AA_sand_sundstrom_sxc_1046097.jpg

© Sundstrom, sxc.hu

Spurensuche

Gelöschte Daten und Laufwerke rekonstruieren

03.06.2010
Nur allzu leicht landen wichtige Dateien per Mausklick im Nirvana. Mit dem leistungsfähigen Duo Photorec und Testdisk stellen Sie nicht nur einzelne Files, sondern im Falle eines Falles sogar ganze Partitionen wieder her.

Moderne Massenspeicher wie Festplatten, Solid State Drives oder auch SD- und CF-Karten bieten immer größere Speicherkapazitäten zu immer erschwinglicheren Preisen. Haben Sie die neue Festplatte erst einmal in den heimischen Computer eingebaut oder die frisch erstandene SD-Karte in die Digitalkamera eingesteckt, wächst schnell die Tendenz, die vielen Gigabyte mit Daten zu füllen. Innerhalb kürzester Zeit sammelt sich so oft eine große Menge persönlicher Daten auf den Speichermedien an.

Mit der Speicherwut wächst jedoch das Risiko, versehentlich wichtige Dateien zu löschen. Ein böses Erwachen gibt es außerdem, wenn Sie vergessen, externe Datenträger vor dem Entfernen aus dem System auszuhängen: Das birgt die Gefahr von Inkonsistenzen im Dateisystem. In manchen Fällen liest das System das Medium beim erneuten Einhängen nicht mehr ordentlich ein – die Daten scheinen verloren. Doch Linux bringt mit Photorec und Testdisk zwei kleine, aber mächtige Tools mit, die vermeintlich gelöschte Dateien und sogar komplette Partitionen mitsamt Inhalt wieder herstellen.

Funktion der Dateisysteme

Computer benötigen Dateisysteme, um auf Massenspeichern eine Struktur zum Ablegen und Verwalten von Dateien zu schaffen. Ohne ein entsprechendes Dateisystem ist der Datenträger – also die Festplatte, der USB-Stick oder die Speicherkarte – für das jeweilige Betriebssystem nicht vernünftig zu gebrauchen. Im Laufe der Zeit haben sich verschiedene mehr oder weniger ausgereifte Filesysteme entwickelt. Unter Linux kommen heute meist Ext3 oder Ext4 zum Einsatz, wobei aber eine stattliche Anzahl an Alternativen bereit steht.

Bei Wechselmedien wie Speicherkarten und USB-Sticks kommen aus historischen Gründen stets FAT16- oder FAT32-Dateisysteme zum Einsatz. Aufgrund der Kompatibilität zu alten, seinerzeit weit verbreiteten Microsoft-Betriebssystemen, die ausschließlich mit FAT umgehen konnten, war es zwingend notwendig, diese technisch vorsintflutliche und wenig ausgereifte Alternative weiter zu nutzen. Auch Linux beherrscht den Umgang mit den FAT-Systemen. Daher können Sie USB-Sticks mit Ihrem heimischen Linux-PC verwenden, die Sie auch mit anderen Betriebssystemen nutzen.

Das Dateisystem organisiert jedoch nicht nur die Ablage der Dateien, sondern liefert dem Betriebssystem auch Informationen über Größe, Ablageort und Attribute von Dateien und Verzeichnissen. Diese zusätzlichen Informationen heißen Metadaten. Das System legt jede Datei auf dem Datenträger blockweise in sogenannten Clustern ab.

Damit es gespeicherte Dateien wiederfindet, verwaltet es zusätzlich ein Inhaltsverzeichnis in einem definierten Bereich. In diesem Inhaltsverzeichnis speichert es Anfangscluster, Folgecluster und Anzahl der von einer Datei belegten Cluster. Dies erfolgt je nach Dateisystem in Form einer einfachen Referenz oder in Gestalt einer Tabelle.

Geben Sie nun dem Betriebssystem einen Löschbefehl, so löscht das Dateisystem nicht die eigentliche Datei, sondern nur die entsprechenden Einträge im Verzeichnis. Die vermeintlich gelöschte Datei liegt also physikalisch noch auf dem Datenträger. Manche Dateisystemen erlauben es, die entsprechenden Referenzen einfach wieder als freier Speicherplatz zu markieren, bei anderen modifiziert der Treiber in der Verwaltungstabelle nur den Anfangsbuchstabe des Dateinamens. Beide Tatsachen machen sich Recovery-Tools zu nutze.

