AA_sand_sundstrom_sxc_1046097.jpg

© Sundstrom, sxc.hu

Spurensuche

Gelöschte Daten und Laufwerke rekonstruieren

03.06.2010
Nur allzu leicht landen wichtige Dateien per Mausklick im Nirvana. Mit dem leistungsfähigen Duo Photorec und Testdisk stellen Sie nicht nur einzelne Files, sondern im Falle eines Falles sogar ganze Partitionen wieder her.

Moderne Massenspeicher wie Festplatten, Solid State Drives oder auch SD- und CF-Karten bieten immer größere Speicherkapazitäten zu immer erschwinglicheren Preisen. Haben Sie die neue Festplatte erst einmal in den heimischen Computer eingebaut oder die frisch erstandene SD-Karte in die Digitalkamera eingesteckt, wächst schnell die Tendenz, die vielen Gigabyte mit Daten zu füllen. Innerhalb kürzester Zeit sammelt sich so oft eine große Menge persönlicher Daten auf den Speichermedien an.

Mit der Speicherwut wächst jedoch das Risiko, versehentlich wichtige Dateien zu löschen. Ein böses Erwachen gibt es außerdem, wenn Sie vergessen, externe Datenträger vor dem Entfernen aus dem System auszuhängen: Das birgt die Gefahr von Inkonsistenzen im Dateisystem. In manchen Fällen liest das System das Medium beim erneuten Einhängen nicht mehr ordentlich ein – die Daten scheinen verloren. Doch Linux bringt mit Photorec und Testdisk zwei kleine, aber mächtige Tools mit, die vermeintlich gelöschte Dateien und sogar komplette Partitionen mitsamt Inhalt wieder herstellen.

Funktion der Dateisysteme

Computer benötigen Dateisysteme, um auf Massenspeichern eine Struktur zum Ablegen und Verwalten von Dateien zu schaffen. Ohne ein entsprechendes Dateisystem ist der Datenträger – also die Festplatte, der USB-Stick oder die Speicherkarte – für das jeweilige Betriebssystem nicht vernünftig zu gebrauchen. Im Laufe der Zeit haben sich verschiedene mehr oder weniger ausgereifte Filesysteme entwickelt. Unter Linux kommen heute meist Ext3 oder Ext4 zum Einsatz, wobei aber eine stattliche Anzahl an Alternativen bereit steht.

Bei Wechselmedien wie Speicherkarten und USB-Sticks kommen aus historischen Gründen stets FAT16- oder FAT32-Dateisysteme zum Einsatz. Aufgrund der Kompatibilität zu alten, seinerzeit weit verbreiteten Microsoft-Betriebssystemen, die ausschließlich mit FAT umgehen konnten, war es zwingend notwendig, diese technisch vorsintflutliche und wenig ausgereifte Alternative weiter zu nutzen. Auch Linux beherrscht den Umgang mit den FAT-Systemen. Daher können Sie USB-Sticks mit Ihrem heimischen Linux-PC verwenden, die Sie auch mit anderen Betriebssystemen nutzen.

Das Dateisystem organisiert jedoch nicht nur die Ablage der Dateien, sondern liefert dem Betriebssystem auch Informationen über Größe, Ablageort und Attribute von Dateien und Verzeichnissen. Diese zusätzlichen Informationen heißen Metadaten. Das System legt jede Datei auf dem Datenträger blockweise in sogenannten Clustern ab.

Damit es gespeicherte Dateien wiederfindet, verwaltet es zusätzlich ein Inhaltsverzeichnis in einem definierten Bereich. In diesem Inhaltsverzeichnis speichert es Anfangscluster, Folgecluster und Anzahl der von einer Datei belegten Cluster. Dies erfolgt je nach Dateisystem in Form einer einfachen Referenz oder in Gestalt einer Tabelle.

Geben Sie nun dem Betriebssystem einen Löschbefehl, so löscht das Dateisystem nicht die eigentliche Datei, sondern nur die entsprechenden Einträge im Verzeichnis. Die vermeintlich gelöschte Datei liegt also physikalisch noch auf dem Datenträger. Manche Dateisystemen erlauben es, die entsprechenden Referenzen einfach wieder als freier Speicherplatz zu markieren, bei anderen modifiziert der Treiber in der Verwaltungstabelle nur den Anfangsbuchstabe des Dateinamens. Beide Tatsachen machen sich Recovery-Tools zu nutze.

