Aufmacher

Datenspuren im Visier

Daten retten und richtig löschen mit PhotoRec und Shred

01.04.2008
Schnell mal gelöscht heißt beileibe nicht unauffindbar: Wir zeigen, was moderne Tools auf der Festplatte aufstöbern und wie Sie Vertrauliches wirklich sicher vom Datenträger putzen.

In der Textkonsole geht alles schneller – auch beim Löschen von Dateien: Kein Geklicke auf dem Desktop, kein umständliches Verschieben von Dateien in den KDE- oder Gnome-Mülleimer, sondern ein knappes rm *, und schon ist das Verzeichnis leer:

$ rm *
zsh: sure you want to delete all the files in /home/kneib/Archiv [y/n]?y

Nach dem Bestätigen des Löschvorganges, sofern die Shell diesen überhaupt abfragt, durchfährt es manchen Anwender siedend heiß, dass das Kommando zu schnell und voreilig war: Eine dringend benötigte Datei verschwand beim Kehraus im Verzeichnis versehentlich im Daten-Nirwana. Was hilft hier aber weiter, außer sich über den Verlust die Haare zu raufen? Erst einmal tief durchatmen, denn das Remove-Programm hat die Datei längst nicht von der Platte getilgt.

Doch nicht gelöscht!

Ins Unreine gesprochen: rm löscht eine Datei nicht physikalisch von der Festplatte, sondern gibt nur den Raum zum Überschreiben frei, den die Daten bisher eingenommen haben. Stellen Sie sich Ihr Linux-System wie ein Buch vor – ein rm /kapitel_5/seite_34 reißt nicht die vierundreißigste Seite heraus und vernichtet sie, sondern markiert lediglich den passenden Eintrag im Inhaltsverzeichnis als freie Seite. Jeder darf sie nun nach Lust und Laune mit neuen Gedanken füllen und den alten Text überschreiben.

Solange das aber noch niemand getan hat, fällt es im Falle des Buches leicht, den alten Inhalt zu finden, selbst wenn er im Inhaltsverzeichnis fehlt: Man folgt dazu einfach der Paginierung. Im digitalen Zeitalter erledigen Tools wie PhotoRec diese Arbeit auf der Festplatte.

Suchen und Finden

Das Datenrettungstool PhotoRec finden Sie auf der Projektseite [1] für eine ganze Reihe von Betriebssystemen, darunter auch Linux. Laut Angaben des Entwicklers Christophe Grenier beherrscht PhotoRec über 80 Dateiformate und funktioniert einwandfrei mit den Filesystemen FAT, NTFS, Ext2, Ext3 und HFS+. Lediglich mit ReiserFS kommt es zu Problemen. Das Einsatzgebiet des Tools beschränkt sich zudem nicht auf Festplatten, sondern bezieht unter anderem USB-Laufwerke und Speicher-Sticks, CD-ROMs und Digitalkameras mit ein.

Aktuelle Distributionen wie Debian oder Ubuntu halten PhotoRec als Teil des Pakets Testdisk in ihrem Repository parat. So genügt bei Ubuntu der Befehl sudo apt-get install testdisk in der Kommandozeile, und PhotoRec steht zum Rettungseinsatz bereit. Alternativ schauen Sie auf der Heft-CD nach: Dort finden Sie die Sourcen von Testdisk, die sich zum Installieren auf allen Systemen eignen.

Sudo – beziehungsweise Root-Rechte – brauchen Sie auch, um das Programm zu starten: Rufen Sie es als Anwender auf, dann stellt es mit dem Hinweis No harddisk found. You need to be root to use PhotoRec den Betrieb ein. Der Programmname in der Shell lautet übrigens nicht wie der Projektname PhotoRec, sondern klein geschrieben photorec.

Sobald Sie sie mit administrativen Rechten starten, zeigt sich die Ncurses-Software PhotoRec in sehr übersichtlichem und aufgeräumtem Design (Abbildung 1). Als Nachteil fällt die englischsprachige Oberfläche auf, dieses Manko macht das Tool jedoch durch ein sehr gutes Bedienkonzept wieder wett. Zum Navigieren durch die Anzeige nutzen Sie die Pfeiltasten, und Eingaben bestätigen Sie mit [Eingabe]. Nach dem Start gilt es zunächst das zu durchsuchende Medium auszuwählen. Das Programm zeigt die Speichermedien mit Geräte-Namen wie Disk /dev/hda für beispielsweise Festplatten oder Disk /dev/sdf für Speicher-Sticks samt deren Größe an.

Abbildung 1: Die Ncurses-Software PhotoRec zeigt sich gleich von Beginn an gut strukturiert und leicht zu bedienen.

Das Bestätigen über Proceed mit [Eingabe] führt Sie in die nächste Stufe: Dort wählen Sie den Partitionstyp aus. In der Regel erweist sich die erste Vorgabe Intel/PC für die meisten User als die richtige. Die Software unterstützt aber auch Partitionstabellen von Macs, Sun-Maschinen oder XBoxen. Nach der Definition des Partitionstyps geben Sie im darauf folgenden Fenster die zu durchsuchende Partition an – entweder die gesamte Disk, den Swap-Bereich oder eine Partition, die zum Beispiel ein Windows-System oder die Home-Verzeichnisse beherbergt.