Auf geht's

Um abhanden gekommene Daten zu rekonstruieren, gilt es zunächst das Paket testdisk zu installieren, das neben dem gleichnamigen Tool zur Rekonstruktion ganzer Partitionen auch Photorec beinhaltet. Die Software befindet sich seit vielen Major-Releases in den Repositories der Debian- und Ubuntu-Distributionen, aus denen Sie es bequem per Mausklick installieren. Für verschiedene Distributionen mit RPM-Paketmanagement stehen im Netz [1] mehr als 100 unterschiedliche vorkompilierte Pakete bereit, die auch alte Betriebssystem-Versionen berücksichtigen.

Nach erfolgreicher Installation stehen die beiden Programme sofort auf der Kommandozeile bereit. Bequemer geht es jedoch, wenn Sie zunächst einen Starter anlegen und diesen beispielsweise im Menü Anwendungen | Systemwerkzeuge einfügen. Beachten Sie dabei, dass Sie im Auswahlfeld Typ: den Eintrag Anwendung im Terminal anwählen und im Feld Befehl: die Programmdatei mit vorangestelltem sudo eintragen, da sowohl Photorec als auch Testdisk nur mit Root-Rechten funktionieren.

Nach entsprechendem Aufruf öffnet Photorec ein Terminal mit weißer Schrift auf schwarzem Hintergrund. Das Programm fragt zunächst ab, welches Speichermedium Sie zur Datenrekonstruktion vorgesehen haben. Handelt es sich um externe Festplatten oder USB-Sticks, so erkennt das System diese als Massenspeicher und listet sie entsprechend auf. Nach der Anwahl über die Cursortasten und anschließendem Drücken von [Eingabe] zeigt die Software eine Liste mit Partitionstypen an, in der Sie in aller Regel den bereits vorgegebenen Eintrag Intel/PC partition auswählen (Abbildung 1).

Abbildung 1: Photorec erkennt ohne zusätzliches manuelles Mounten alle im System befindlichen Datenträger.

Im nächsten Schritt listet Photorec alle auf dem angegebenen Datenträger vorhandenen Laufwerke auf. Hier wählen Sie die gewünschte Partition aus und definieren bei Bedarf anschließend noch, welche Dateitypen Sie rekonstruieren wollen. Das bringt insbesondere dann einen Vorteil, wenn Sie das Laufwerk noch nie oder schon lange Zeit nicht mehr mit Photorec bearbeitet haben und sich dort dementsprechend viele Dateien tummeln, die das Programm beim Wiederherstellen findet. Möchten Sie alle Dateien rekonstruieren, dauert der Vorgang unter Umständen sehr lange. Daher empfiehlt es sich, die Suche auf einen bestimmten Dateityp einzugrenzen.

Nun teilen Sie Photorec das eigentliche Dateisystem mit, in dem Sie die Daten ursprünglich abgespeichert haben. Dies ist notwendig, damit das Tool die einzelnen Datenblöcke korrekt zuordnen kann. Zur Auswahl stehen hier Ext2/Ext3 (als Standard), alternativ die Microsoft-Systeme FAT/NTFS sowie Apples HFS+ und ReiserFS. Da ReiserFS einige Besonderheiten in der Ablagestruktur aufweist, fallen die Ergebnisse beim Wiederherstellen hier erfahrungsgemäß weniger gut aus.

Der nächste Dialog fragt ab, ob Sie die komplette Partition oder nur den gegenwärtig freien Platz scannen möchten. Insbesondere bei großen Laufwerken sparen Sie Zeit, wenn Sie nur den freien Platz zu durchsuchen. Abschließend fragt Photorec nun nach einer Partition, in der es die rekonstruierten Daten speichern soll. Auf keinen Fall sollten Sie die wiederhergestellten Daten in der Ursprungspartition ablegen, da sonst Inkonsistenzen drohen.