Auf geht's

Um abhanden gekommene Daten zu rekonstruieren, gilt es zunächst das Paket testdisk zu installieren, das neben dem gleichnamigen Tool zur Rekonstruktion ganzer Partitionen auch Photorec beinhaltet. Die Software befindet sich seit vielen Major-Releases in den Repositories der Debian- und Ubuntu-Distributionen, aus denen Sie es bequem per Mausklick installieren. Für verschiedene Distributionen mit RPM-Paketmanagement stehen im Netz [1] mehr als 100 unterschiedliche vorkompilierte Pakete bereit, die auch alte Betriebssystem-Versionen berücksichtigen.

Nach erfolgreicher Installation stehen die beiden Programme sofort auf der Kommandozeile bereit. Bequemer geht es jedoch, wenn Sie zunächst einen Starter anlegen und diesen beispielsweise im Menü Anwendungen | Systemwerkzeuge einfügen. Beachten Sie dabei, dass Sie im Auswahlfeld Typ: den Eintrag Anwendung im Terminal anwählen und im Feld Befehl: die Programmdatei mit vorangestelltem sudo eintragen, da sowohl Photorec als auch Testdisk nur mit Root-Rechten funktionieren.

Nach entsprechendem Aufruf öffnet Photorec ein Terminal mit weißer Schrift auf schwarzem Hintergrund. Das Programm fragt zunächst ab, welches Speichermedium Sie zur Datenrekonstruktion vorgesehen haben. Handelt es sich um externe Festplatten oder USB-Sticks, so erkennt das System diese als Massenspeicher und listet sie entsprechend auf. Nach der Anwahl über die Cursortasten und anschließendem Drücken von [Eingabe] zeigt die Software eine Liste mit Partitionstypen an, in der Sie in aller Regel den bereits vorgegebenen Eintrag Intel/PC partition auswählen (Abbildung 1).

Abbildung 1: Photorec erkennt ohne zusätzliches manuelles Mounten alle im System befindlichen Datenträger.

Im nächsten Schritt listet Photorec alle auf dem angegebenen Datenträger vorhandenen Laufwerke auf. Hier wählen Sie die gewünschte Partition aus und definieren bei Bedarf anschließend noch, welche Dateitypen Sie rekonstruieren wollen. Das bringt insbesondere dann einen Vorteil, wenn Sie das Laufwerk noch nie oder schon lange Zeit nicht mehr mit Photorec bearbeitet haben und sich dort dementsprechend viele Dateien tummeln, die das Programm beim Wiederherstellen findet. Möchten Sie alle Dateien rekonstruieren, dauert der Vorgang unter Umständen sehr lange. Daher empfiehlt es sich, die Suche auf einen bestimmten Dateityp einzugrenzen.

Nun teilen Sie Photorec das eigentliche Dateisystem mit, in dem Sie die Daten ursprünglich abgespeichert haben. Dies ist notwendig, damit das Tool die einzelnen Datenblöcke korrekt zuordnen kann. Zur Auswahl stehen hier Ext2/Ext3 (als Standard), alternativ die Microsoft-Systeme FAT/NTFS sowie Apples HFS+ und ReiserFS. Da ReiserFS einige Besonderheiten in der Ablagestruktur aufweist, fallen die Ergebnisse beim Wiederherstellen hier erfahrungsgemäß weniger gut aus.

Der nächste Dialog fragt ab, ob Sie die komplette Partition oder nur den gegenwärtig freien Platz scannen möchten. Insbesondere bei großen Laufwerken sparen Sie Zeit, wenn Sie nur den freien Platz zu durchsuchen. Abschließend fragt Photorec nun nach einer Partition, in der es die rekonstruierten Daten speichern soll. Auf keinen Fall sollten Sie die wiederhergestellten Daten in der Ursprungspartition ablegen, da sonst Inkonsistenzen drohen.

Photorec startet nun den ersten von zwei Rekonstruktionsläufen. Im ersten Rutsch stellt es maximal zehn Dateien des fraglichen Typs wieder her, wobei die Software die Blockgröße des Dateisystems ermittelt. Im zweiten Durchlauf rekonstruiert es dann soweit möglich alle mit den Vorgaben übereinstimmenden Dateien.

Die wieder hergestellten Daten legt das Programm auf dem dafür vorgesehenen Datenträger in fortlaufend durchnummerierten Verzeichnissen mit dem Namen recup_dir.Nummer ab. Da die Software eine nahezu unüberschaubare Menge an Dateitypen und Archivformaten kennt, sollten Sie den freien Platz im Zieldatenträger ausreichend bemessen [2].

