AA_123rf-43236435_Nomadsoul1-123RF.jpg

© Nomadsoul1, 123RF

Daten retten mit dem Duo Testdisk und Photorec

Aus dem Orkus

Die Partitionstabelle ist zerstört, 600 GByte wertvolle Daten wurden gelöscht – jetzt müssen Testdisk und Photorec ihre Qualitäten bei der Datenrettung beweisen.

Festplatten, so heißt es scherzhaft, kennen nur drei Zustände: leer, voll oder kaputt. Das liegt nicht einmal weit von der Wahrheit entfernt: Die letzten beiden Zustände treten meist schneller ein als erwartet. Gerade Festplattendefekte aufgrund mechanischer Ermüdungserscheinungen schlagen fast immer unerwartet zu. Zu Zeiten mechanischer Festplatten konnte man manchmal das nahende Ende in Form von Klackgeräuschen hören und die Disk vom Rechner trennen, bevor sie alle Viere von sich streckte. Heutige SSDs dagegen verlassen uns (un)heimlich, still und leise.

Einen Indikator für den Gesundheitszustand einer Festplatte bietet die Festplattenüberwachungssoftware SMART [1]. Deren Analysen hinsichtlich des Verschleißes einer Festplatte lesen Sie unter Linux mit den Smartmontools [2] aus. Lässt sich die Festplatte aber bereits nicht mehr ansprechen, obwohl sie noch im BIOS auftaucht, oder wurden eine Partition oder die Daten darin versehentlich gelöscht, schlägt die Stunde der forensischen Werkzeuge Testdisk und Photorec.

Zum grundlegenden Verständnis der Arbeitsweise dieser und anderer Datenrettungswerkzeuge sei gesagt, dass gelöschte Daten nicht in dem Moment ins Nirvana entschwinden, wo Sie [Entf] drücken. Das Dateisystem blendet sie lediglich durch das Ändern des ersten Zeichens im Dateinamen für die Anzeige aus und gibt den zugehörigen Plattenplatz zum Überschreiben frei. Intervenieren Sie an just diesem Punkt, bestehen beste Aussichten, die Daten noch zu retten. Je länger Sie zuwarten, desto mehr Daten überschreibt das System ganz oder teilweise, wodurch die Erfolgsquote gebräuchlicher Rettungssoftware drastisch sinkt. Im Labor hingegen lässt sich mit Reinraumtechnik und der Arbeit direkt mit den Magnetscheiben noch einiges deichseln. Die exorbitanten Kosten hierfür rechnen sich aber für Privatanwender so gut wie nie.

Was passiert beim Löschen von Daten?

Wenn Sie Daten "löschen", markieren Sie sie damit lediglich für das Dateisystem als freigegeben. Im Dateimanager oder auf der Konsole tauchen die Dateien dann nicht mehr auf, doch die entsprechenden Sektoren bleiben zunächst unverändert und die Daten damit völlig intakt. Forensische Software spürt diese nun unzugeordneten Daten durch Auslesen der Kopfbereiche auf und macht sie für das Dateisystem wieder sichtbar. Sobald das Dateisystem aber die nun freigegebenen Sektoren mit neuen Daten überschreibt, macht das eine Rettung schwierig bis unmöglich.

Dynamisches Duo

Testdisk [3] und Photorec [4] treten bei den meisten Distributionen im Doppelpack auf. Das macht Sinn, denn Photorec ergänzt die Fähigkeiten von Testdisk ideal und kommt daher im Falle eines Falles häufig gleich mit zum Einsatz. Dabei zeichnet Testdisk hauptsächlich für das Wiederherstellen gelöschter Partitionen, Partitionstabellen oder des Master Boot Records (MBR) verantwortlich, rettet aber auch Daten. So repariert es die Dateisysteme Ext2/3/4, Btrfs, HFS+, FAT12/16/32 und NTFS.

Photorec entstand als Rettungssoftware für versehentlich gelöschte Fotos auf internen oder externen Speichermedien von Digitalkameras, kann aber mittlerweile mit fast 450 Dateiformaten umgehen, vorwiegend aus den Bereichen Multimedia und Office. Beide Tools gibt es nicht nur für Linux, sondern auch für diverse BSD-Varianten sowie für Solaris, Mac OS X und Windows. Während Testdisk ausschließlich auf der Kommandozeile arbeitet, steht für Photorec – ebenfalls ein CLI-Programm – seit Kurzem ergänzend die grafische Oberfläche QPhotorec [5] zur Verfügung.

Was ist eine Partitionstabelle?

Eine Partitionstabelle führt die Partitionen der im Rechner befindlichen Platten auf. Am häufigsten finden sich Partitionstabellen als Teil des Master Boot Records (MBR) oder – in letzter Zeit zunehmend häufiger – als GUID Partition Table (GPT). Bei Schäden an dieser Tabelle erkennt das Betriebssystem einzelne Partitionen oder ganze Festplatten nicht mehr.

