photocase493897359138.jpg

© photocase.com

Putzfimmel

Daten sicher löschen

01.01.2006
Datensicherung ist in aller Munde, über richtiges Löschen dagegen verliert kaum jemand ein Wort. Für kommerzielle Betriebssysteme kosten Daten-Shredder richtig Geld – Linux erledigt die Aufgabe mit Bordmitteln.

Die alte Festplatte läuft chronisch voll, der Kauf einer größeren Platte steht an. Um das resultierende Loch in der Haushaltskasse zu minimieren, bietet sich ein Verkauf der alten Harddisk in einem der vielen Online-Auktionshäuser an.

Im Lauf der Zeit verewigte sich die komplette Familie elektronisch auf dem Datenträger – und natürlich sollen vor dem Verkauf alle persönlichen Dokumente, Briefe, Kündigungen, Bewerbungen, Fotoalben und diverse Zugangsdaten von der Platte verschwinden. Das fällt unter Windows vergleichsweise schwer, unter Linux dagegen reicht zur Not ein Einzeiler in einem Terminal.

Vielleicht wissen Sie, wie Sie eine Datei oder ein Verzeichnis löschen. Zumindest die grafischen Oberflächen verhalten sich da alle ähnlich: Sie markieren die Datei oder das Verzeichnis mit einem Mausklick und mit einem beherzten Druck auf die [Entf]-Taste verschwinden die Daten – jedenfalls auf den ersten Blick. Auch falls die Applikation sie nicht ohnehin erst in den Papierkorb [1] verschoben hat, liegen die Daten weiterhin auf der Festplatte – in mehr oder weniger kleinen Stücken. Erst wenn die Platte sich wieder füllt und Sie die "gelöschten" Bereiche mit neuen Daten überschreibt, verabschieden sich die alten Daten allmählich.

Greifen Sie auf der Kommandozeile zu rm, verspricht auch das nicht viel mehr Erfolg: Das Kommando entfernt nur die Einträge in den entsprechenden Journalen der Dateisysteme. Ohne diese findet das Dateisystem zwar den Weg zu den Daten nicht mehr; diese verschwinden aber auch hier noch längst nicht.

Löschen im Detail

Mit dem folgenden Aufruf löschen Sie das Verzeichnis meine_daten/ nebst aller Unterverzeichnisse und enthaltenen Dateien ohne Rückfrage.

rm -rf meine_daten/

Richtiger müsste es eigentlich heißen: Sie entfernen das Namensschild von den Dateien und Verzeichnissen. Das Kommando löscht nämlich nur den entsprechenden Eintrag aus einer Zuordnungstabelle. Jede Partition enthält eine Übersicht, wo auf der Festplatte eine Datei oder ein Verzeichnis liegt. Das gilt für alle modernen Dateisysteme, sie unterscheiden sich lediglich in Art der Ablage und den Techniken zum Auslesen der Daten.

Gerade bei letzterem weichen die einzelnen Ansätze aber deutlich von einander ab. Wesentliche bleibt aber, dass beim "Löschen" einer Datei oder eines Verzeichnisses das System einfach den Hinweis aus der Übersicht löscht und somit den Speicher wieder freigibt. An der verzeichneten Stelle auf der Festplatte die Daten selbst tatsächlich zu entfernen oder zu überschreiben, bereitet im laufenden Betrieb zuviel Mehraufwand.

Sie haben also optimale Chancen, eine voreilig gelöschte Datei vollständig wiederherzustellen, wenn Sie alle Schreibvorgänge auf die entsprechende Partition vermeiden und sich sofort auf die Suche nach dem verlorenen File machen. Im Internet finden Sie unter [2] eine Übersicht über die notwendigen Schritte, um gelöschte Daten auf einer Ext2-Partition mit einfachen Mitteln wiederherstellen. Eine detailierte Erläuterung liefert ein entsprechendes Howto [3], das ebenfalls online steht.