Während des Programmlaufs zeigt Photorec in Echtzeit die Anzahl der gefundenen und rekonstruierten Dateien an, und zwar differenziert nach den einzelnen Datei-Erweiterungen. Abschließend zeigt das Programm noch in einer Übersicht an, wieviele Dateien es insgesamt wiederhergestellt hat. Somit erkennen Sie auf einen Blick, ob beim Programmlauf alle gesuchten Dateien gefunden wurden (Abbildung 2).

Abbildung 2: Rekonstruktionsläufe können bei großen Datenbeständen länger dauern.

Ergebnisse

Im Test zeigte Photorec erstaunliche Ergebnisse. Auf einer externen Festplatte, die zunächst verschiedene Daten unter NTFS enthielt, löschten wir das komplette Dateisystem und ersetzten es durch ein FAT32-System mitsamt einigen Daten. Obwohl das System beim Wechsel des Dateisystems die Zuordnungstabelle neu geschrieben hatte, schaffte es Photorec, mehrere tausend Dateien der ursprünglichen NTFS-Partition zu rekonstruieren.

Dabei stach ins Auge, dass das Programm Grafikformate wie GIF, JPEG, PNG sowie BMP und auch Textformate wesentlich besser und vollständiger wiederherstellt als Binärfiles. Bei manchen Dateien, die Photorec nicht vollständig sichern konnte, ließ sich aufgrund des Dateinamens und der Fragmente der ursprüngliche Inhalt erraten. Textdateien stellte das Programm in der Regel komplett wieder her, ebenso wie die gängigen Dateiformate für Bilder und Fotos (Abbildung 3).

Abbildung 3: Einfache Textdateien rekonstruiert Photorec bis aufs i-Tüpfelchen genau.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

  • Datenspuren im Visier
    Schnell mal gelöscht heißt beileibe nicht unauffindbar: Wir zeigen, was moderne Tools auf der Festplatte aufstöbern und wie Sie Vertrauliches wirklich sicher vom Datenträger putzen.
  • Daten retten und wiederherstellen
    Mit den Bordmitteln von Linux lassen sich in begrenztem Umfang Dateien und Partitionen wiederherstellen sowie defekte Datenträger retten.
  • Abrakadabra…
    Versehentlich gelöschte Dateien bedeuten nicht zwangsläufig deren Verlust. Mit den passenden Werkzeugen stellen Sie viele davon wieder her.
  • Abrakadabra…
    Versehentlich gelöschte Dateien bedeuten nicht zwangsläufig deren Verlust. Mit den passenden Werkzeugen stellen Sie viele davon wieder her.
  • Massenspeicher- und Datenpflege mit Parted Magic
    Datenbestände wie Speicherkapazitäten nehmen rasant zu. Ärgerlich, wenn dann plötzlich die Festplatte streikt oder ein falsch eingegebener Befehl wichtige Daten löscht. Hilfe verspricht die Live-Distribution Parted Magic.
Kommentare

Infos zur Publikation

LU 11/2014: VIDEOS BEARBEITEN

Digitale Ausgabe: Preis € 4,95
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Tipp der Woche

Schnell Multi-Boot-Medien mit MultiCD erstellen
Schnell Multi-Boot-Medien mit MultiCD erstellen
Tim Schürmann, 24.06.2014 12:40, 0 Kommentare

Wer mehrere nützliche Live-Systeme auf eine DVD brennen möchte, kommt mit den Startmedienerstellern der Distributionen nicht besonders weit: Diese ...

Aktuelle Fragen

WLAN-Signalqualität vom Treiber abhängig
GoaSkin , 29.10.2014 14:16, 0 Antworten
Hallo, für einen WLAN-Stick mit Ralink 2870 Chipsatz gibt es einen Treiber von Ralink sowie (m...
Artikelsuche
Erwin Ruitenberg, 09.10.2014 07:51, 1 Antworten
Ich habe seit einige Jahre ein Dugisub LinuxUser. Dann weiß ich das irgendwann ein bestimmtes Art...
Windows 8 startet nur mit externer Festplatte
Anne La, 10.09.2014 17:25, 6 Antworten
Hallo Leute, also, ich bin auf folgendes Problem gestoßen: Ich habe Ubuntu 14.04 auf meiner...
Videoüberwachung mit Zoneminder
Heinz Becker, 10.08.2014 17:57, 0 Antworten
Hallo, ich habe den ZONEMINDER erfolgreich installiert. Das Bild erscheint jedoch nicht,...
internes Wlan und USB-Wlan-Srick
Gerhard Blobner, 04.08.2014 15:20, 2 Antworten
Hallo Linux-Forum: ich bin ein neuer Linux-User (ca. 25 Jahre Windows) und bin von WIN 8 auf Mint...