Die Partitionstabelle ist zerstört, 600 GByte wertvolle Daten wurden gelöscht – jetzt müssen Testdisk und Photorec ihre Qualitäten bei der Datenrettung beweisen.

Festplatten, so heißt es scherzhaft, kennen nur drei Zustände: leer, voll oder kaputt. Das liegt nicht einmal weit von der Wahrheit entfernt: Die letzten beiden Zustände treten meist schneller ein als erwartet. Gerade Festplattendefekte aufgrund mechanischer Ermüdungserscheinungen schlagen fast immer unerwartet zu. Zu Zeiten mechanischer Festplatten konnte man manchmal das nahende Ende in Form von Klackgeräuschen hören und die Disk vom Rechner trennen, bevor sie alle Viere von sich streckte. Heutige SSDs dagegen verlassen uns (un)heimlich, still und leise.

Einen Indikator für den Gesundheitszustand einer Festplatte bietet die Festplattenüberwachungssoftware SMART [1]. Deren Analysen hinsichtlich des Verschleißes einer Festplatte lesen Sie unter Linux mit den Smartmontools [2] aus. Lässt sich die Festplatte aber bereits nicht mehr ansprechen, obwohl sie noch im BIOS auftaucht, oder wurden eine Partition oder die Daten darin versehentlich gelöscht, schlägt die Stunde der forensischen Werkzeuge Testdisk und Photorec.

Zum grundlegenden Verständnis der Arbeitsweise dieser und anderer Datenrettungswerkzeuge sei gesagt, dass gelöschte Daten nicht in dem Moment ins Nirvana entschwinden, wo Sie [Entf] drücken. Das Dateisystem blendet sie lediglich durch das Ändern des ersten Zeichens im Dateinamen für die Anzeige aus und gibt den zugehörigen Plattenplatz zum Überschreiben frei. Intervenieren Sie an just diesem Punkt, bestehen beste Aussichten, die Daten noch zu retten. Je länger Sie zuwarten, desto mehr Daten überschreibt das System ganz oder teilweise, wodurch die Erfolgsquote gebräuchlicher Rettungssoftware drastisch sinkt. Im Labor hingegen lässt sich mit Reinraumtechnik und der Arbeit direkt mit den Magnetscheiben noch einiges deichseln. Die exorbitanten Kosten hierfür rechnen sich aber für Privatanwender so gut wie nie.

Dynamisches Duo

Testdisk [3] und Photorec [4] treten bei den meisten Distributionen im Doppelpack auf. Das macht Sinn, denn Photorec ergänzt die Fähigkeiten von Testdisk ideal und kommt daher im Falle eines Falles häufig gleich mit zum Einsatz. Dabei zeichnet Testdisk hauptsächlich für das Wiederherstellen gelöschter Partitionen, Partitionstabellen oder des Master Boot Records (MBR) verantwortlich, rettet aber auch Daten. So repariert es die Dateisysteme Ext2/3/4, Btrfs, HFS+, FAT12/16/32 und NTFS.

Photorec entstand als Rettungssoftware für versehentlich gelöschte Fotos auf internen oder externen Speichermedien von Digitalkameras, kann aber mittlerweile mit fast 450 Dateiformaten umgehen, vorwiegend aus den Bereichen Multimedia und Office. Beide Tools gibt es nicht nur für Linux, sondern auch für diverse BSD-Varianten sowie für Solaris, Mac OS X und Windows. Während Testdisk ausschließlich auf der Kommandozeile arbeitet, steht für Photorec – ebenfalls ein CLI-Programm – seit Kurzem ergänzend die grafische Oberfläche QPhotorec [5] zur Verfügung.

Vorarbeiten

Bevor Sie überstürzt eine Datenrettung einleiten, sollten Sie einige Grundregeln verinnerlichen. Beim Verdacht von Datenverlust auf Festplatten, Speicherkarten oder USB-Sticks müssen Sie als Erstes sicherstellen, dass das Speichermedium nicht mehr zum Schreiben benutzt wird – sonst könnten Daten unwiederbringlich verlorengehen.

Zudem sollten Sie möglichst nicht mit den Originaldaten arbeiten, sondern mit Kopien. Zum Kopieren kann das im Quelltext an Dd angelehnte Programm Dcfldd [6], dienen. Es erstellt unter anderem Kopien von Dateien, Partitionen oder ganzen Festplatten, erstellt zusätzlich MD5-Summen und bietet eine bitgenaue Verifizierung von Original und Kopie. Im Unterschied zu Dd bietet es eine Fortschrittsanzeige, sodass beim Kopieren ganzer Partitionen oder Festplatten die Restzeit im Blickfeld bleibt. Im Bedarfsfall verteilt es zudem die Daten automatisch auf mehrere Dateien.