Im unteren Bereich des Fensters, unter den aufgelisteten Partitionen, zeigt PhotoRec die Schalter Search, Options, File Opt und Quit. Letzteres schickt Sie in das erste Fenster zu den durchsuchenden Speichermedien zurück. Search startet, mit [Eingabe] in Gang gesetzt, sofort das Wiederherstellen der Daten. Hinter dem Punkt Options verbergen sich weiterführende Parameter, die den Umgang des Programms mit der Plattengeometrie, der Blockgröße, dem Speicherverbrauch oder beschädigten Daten regeln. Zu jeder Option liefert Ihnen das Tool eine Kurzinfo.

Das für Sie vielleicht interessanteste Menü verbirgt sich hinter dem Knopf File Opt. Hier lagert eine Liste aller möglichen Dateiformate, nach denen PhotoRec bei der Suche Ausschau hält (Abbildung 2). Sie wählen die Formate nach Bedarf über die Leer- und Pfeiltasten an oder ab. Über [Eingabe] betätigen Sie die Auswahl.

Abbildung 2: Laut Entwickler unterstützt PhotoRec über 80 Dateiformate.

Sobald Sie mittels Search die Suche aktivieren, öffnet das Wiederherstellungstool einen kleinen Dateibrowser mit der Bitte, ein Verzeichnis zu nennen, in das es die gefundenen Daten speichert. Mit Y bestätigen Sie die Auswahl des Zielverzeichnisses, und PhotoRec beginnt mit der Arbeit. Diese können Sie übrigens jederzeit abbrechen: Anhand des Logfiles photorec.ses im Home-Verzeichnis setzt die Software mit der Frage Continue previous session? (Y/N) die Suche später fort, falls Sie das möchten.

Die Arbeitsdauer der Datensuche hängt von der Größe der Partition beziehungsweise Festplatte ab. Bei einer kompletten 160-GByte-Platte erledigen Sie problemlos einen größeren Einkauf im nächsten Supermarkt, bevor PhotoRec mit dem Hinweis Recovery completed die Arbeit beendet hat (Abbildung 3). Und dann beginnt die wirkliche Arbeit – und zwar für Sie.

Abbildung 3: Nach 54 Minuten hat PhotoRec bereits 10429 Dateien gefunden.

PhotoRec hinterlegt nämlich jedes Fundstück in verschiedenen Unterverzeichnissen des zuvor festgelegten Zielverzeichnisses. Die Unterverzeichnisse tragen die numerisch fortlaufenden Namen /recup_dir.1, /recup_dir.2 und so weiter; nur der User root darf sie einsehen. Jedes der Verzeichnisse enthält oft 200 oder mehr Dateien mit Namen wie f434809.gif, f406169.html oder f262465.txt: Die ursprünglichen Dateinamen, wie etwa ~/.fetchmailrc oder ~/familienfoto.png sind im Zug des Löschvorgangs verloren gegangen.

Jetzt zählen echte Handarbeit und ein gerüttelt Maß an Geduld, denn in den vielleicht Tausenden wiederhergestellten Dateien finden sich beispielsweise auch Inhalte aus dem Cache des Webbrowsers – also Webseiten, die Sie irgendwann besucht haben. Als hilfreich erweisen sich beim Sortieren einige Shell-Kommandos, um Listen der verschiedenen Dateitypen anlegen. Der folgende Befehl schreibt die Namen aller Dateien mit dem Suffix GIF aus den Ziel- und Unterverzeichnissen in die Textdatei gif-liste.txt – ein erster Schritt, wenn Sie nach einer Grafik in diesem Format suchen:

# find . -name '*.gif' > gif-liste.txt

Auf der Website des PhotoRec-Projektes finden Sie noch weitere, detaillierte Tipps, damit Sie gezielt durch den Datenwust steuern [2] und tatsächlich das finden, was Sie ursprünglich verloren haben.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

Kommentare

Infos zur Publikation

LU 01/2015: E-Books im Griff

Digitale Ausgabe: Preis € 4,95
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Tipp der Woche

Ubuntu 14.10 und VirtualBox
Ubuntu 14.10 und VirtualBox
Tim Schürmann, 08.11.2014 18:45, 0 Kommentare

Wer Ubuntu 14.10 in einer virtuellen Maschine unter VirtualBox startet, der landet unter Umständen in einem Fenster mit Grafikmüll. Zu einem korrekt ...

Aktuelle Fragen

PCLinuxOS Version 2014.08 "FullMonty" Umstellung auf deutsch
Karl-Heinz Welz, 19.12.2014 09:55, 3 Antworten
Hallo, liebe Community, ich bin 63 Jahre alt und möchte jetzt nach Jahrzehnten Windows zu Linux...
ICEauthority
Thomas Mann, 17.12.2014 14:49, 2 Antworten
Fehlermeldung beim Start von Linux Mint: Could not update ICEauthority file / home/user/.ICEauth...
Linux einrichten
Sigrid Bölke, 10.12.2014 10:46, 5 Antworten
Hallo, liebe Community, bin hier ganz neu,also entschuldigt,wenn ich hier falsch bin. Mein Prob...
Externe USB-Festplatte mit Ext4 formatiert, USB-Stick wird nicht mehr eingebunden
Wimpy *, 02.12.2014 16:31, 0 Antworten
Hallo, ich habe die externe USB-FP, die nur für Daten-Backup benutzt wird, mit dem YaST-Partition...
Steuern mit Linux
Siegfried Markner, 01.12.2014 11:56, 2 Antworten
Welches Linux eignet sich am besten für Steuerungen.