Photorec startet nun den ersten von zwei Rekonstruktionsläufen. Im ersten Rutsch stellt es maximal zehn Dateien des fraglichen Typs wieder her, wobei die Software die Blockgröße des Dateisystems ermittelt. Im zweiten Durchlauf rekonstruiert es dann soweit möglich alle mit den Vorgaben übereinstimmenden Dateien.

Die wieder hergestellten Daten legt das Programm auf dem dafür vorgesehenen Datenträger in fortlaufend durchnummerierten Verzeichnissen mit dem Namen recup_dir.Nummer ab. Da die Software eine nahezu unüberschaubare Menge an Dateitypen und Archivformaten kennt, sollten Sie den freien Platz im Zieldatenträger ausreichend bemessen [2].

Während des Programmlaufs zeigt Photorec in Echtzeit die Anzahl der gefundenen und rekonstruierten Dateien an, und zwar differenziert nach den einzelnen Datei-Erweiterungen. Abschließend zeigt das Programm noch in einer Übersicht an, wieviele Dateien es insgesamt wiederhergestellt hat. Somit erkennen Sie auf einen Blick, ob beim Programmlauf alle gesuchten Dateien gefunden wurden (Abbildung 2).

Abbildung 2: Rekonstruktionsläufe können bei großen Datenbeständen länger dauern.

Ergebnisse

Im Test zeigte Photorec erstaunliche Ergebnisse. Auf einer externen Festplatte, die zunächst verschiedene Daten unter NTFS enthielt, löschten wir das komplette Dateisystem und ersetzten es durch ein FAT32-System mitsamt einigen Daten. Obwohl das System beim Wechsel des Dateisystems die Zuordnungstabelle neu geschrieben hatte, schaffte es Photorec, mehrere tausend Dateien der ursprünglichen NTFS-Partition zu rekonstruieren.

Dabei stach ins Auge, dass das Programm Grafikformate wie GIF, JPEG, PNG sowie BMP und auch Textformate wesentlich besser und vollständiger wiederherstellt als Binärfiles. Bei manchen Dateien, die Photorec nicht vollständig sichern konnte, ließ sich aufgrund des Dateinamens und der Fragmente der ursprüngliche Inhalt erraten. Textdateien stellte das Programm in der Regel komplett wieder her, ebenso wie die gängigen Dateiformate für Bilder und Fotos (Abbildung 3).

Abbildung 3: Einfache Textdateien rekonstruiert Photorec bis aufs i-Tüpfelchen genau.

Partitionen rekonstruieren

Haben Sie versehentlich eine komplette Partition gelöscht und durch eine andere ersetzt, so hilft Ihnen das kleine Tool Testdisk weiter, das gemeinsam mit Photorec im gleichnamigen Paket für alle gängigen Linux-Distributionen bereit steht. Auch hier sollten Sie der Bequemlichkeit halber einen Starter in einem Anwendungsmenü anlegen. Wie Photorec benötigt Testdisk Root-Rechte, um zu funktionieren. Beide Programme bieten die gleiche Oberfläche, so dass der Einsatz kein aufwendiges Einarbeiten erfordert.

Testdisk erkundigt sich zunächst danach, ob Sie eine Log-Datei anlegen möchten. Wegen der Komplexität beim Wiederherstellen einer Partition und zum Lokalisieren eventueller Fehler sollten Sie dem Programm erlauben, die Arbeitsschritte aufzuzeichnen. Testdisk legt dazu eine Datei namens testdisk.log in Ihrem Home-Verzeichnis an. Danach wählen Sie das zu reparierende physikalische Laufwerk und anschließend – wie bei Photorec – den zu erwartenden Partitionstyp aus.

Testdisk stellt hier als vorgegebenen Standard None | Non partitioned media ein, was jedoch nur zu Analysezwecken sinnvoll ist: Findet das Programm nämlich beim nachfolgenden Überprüfen des Laufwerks eine oder mehrere Partitionen, die Sie rekonstruieren möchten, so teilt es lapidar mit, dass wegen der Auswahl None | Non partitioned media keine Schreibrechte bestünden und es daher keine Laufwerke wiederherstelle. In aller Regel sollten Sie daher bei Einsatz des Tools am heimischen PC die Option Intel/PC partition wählen.

