AA_123rf-43236435_Nomadsoul1-123RF.jpg

© Nomadsoul1, 123RF

Daten retten mit dem Duo Testdisk und Photorec

Aus dem Orkus

Die Partitionstabelle ist zerstört, 600 GByte wertvolle Daten wurden gelöscht – jetzt müssen Testdisk und Photorec ihre Qualitäten bei der Datenrettung beweisen.

Festplatten, so heißt es scherzhaft, kennen nur drei Zustände: leer, voll oder kaputt. Das liegt nicht einmal weit von der Wahrheit entfernt: Die letzten beiden Zustände treten meist schneller ein als erwartet. Gerade Festplattendefekte aufgrund mechanischer Ermüdungserscheinungen schlagen fast immer unerwartet zu. Zu Zeiten mechanischer Festplatten konnte man manchmal das nahende Ende in Form von Klackgeräuschen hören und die Disk vom Rechner trennen, bevor sie alle Viere von sich streckte. Heutige SSDs dagegen verlassen uns (un)heimlich, still und leise.

Einen Indikator für den Gesundheitszustand einer Festplatte bietet die Festplattenüberwachungssoftware SMART [1]. Deren Analysen hinsichtlich des Verschleißes einer Festplatte lesen Sie unter Linux mit den Smartmontools [2] aus. Lässt sich die Festplatte aber bereits nicht mehr ansprechen, obwohl sie noch im BIOS auftaucht, oder wurden eine Partition oder die Daten darin versehentlich gelöscht, schlägt die Stunde der forensischen Werkzeuge Testdisk und Photorec.

Zum grundlegenden Verständnis der Arbeitsweise dieser und anderer Datenrettungswerkzeuge sei gesagt, dass gelöschte Daten nicht in dem Moment ins Nirvana entschwinden, wo Sie [Entf] drücken. Das Dateisystem blendet sie lediglich durch das Ändern des ersten Zeichens im Dateinamen für die Anzeige aus und gibt den zugehörigen Plattenplatz zum Überschreiben frei. Intervenieren Sie an just diesem Punkt, bestehen beste Aussichten, die Daten noch zu retten. Je länger Sie zuwarten, desto mehr Daten überschreibt das System ganz oder teilweise, wodurch die Erfolgsquote gebräuchlicher Rettungssoftware drastisch sinkt. Im Labor hingegen lässt sich mit Reinraumtechnik und der Arbeit direkt mit den Magnetscheiben noch einiges deichseln. Die exorbitanten Kosten hierfür rechnen sich aber für Privatanwender so gut wie nie.

Was passiert beim Löschen von Daten?

Wenn Sie Daten "löschen", markieren Sie sie damit lediglich für das Dateisystem als freigegeben. Im Dateimanager oder auf der Konsole tauchen die Dateien dann nicht mehr auf, doch die entsprechenden Sektoren bleiben zunächst unverändert und die Daten damit völlig intakt. Forensische Software spürt diese nun unzugeordneten Daten durch Auslesen der Kopfbereiche auf und macht sie für das Dateisystem wieder sichtbar. Sobald das Dateisystem aber die nun freigegebenen Sektoren mit neuen Daten überschreibt, macht das eine Rettung schwierig bis unmöglich.

Dynamisches Duo

Testdisk [3] und Photorec [4] treten bei den meisten Distributionen im Doppelpack auf. Das macht Sinn, denn Photorec ergänzt die Fähigkeiten von Testdisk ideal und kommt daher im Falle eines Falles häufig gleich mit zum Einsatz. Dabei zeichnet Testdisk hauptsächlich für das Wiederherstellen gelöschter Partitionen, Partitionstabellen oder des Master Boot Records (MBR) verantwortlich, rettet aber auch Daten. So repariert es die Dateisysteme Ext2/3/4, Btrfs, HFS+, FAT12/16/32 und NTFS.

Photorec entstand als Rettungssoftware für versehentlich gelöschte Fotos auf internen oder externen Speichermedien von Digitalkameras, kann aber mittlerweile mit fast 450 Dateiformaten umgehen, vorwiegend aus den Bereichen Multimedia und Office. Beide Tools gibt es nicht nur für Linux, sondern auch für diverse BSD-Varianten sowie für Solaris, Mac OS X und Windows. Während Testdisk ausschließlich auf der Kommandozeile arbeitet, steht für Photorec – ebenfalls ein CLI-Programm – seit Kurzem ergänzend die grafische Oberfläche QPhotorec [5] zur Verfügung.

Was ist eine Partitionstabelle?

Eine Partitionstabelle führt die Partitionen der im Rechner befindlichen Platten auf. Am häufigsten finden sich Partitionstabellen als Teil des Master Boot Records (MBR) oder – in letzter Zeit zunehmend häufiger – als GUID Partition Table (GPT). Bei Schäden an dieser Tabelle erkennt das Betriebssystem einzelne Partitionen oder ganze Festplatten nicht mehr.

