linux Notebooks & Laptops | Geek Shirts | Geek und Nerd Shirt Shop