Genausowenig wie mit den Originaldaten sollten Sie direkt im betroffenen Dateisystem arbeiten. Schreiben Sie also keinesfalls wiederhergestellte Daten auf die gleiche Partition. Unter Linux bietet sich idealerweise das Arbeiten von einer aktuellen Live-CD oder von spezialisierten Werkzeugsammlungen wie Parted Magic, SystemRescueCD oder Ultimate Boot CD an. Fast alle Distributionen bringen die Kombination der beiden Werkzeuge Testdisk und Photorec bereits mit.

Da im Fall eines vermuteten Datenverlusts der Adrenalinspiegel ansteigt und beide Werkzeuge trotz guter Benutzerführung nicht gegen Fehlbedienungen gefeit sind, bietet sich ein Vorabtest unter entspannten Bedingungen an, um zumindest die grundlegende Bedienung bereits einmal nachvollzogen zu haben. Im Einsatz erfordern sowohl Testdisk als auch Photorec Root-Rechte.

Wir zerstören für unseren Test mutwillig mit dem Kommando dd if=/dev/zero of=/dev/sdb bs=512 count=1 die Partitionstabelle einer externen, FAT-formatierten, 3 TByte großen mechanischen Festplatte. Hier soll Testdisk die Partitionstabelle wiederherstellen. Zudem löschen wir rund 600 GByte an gemischten Daten, die wir mit Photorec wiederherstellen möchten. Als Testhardware diente ein aktuelles Notebook mit Haswell-CPU und 8 GByte RAM.

Erste Schritte

Zur Datenwiederherstellung starten Sie das Live-Image Ihrer Wahl und aktualisieren zunächst einmal Testdisk auf die neueste Version 7.1, die zusätzliche Dateitypen erkennt sowie eine GUI für Photorec mitbringt. Dann starten Sie Testdisk mit Root-Rechten; die Navigation innerhalb der Programmmenüs erfolgt mithilfe der Pfeiltasten. Im ersten Menü gestatten Sie Testdisk das Anlegen einer Logdatei (Abbildung 1).

Abbildung 1: Zum Einstieg macht das Anlegen einer Logdatei immer Sinn.

Nach der Bestätigung mit [Eingabe] listet Testdisk die gefundenen Partitionen auf – die Informationen dazu bezieht es aus dem BIOS beziehungsweise bei UEFI. Hier wählen Sie die zu reparierende Partition aus und bestätigen die Voreinstellung Proceed wiederum mit der Eingabetaste (Abbildung 2). Daraufhin versucht das Programm den Partitionstyp zu erkennen (Abbildung 3). Der Standardeintrag Intel erweist sich normalerweise als der richtige, wie auch der Text unten in unserem Fall bestätigt.

Abbildung 2: Bei der Auswahl der zu behandelnden Festplatte ist Vorsicht geboten.

Abbildung 3: Intel ist meist die richtige Wahl.

Partitionstabelle retten

Nach einer erneuten Bestätigung bietet Testdisk seine Werkzeuge an. Um defekte Partitionstabellen und gelöschte Daten kümmern sich die beiden oberen Einträge, Analyse und Advanced. Mit den weiteren Optionen ändern Sie die Plattengeometrie, schreiben einen neuen MBR oder löschen die Partitionstabelle.

Im Fall der zerstörten Partitionstabelle beginnen Sie mit einer Analyse (Abbildung 4). Nach dem Bestätigen der Voreinstellung zeigt Testdisk in unserem Fall, sofort das Analyseergebnis. Wie Sie in Abbildung 5 sehen, erkennt es die drei Partitionen der Platte korrekt, allerdings die erste gleich zweimal. Nun wechseln Sie mit Quit zurück ins Hauptmenü und wählen dort Advanced an. Im nächsten Fenster moniert Testdisk, der Bootsektor sei beschädigt. Nun wählen Sie Boot und erhalten als eine der Optionen Rebuild BS, also das Wiederherstellen des Bootsektors. Nach der Bestätigung braucht Testdisk dazu einen Moment. Sobald es den neuen Bootsektor erstellt hat, müssen Sie noch mit Write bestätigen, dass es ihn auch wirklich auf die Platte schreiben soll (Abbildung 6).