Vorarbeiten

Bevor Sie überstürzt eine Datenrettung einleiten, sollten Sie einige Grundregeln verinnerlichen. Beim Verdacht von Datenverlust auf Festplatten, Speicherkarten oder USB-Sticks müssen Sie als Erstes sicherstellen, dass das Speichermedium nicht mehr zum Schreiben benutzt wird – sonst könnten Daten unwiederbringlich verlorengehen.

Zudem sollten Sie möglichst nicht mit den Originaldaten arbeiten, sondern mit Kopien. Zum Kopieren kann das im Quelltext an Dd angelehnte Programm Dcfldd [6], dienen. Es erstellt unter anderem Kopien von Dateien, Partitionen oder ganzen Festplatten, erstellt zusätzlich MD5-Summen und bietet eine bitgenaue Verifizierung von Original und Kopie. Im Unterschied zu Dd bietet es eine Fortschrittsanzeige, sodass beim Kopieren ganzer Partitionen oder Festplatten die Restzeit im Blickfeld bleibt. Im Bedarfsfall verteilt es zudem die Daten automatisch auf mehrere Dateien.

Genausowenig wie mit den Originaldaten sollten Sie direkt im betroffenen Dateisystem arbeiten. Schreiben Sie also keinesfalls wiederhergestellte Daten auf die gleiche Partition. Unter Linux bietet sich idealerweise das Arbeiten von einer aktuellen Live-CD oder von spezialisierten Werkzeugsammlungen wie Parted Magic, SystemRescueCD oder Ultimate Boot CD an. Fast alle Distributionen bringen die Kombination der beiden Werkzeuge Testdisk und Photorec bereits mit.

Da im Fall eines vermuteten Datenverlusts der Adrenalinspiegel ansteigt und beide Werkzeuge trotz guter Benutzerführung nicht gegen Fehlbedienungen gefeit sind, bietet sich ein Vorabtest unter entspannten Bedingungen an, um zumindest die grundlegende Bedienung bereits einmal nachvollzogen zu haben. Im Einsatz erfordern sowohl Testdisk als auch Photorec Root-Rechte.

Wir zerstören für unseren Test mutwillig mit dem Kommando dd if=/dev/zero of=/dev/sdb bs=512 count=1 die Partitionstabelle einer externen, FAT-formatierten, 3 TByte großen mechanischen Festplatte. Hier soll Testdisk die Partitionstabelle wiederherstellen. Zudem löschen wir rund 600 GByte an gemischten Daten, die wir mit Photorec wiederherstellen möchten. Als Testhardware diente ein aktuelles Notebook mit Haswell-CPU und 8 GByte RAM.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 6 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Gelöschte Daten und Laufwerke rekonstruieren
    Nur allzu leicht landen wichtige Dateien per Mausklick im Nirvana. Mit dem leistungsfähigen Duo Photorec und Testdisk stellen Sie nicht nur einzelne Files, sondern im Falle eines Falles sogar ganze Partitionen wieder her.
  • Daten retten und wiederherstellen
    Mit den Bordmitteln von Linux lassen sich in begrenztem Umfang Dateien und Partitionen wiederherstellen sowie defekte Datenträger retten.
  • Erste Hilfe für Fotos
    Wenn die SD-Karte aus der Digitalkamera den Geist aufgibt, sind nicht automatisch alle gespeicherten Bilder weg. Mit etwas Glück und PhotoRec ist die Datenrettung möglich.
  • Datenspuren im Visier
    Schnell mal gelöscht heißt beileibe nicht unauffindbar: Wir zeigen, was moderne Tools auf der Festplatte aufstöbern und wie Sie Vertrauliches wirklich sicher vom Datenträger putzen.
  • Massenspeicher- und Datenpflege mit Parted Magic
    Datenbestände wie Speicherkapazitäten nehmen rasant zu. Ärgerlich, wenn dann plötzlich die Festplatte streikt oder ein falsch eingegebener Befehl wichtige Daten löscht. Hilfe verspricht die Live-Distribution Parted Magic.
Kommentare

Infos zur Publikation

LU 11/2017: Server für Daheim

Digitale Ausgabe: Preis € 8,50
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

Lieber Linux oder Windows- Betriebssystem?
Sina Kaul, 13.10.2017 16:17, 3 Antworten
Hallo, bis jetzt hatte ich immer nur mit
IT-Kurse
Alice Trader, 26.09.2017 11:35, 2 Antworten
Hallo liebe Community, ich brauche Hilfe und bin sehr verzweifelt. Ih bin noch sehr neu in eure...
Backup mit KUP unter Suse 42.3
Horst Schwarz, 24.09.2017 13:16, 3 Antworten
Ich möchte auch wieder unter Suse 42.3 mit Kup meine Backup durchführen. Eine Installationsmöglic...
kein foto, etc. upload möglich, wo liegt mein fehler?
kerstin brums, 17.09.2017 22:08, 5 Antworten
moin, zum erstellen einer einfachen wordpress website kann ich keine fotos uploaden. vom rechne...
Arch Linux Netzwerkkonfigurationen
Franziska Schley, 15.09.2017 18:04, 0 Antworten
Moin liebe Linux community, ich habe momentan Probleme mit der Einstellung des Lan/Wlan in Arc...