Ext3undel rettet gelöschte Dateien

Das kleine Werkzeug Ext3undel verspricht die Wiederherstellung von versehentlich gelöschten Dateien. Wie der Name schon andeutet, arbeitet es ausschließlich auf einem Ext3-Dateisystem. Benutzer des Programms können entweder eine Datei über ihren (ehemaligen) Namen oder sämtliche gelöschte Dateien einer Festplattenpartition zurückholen. In letztem Fall kann Ext3undel die ursprünglichen Namen allerdings nicht wieder herstellen, so dass man die geretteten Dateien anschließend manuell über ihre Inhalte identifizieren muss.

Damit die Wiederherstellung überhaupt klappt, nutzt Ext3undel eine Eigenheit des Dateisystems aus: Löscht man eine Datei beispielsweise per rm, so markiert sie Linux zunächst nur als entfernt. Damit weiß das Betriebssystem, dass es den ehemals belegten Platz wieder für andere Daten nutzen kann. Bis es jedoch soweit ist, liegen die alten Daten noch unversehrt auf der Festplatte und lassen sich auslesen. Allerdings zerstört Linux beim Löschvorgang die Verbindung zwischen den eigentlichen Dateiinhalten und den so genannten Metadaten, also Informationen wie dem Dateinamen oder dem Erstellungsdatum. Folglich verkompliziert sich der notwendige Wiederherstellungsvorgang, weshalb Ext3undel die eigentliche Arbeit nicht selbst erledigt, sondern an seine zwei mitgelieferten Spezialwerkzeuge Gabi und Ralf deligiert.

Gabi (als Abkürzung von Get All Back Immediately) rettet sämtliche glöschten Dateien einer Partition. Dazu benötigt es lediglich dessen Namen, sowie den einer weiteren Partition, auf der die wiederhergestellten Dateien landen sollen. Da dabei jedoch die Dateinamen verloren gehen, steht man am Ende des unter Umständen recht langwierigen Prozesses vor einem mehr oder weniger riesigen Haufen Dateien, den man mühsam per Hand sortieren muss. Ralf (Recover A Lost File) stellt hingegen eine einzige, spezifische Datei wieder her. Das geht zwar wesentlich fixer, setzt aber voraus, dass man sich an den Namen der gelöschten Datei erinnert. Streiken die kleinen grauen Zellen, darf man immerhin auf die bekannten Platzhalter * und ? zurückgreifen.

Schaut man den beiden Werkzeugen etwas genauer unter die Haube, so entpuppt sich das Duo als eine kleine Mogelpackung: Sowohl Gabi, als auch Ralf rufen ihrerseits die etablierten Datenrettungsprogramme Photorec, Foremost und SleuthKit zu Hilfe. Ext3undel und seine beiden Helfershelfer sind somit keine neuen Programme, sondern vereinfachen lediglich die Bedienung der genannten Profiwerkzeuge - dies immerhin drastisch, wie insbesondere Ralf beweist: Er weist zunächst die forensische Software SleuthKit an, nach passenden Metadaten zu fahnden. Wird SleuthKit fündig, ermittelt es auf der Festplatte alle möglicherweise zugehörigen Datenblöcke, die mit den Metadaten einst in Verbindung standen. Die so gesammelten Daten legt es dann in einer Image-Datei ab, auf das Ralf wiederum Photorec ansetzt. Unter Umständen erhält man so wieder mehrere Dateien, aus denen man dann per Hand den richtigen Kandidaten herausfischen muss.

Ext3undel steht im Quellcode als Tar.gz-Archiv oder als fertiges DEB und RPM-Paket auf seiner Homepage kostenlos zum Download bereit.