Testdisk analysiert als erstes die physikalischen Strukturen auf dem Datenträger. Dies dauert je nach Größe des Laufwerkes und Komplexität der Struktur unter Umständen eine gewissen Zeit, führt jedoch oftmals zu erstaunlichen Ergebnissen: So fördert Testdisk insbesondere bei älteren Massenspeichern oft längst vergessene ehemalige Partitionen wieder zutage. Nach der Analyse markieren Sie die zu rekonstruierende Partition und fahren durch Drücken von [Eingabe] fort. Testdisk stellt dann das Laufwerk wieder her (Abbildung 4).

Abbildung 4: Auch Testdisk fördert längst verschollene Schätze zutage.

Nach Abschluss der Analyse fordert Testdisk Sie auf, das System neu zu starten. Dies ist natürlich nur dann notwendig, wenn Testdisk ein bootfähiges Medium modifiziert hat. Bei Wechselmedien wie USB-Sticks oder externen Festplatten – also reinen Speichermedien ohne Startfähigkeit – genügt es, das Medium aus- und erneut einzuhängen, um die neue Partitionstabelle einzulesen und auf die rekonstruierte Partition zuzugreifen.

Sollten während des Wiederherstellungslaufs durch Testdisk unerwartet Probleme auftreten, so können Sie diese mithilfe der aussagekräftigen Log-Datei analysieren und die vorgefundenen Fehler beheben. Auch im Erfolgsfall offenbart jedoch ein Blick in die Log-Datei interessante Details zu Ihrem Datenträger (Abbildung 5).

Abbildung 5: Die geleistete Arbeit können Sie in der Log-Datei nachvollziehen.

Ergebnisse

Testdisk kam für diesen Artikel auf verschiedenen Wechselmedien zum Einsatz, wobei wir unterschiedliche FAT-, NTFS- und Ext2-Partitionen angelegt und gelöscht haben. Selbst bei mehrfachem Neupartitionieren eines Datenträgers mit verschiedenen Dateisystemen gelang es, alte Partitionen aus dem Dornröschenschlaf zu holen und die Daten meist vollständig zu rekonstruieren – inklusive der kompletten Rechte.

Das Wiederherstellen gelang nur dann nicht, wenn auf einem neu angelegten Dateisystem in einer neuen Partition die frischen Daten alte Dateien überschrieben. Üblicherweise legen Sie jedoch im täglichen Einsatz auf einem Wechselmedium nicht permanent neue Partitionen mit unterschiedlichen Dateisystemen an, sodass Testdisk in der Regel keine Probleme haben dürfte, eine versehentlich gelöschte Partition wieder zu aktivieren.

Fazit

Mit Photorec und Testdisk stehen Ihnen unter Linux zwei umfangreiche und leistungsfähige Tools zur Verfügung, um einem vermeintlichen Daten-GAU mit versehentlich gelöschten Datenträgern den Schrecken zu nehmen. Da beide Programme universell angelegt sind und eine Vielzahl von Dateiformaten und -systemen unterstützen, beschränkt sich ihr Einsatz nicht auf Linux. Auch die Eigenheiten anderer Datei- und Betriebssysteme beherrschen die beiden Tools in vielen Fällen, was die Software für den Einsatz auf einer Live-CD prädestiniert.

Das Bedienkonzept gestaltet sich einfach. Zwar verfügen weder Photorec noch Testdisk über eine grafische Oberfläche, trotzdem müssen Sie sich keine umständlichen Tastenkombinationen merken: Sie wählen alle Optionen über die Pfeiltasten an und aktivieren sie dann mittels [Eingabe]. Insbesondere, wenn Sie viel mit Wechseldatenträgern arbeiten und dabei große Mengen an individuellen Daten verwalten (wie etwa Fotosammlungen), sollten Sie die beiden Tools fest den Programmfundus Ihres PCs integrieren. 

Infos

[1] Testdisk bei Rpmseek: http://www.rpmseek.com

[2] Von Photorec erkannte Formate: http://www.cgsecurity.org/wiki/Wiederherstellbare_Dateiformate_unter_Photorec

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

Kommentare