Abbildung 4: Im ersten Schritt steht eine Analyse der zu behandelnden Platte an.

Abbildung 5: Testdisk hat hier einen ungültigen Bootsektor entdeckt.

Abbildung 6: Testdisk kann den neu erstellten Bootsektor nun auf die Platte schreiben.

Danach erscheinen alle drei Partitionen wieder korrekt, sogar mit ihrem ursprünglichen Namen (Abbildung 7) – es waren ja keine Daten gelöscht, sondern die Partition lediglich unsichtbar für das Dateisystem. Sie können nun mit Quit ins Testdisk-Hauptmenü zurückkehren, das Programm beenden und die Platte nach einem Neustart wieder benutzen. Bei offenen Fragen hilft unter Umständen das Log weiter, das als testdisk.log im Home-Verzeichnis liegt.

Daten wiederherstellen

Nun gehen wir mit Photorec daran, die von uns mittels rm -rf gelöschten Daten aus der zweiten Partition wiederherzustellen. Die Version ohne GUI starten Sie einfach in einem Terminal. Es erscheinen Dialoge, die jenen aus Testdisk zum Verwechseln ähneln; auch das Bedienschema folgt demselben Muster. Im ersten Fenster wählen Sie die Festplatte, auf der der Datenverlust stattfand, bestätigen mit Proceed und wählen die betroffene Partition aus (Abbildung 7).

Nun können Sie sofort suchen, unter Options Voreinstellungen treffen oder bei den Dateioptionen nur nach bestimmten Datentypen suchen lassen. Haben Sie beispielsweise nur JPGs gelöscht, müssen Sie Photorec nicht nach allen 400 möglichen Datentypen stöbern lassen. Nach der Auswahl der zu restaurierenden Datentypen starten Sie die Suche und wählen das entsprechende Dateisystem aus. Mit den Pfeiltasten weisen Sie Photorec zudem eine Partition zum Wiederherstellen der Daten zu und bestätigen mit C. Photorec beginnt nun mit der Wiederherstellung (Abbildung 8).

Abbildung 7: Rettung geglückt: Alle drei Partitionen sind wieder sichtbar.

Abbildung 8: Photorec signalisiert während der Wiederherstellung seinen Fortschritt.

Im Test benötigte das Programm für das Restaurieren der gelöschten 600 GByte Daten mit zehn verschiedenen Dateitypen etwa sechs Stunden. Dabei stellte Photorec rund 214?000 Dateien wieder her, vorwiegend der Typen JPG, PNG, PDF und MP3 (Abbildung 9). Die geretteten Dateien lagert das Tool in durchnummerierten Ordnern mit der Bezeichnung recup_dir. Die einzelnen Dateien tragen allerdings kryptische Dateinamen wie f12345678.jpg – unvermeidlich, da die Software unterhalb der Dateisystemebene arbeitet (Abbildung 10).

Abbildung 9: Alle gut 200 000 gelöschten Dateien hat Photorec wieder aufgefunden.

Abbildung 10: Die kryptischen Namen der geretteten Dateien verursachen viel Nacharbeit.

Die grafische Variante QPhotorec (Abbildung 11) liegt den Linux-Versionen von Testdisk noch nicht bei. Sie findet sich in Version 1.0 aber schon in der aktuellen Ausgabe der mittlerweile kostenpflichtigen Parted-Magic-CD [7], für DEB- oder RPM-basierte Distributionen stehen Binärpakete zum Download bereit. Aufgrund des frühen Entwicklungsstadiums sollten Sie QPhotorec allerdings derzeit tunlichst noch nicht auf echte Daten ansetzen.

Abbildung 11: Photorecs GUI-Variante QPhotorec befindet sich noch in der Entwicklung.

Fazit

Das dynamische Duo Testdisk und Photorec erledigt bei entsprechender Vorbereitung das Restaurieren von defekten Partitionstabellen und gelöschten Dateien mit Bravour. Dabei brauchen sich die beiden freien Werkzeuge im Rahmen der gestellten Aufgaben nicht hinter Bezahlsoftware für Windows zu verstecken. Anstatt für Photorec, das in seinen Optionen ohnehin sehr übersichtlich ausfällt, würde man sich eher für das komplexe Testdisk eine grafische Oberfläche wünschen. Eine solche könnte insbesondere dem Laien bei der Datenrettung den Umgang mit der Vielfalt an teils mächtigen Funktionen erleichtern. In jedem Fall sollten Sie vor dem Einsatz von Testdisk dessen durchweg gute Dokumentation [8] zu Rat ziehen.