Um die Daten auf einer Festplatte endgültig loszuwerden, nutzen aber auch das Neuformatieren oder Partitionieren nicht viel. Beim Formatieren schreiben aktuelle Betriebssysteme einfach die Zuordnungstabelle des Dateisystems neu, beim Partionieren nur die entsprechenden Einträge in der Partitionstabelle der Festplatte. Die Daten auf der Festplatte fristen zwar nun namenlos ihr Dasein im Verborgenen, sind aber nach wie vor vorhanden.

Spurensuche

Um gelöschte Daten auf einer Festplatte wiederzuherstellen, brauchen Sie nur wenige Grundlagen. Der Kasten "Partitionen" erläutert das Prinzip, nach dem die Festplatte und das Betriebssystem die Dateien und Verzeichnisse verwalten.

Suchen Sie nur bestimmte Phrasen oder Zeichenfolgen, wie beispielsweise Zugangsdaten oder persönliche Daten, helfen Ihnen schon die Befehle dd, hexdump und fgrep weiter. Dazu benötigen Sie meist privilegierten Zugriff als root auf die Partition.

Zum Üben empfiehlt sich ein USB-Speicherstick als externe "Festplatte", den Sie mit verschiedenen Dateisystemen formatieren und mit Testdaten beschreiben. Angenommen, das zu analysierende Gerät befindet sich im System unter /dev/sda, dann heißt die erste Partition /dev/sda1.

Mit dem Hexeditor hexdump stöbern Sie durch die Sektoren der Partition und machen sich so ein Bild von den vorhandenen Daten. Der folgende Aufruf erzeugt einen Auszug des betreffenden Laufwerks, wobei er druckbare Zeichen als ASCII-Code ausgibt (Abbildung 1). Den Inhalt von bereits gelöschten Textdateien erkennen Sie – bis auf Umlaute – sofort.

hexdump -v -e '"%07.7_ad: " 60/1 "%_p" "\n"' /dev/sda1 | less
Abbildung 1: Ausgabe von Hexdump beim Blättern durch die Sektoren des USB-Sticks.

Falls Sie ein Schwierigkeiten mit dieser Darstellungsweise haben, starten Sie einfach den Midnight Commander in einer Konsole und experimentieren Sie etwas mit der Darstellung von Dateien. Dieser Datei-Manager beherrscht ebenfalls die Anzeige von Dateien in hexadezimaler Form (Abbildung 2).

Abbildung 2: Dateimanager, wie der Midnight Commander, zeigen die Zuordnung von Bytes und hexadezimalen Werten.

Dateien liegen aber nicht zwingend in aufeinanderfolgenden Sektoren der Festplatte, sondern verteilen sich häufig über weit verstreute Bereiche. Dieser Fall der verteilten Ablage heißt Fragmentierung. Es kommt also darauf an, wie das jeweilige Dateisystem den Ort der Ablage wählt, um größtmögliche Schreib- und Lesegeschwindigkeiten zu erreichen. Da eine Datei aber immer mindestens einen Cluster belegt, liegen bei kleinen Textdateien – unter 4096 Byte – die Chancen gut, das File vollständig zu erwischen.

Dieses Vorgehen eignet sich natürlich nicht zur systematischen Suche nach bestimmten Daten. Wenn Sie eine bestimmte Zeichenfolge kennen, die in der gesuchten Dateien vorkommt (zum Beispiel fangen LaTeX-Dateien stets mit /document an), hilft ein kleines Skript beim Eingrenzen der Suche. Dem Skript in Listing 1 übergeben Sie das Laufwerk, den Suchbegriff und die Anzahl der zu untersuchenden Sektoren. Bei einem Treffer nehmen Sie die Umgebung der Fundstelle anhand des ausgegebenen Sektors genauer in Augenschein.

Listing 1

#!/bin/bash
# zeigeSektor.sh
for ((i=0;i<=$MAX;i=$i+1));
do
   val=`dd if=$1 skip=$i bs=512 count=1 2>/dev/null | hexdump -v -e '"%_p"' | fgrep $2`
   if [ "$val" ];
      then
         echo -e "Sektor $i:\n$val"
   fi
done

Ein Aufruf des Skriptes aus Listing 1 erzeugt bei einer Suche nach dem Begriff Sesam auf dem Gerät /dev/sda1 eine Ausgabe wie in Listing 2.