Vorarbeiten

Bevor Sie überstürzt eine Datenrettung einleiten, sollten Sie einige Grundregeln verinnerlichen. Beim Verdacht von Datenverlust auf Festplatten, Speicherkarten oder USB-Sticks müssen Sie als Erstes sicherstellen, dass das Speichermedium nicht mehr zum Schreiben benutzt wird – sonst könnten Daten unwiederbringlich verlorengehen.

Zudem sollten Sie möglichst nicht mit den Originaldaten arbeiten, sondern mit Kopien. Zum Kopieren kann das im Quelltext an Dd angelehnte Programm Dcfldd [6], dienen. Es erstellt unter anderem Kopien von Dateien, Partitionen oder ganzen Festplatten, erstellt zusätzlich MD5-Summen und bietet eine bitgenaue Verifizierung von Original und Kopie. Im Unterschied zu Dd bietet es eine Fortschrittsanzeige, sodass beim Kopieren ganzer Partitionen oder Festplatten die Restzeit im Blickfeld bleibt. Im Bedarfsfall verteilt es zudem die Daten automatisch auf mehrere Dateien.

Genausowenig wie mit den Originaldaten sollten Sie direkt im betroffenen Dateisystem arbeiten. Schreiben Sie also keinesfalls wiederhergestellte Daten auf die gleiche Partition. Unter Linux bietet sich idealerweise das Arbeiten von einer aktuellen Live-CD oder von spezialisierten Werkzeugsammlungen wie Parted Magic, SystemRescueCD oder Ultimate Boot CD an. Fast alle Distributionen bringen die Kombination der beiden Werkzeuge Testdisk und Photorec bereits mit.

Da im Fall eines vermuteten Datenverlusts der Adrenalinspiegel ansteigt und beide Werkzeuge trotz guter Benutzerführung nicht gegen Fehlbedienungen gefeit sind, bietet sich ein Vorabtest unter entspannten Bedingungen an, um zumindest die grundlegende Bedienung bereits einmal nachvollzogen zu haben. Im Einsatz erfordern sowohl Testdisk als auch Photorec Root-Rechte.

Wir zerstören für unseren Test mutwillig mit dem Kommando dd if=/dev/zero of=/dev/sdb bs=512 count=1 die Partitionstabelle einer externen, FAT-formatierten, 3 TByte großen mechanischen Festplatte. Hier soll Testdisk die Partitionstabelle wiederherstellen. Zudem löschen wir rund 600 GByte an gemischten Daten, die wir mit Photorec wiederherstellen möchten. Als Testhardware diente ein aktuelles Notebook mit Haswell-CPU und 8 GByte RAM.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 6 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Gelöschte Daten und Laufwerke rekonstruieren
    Nur allzu leicht landen wichtige Dateien per Mausklick im Nirvana. Mit dem leistungsfähigen Duo Photorec und Testdisk stellen Sie nicht nur einzelne Files, sondern im Falle eines Falles sogar ganze Partitionen wieder her.
  • Spurensuche
    Löschen Sie versehentlich Dateien und Partitionen auf einem Rechner, benötigen Sie lediglich zwei Tools, um nach Spuren der Daten zu fahnden.
  • Daten retten und wiederherstellen
    Mit den Bordmitteln von Linux lassen sich in begrenztem Umfang Dateien und Partitionen wiederherstellen sowie defekte Datenträger retten.
  • Erste Hilfe für Fotos
    Wenn die SD-Karte aus der Digitalkamera den Geist aufgibt, sind nicht automatisch alle gespeicherten Bilder weg. Mit etwas Glück und PhotoRec ist die Datenrettung möglich.
  • Datenspuren im Visier
    Schnell mal gelöscht heißt beileibe nicht unauffindbar: Wir zeigen, was moderne Tools auf der Festplatte aufstöbern und wie Sie Vertrauliches wirklich sicher vom Datenträger putzen.
Kommentare

Infos zur Publikation

LU 02/2018: PAKETE VERWALTEN

Digitale Ausgabe: Preis € 5,95
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

sharklinux
Gerd-Peter Behrendt, 18.01.2018 23:58, 0 Antworten
Hallo zusammen, ich habe sharklinux von der DVD Installiert. 2x, jedesmal nach dem Reboot ist di...
Anfänger sucht Ratschläge
Alucard Nosferatu, 18.01.2018 21:56, 3 Antworten
Guten Tag, meine Wenigkeit würde gerne auf einer meiner Festplatten von meinen Feldrechnern e...
Suchprogramm
Heiko Taeuber, 17.01.2018 21:12, 1 Antworten
Hallo liebe Community, keine Ahnung ob dieses Thema hier schon einmal gepostet wurde. Ich hab...
Linux Mint als Zweitsystem
Wolfgang Robert Luhn, 13.01.2018 19:28, 4 Antworten
Wer kann mir helfen??? Habe einen neuen Laptop mit vorinstaliertem Windows 10 gekauft. Möchte g...
externe soundkarte Kaufempfehlung
lara grafstr , 13.01.2018 10:20, 4 Antworten
Hallo Ich bin auf Suche nach einer externen soundkarte.. Max 150 Euro Die Wiedergabe is...