Listing 2

john@jack:~$ sudo ./zeigeSektor.sh /dev/sda1 Sesam Sektor 101:
Das ist ein Geheimnis. Das Passwort f..r die Hoehle ist "Sesam oeffne Dich!".
Aber keinem verraten!………………………………………………..
…………………………………………………………………..
…………………………………………………………………..
…………………………………………………………………..
…………………………………………………………………..
………………………………………….

Zur Analyse der Umgebung nehmen Sie das Kommando dd mit den Parametern skip und count zu Hand. Mit skip überspringen Sie die angegebene Anzahl von Blöcken. Die Option count beendet das Programm nach der gegebenen Anzahl an Blöcken. Den Wert für den Parameter skip entnehmen Sie der Ausgabe des obigen Skriptes.

Der Parameter count gibt die Länge des analysierten Bereichs an. Beide Werte variieren mitunter etwas, um die Umgebung zu untersuchen. Mit einer geschickten Kombination der Parameter kopieren Sie die interessanten Bereiche heraus. Falls Sie zum Beispiel im Sektor 32 eine interessante Zeichenkette finden, untersuchen Sie mit folgendem Aufruf die umgebenden 5 Sektoren:

dd if=/dev/sda1 skip=30 count=5 bs=512 2>/dev/null | hexdump -v -e '"%_p"' | less

Dieses Beispiel demonstriert lediglich die Vorgehensweise. Zur Analyse oder dem Wiederherstellen größerer Dateien aus den Rohdaten einer Festplatte verwenden Sie vorzugsweise Disk-Editoren. Mit Hilfe eines solchen Programms navigieren Sie leicht durch die Datenflut und kopieren Auszüge heraus.

Professionelle Datenretter stellen selbst aus überschriebenen Bereichen mit Hilfe einer Oberflächenanalyse Daten wieder. Dabei nutzen sie die Tatsache aus, dass der Lesekopf nicht hundertprozentig genau die alte Spur trifft und am Rand oft Reste der Daten übrig bleiben.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

Kommentare

Infos zur Publikation

LU 01/2015: E-Books im Griff

Digitale Ausgabe: Preis € 4,95
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Tipp der Woche

Ubuntu 14.10 und VirtualBox
Ubuntu 14.10 und VirtualBox
Tim Schürmann, 08.11.2014 18:45, 0 Kommentare

Wer Ubuntu 14.10 in einer virtuellen Maschine unter VirtualBox startet, der landet unter Umständen in einem Fenster mit Grafikmüll. Zu einem korrekt ...

Aktuelle Fragen

PCLinuxOS Version 2014.08 "FullMonty" Umstellung auf deutsch
Karl-Heinz Welz, 19.12.2014 09:55, 3 Antworten
Hallo, liebe Community, ich bin 63 Jahre alt und möchte jetzt nach Jahrzehnten Windows zu Linux...
ICEauthority
Thomas Mann, 17.12.2014 14:49, 2 Antworten
Fehlermeldung beim Start von Linux Mint: Could not update ICEauthority file / home/user/.ICEauth...
Linux einrichten
Sigrid Bölke, 10.12.2014 10:46, 5 Antworten
Hallo, liebe Community, bin hier ganz neu,also entschuldigt,wenn ich hier falsch bin. Mein Prob...
Externe USB-Festplatte mit Ext4 formatiert, USB-Stick wird nicht mehr eingebunden
Wimpy *, 02.12.2014 16:31, 0 Antworten
Hallo, ich habe die externe USB-FP, die nur für Daten-Backup benutzt wird, mit dem YaST-Partition...
Steuern mit Linux
Siegfried Markner, 01.12.2014 11:56, 2 Antworten
Welches Linux eignet sich am besten für Steuerungen.