Löschen Sie versehentlich Dateien und Partitionen auf einem Rechner, benötigen Sie lediglich zwei Tools, um nach Spuren der Daten zu fahnden.
An die Tatsache, dass Festplatten nach einer bestimmten Zeit kaputt gehen, haben sich die meisten Anwender inzwischen gewöhnt. Manchmal begleitet ein deutliches Geräusch das Problem mit der Hardware. Selbst, wenn kein Defekt existiert, kommt es in manchen Fällen trotzdem zu einem Ausfall. Dann fehlen etwa Daten oder sogar eine Partition.
Diese Probleme bekommen Sie mit geeigneten Tools der Testdisk-Suite in den Griff. Es besteht aber die Chance, das Löschen quasi rückgängig zu machen, denn die Daten liegen noch auf der Festplatte – sie existieren unter anderem selbst dann weiter, wenn Sie den virtuellen Papierkorb auf dem Desktop leeren.
Allerdings bietet die Suite keine unbegrenzten Möglichkeiten: Das aufwendige Verfahren nimmt unter Umständen viel Zeit in Anspruch, sodass es gilt, abzuwägen, wann sich eine Rettungsaktion lohnt und zu wissen, wieso es nicht immer gelingt, die Daten zu retten.
Installation
Bei diversen Distributionen wie Sabayon, Fedora oder Ubuntu finden Sie Testdisk [1] und Photorec [2] im Paket testdisk (Listing 1). Gelingt die Installation aus irgendeinem Grund nicht, dann weichen Sie auf ein Betriebssystem auf einer Live-CD wie SystemRescueCD [3] oder Parted Magic [4] aus, die beide Programme bereits mitbringen.
Listing 1
### Debian und Derivate $ sudo aptitude install testdisk ### Fedora und Spins # dnf install testdisk ### OpenSuse # zypper install testdisk
Als Alternative zur Live-CD bietet sich ein USB-Stick an. Mit dem Befehl lsblk ermitteln Sie in einem Terminal den Gerätenamen des USB-Sticks. Anschließend kopieren Sie mit dem folgenden Befehl die ISO-Datei auf den USB-Stick:
$ dd if=Image-Datei of=Geräte status=progress; sync
Nachdem Fertigstellen des Bootmediums starten Sie den PC von dem erstellten Medium und beginnen mit dem Wiederherstellen.
Was passiert beim Löschen?
Referenzen ermöglichen es Betriebssystemen, herauszufinden, wo sich die Daten einer Datei befinden. Für jede Datei und jeden Ordner existieren Informationen, aus denen das Betriebssystem schließen kann, wo die Daten beginnen beziehungsweise aufhören.
Beim Löschen der Datei entfernt das Betriebssystem die Information und gibt die zugehörigen Sektoren wieder frei, die die Datei beherbergen. Solange das Betriebssystem jedoch die Sektoren nicht überschreibt, die diese Daten enthalten, lässt sich die “gelöschte” Datei wiederherstellen. Wurde die Datei bereits zum Teil überschrieben, gelingt es in der Regel nur noch, Fragmente zu retten.
SSD-Festplatten funktionieren anders: Sie löschen Daten sofort unwiderruflich. Grundsätzlich ist das System nicht in der Lage, Daten in Flash-Zellen zu überschreiben: Um neue Daten zu schreiben, löscht die Hardware zuerst den Inhalt der Daten im Speicher [5].
Falls Sie eine ganze Partition auf einer herkömmlichen Festplatte aus Versehen formatiert haben, bedeutet auch das noch nicht, dass die Daten verlorengehen. Üblicherweise geschieht das Formatieren des Laufwerks im High Level, auch als “Quick Format” bekannt. @KL:Das bedeutet, dass der Vorgang nicht alle Daten auf der Platte löscht. Stattdessen bereitet das System den Datenträger vor, indem es die Informationen darüber entfernt, wo sich Daten befinden. Zusätzlich schreibt es ein Dateisystem, die Größe der Cluster und das Label der Partition auf das Laufwerk.
Daneben existiert die Low-Level-Formatierung, die Hersteller für Festplatten verwenden, um sie anschließend zu verkaufen. Dabei gehen alle Daten auf dem Laufwerk unwiderruflich verloren. Dieser Vorgang dauert länger, weil er jeden Sektor einzeln initialisiert. Das macht es selbst für teure Spezialsoftware unmöglich, die Daten wiederherzustellen [6].
Vorkehrungen treffen
Sobald Sie Dateien oder Ordner ungewollt gelöscht haben, gilt als Erstes: Benutzen Sie dieses Medium nicht mehr. Jede weitere Aktion führt unter Umständen dazu, dass das System die gelöschten Dateien zum Teil überschreibt oder gänzlich vernichtet.
Für verlorengegangene Partitionen gilt dasselbe: Hängen Sie die Partition aus und trennen Sie unter Umständen sogar die Platte vom Stromnetz, falls Sie nicht vorhaben, mit dem Wiederherstellen direkt zu beginnen.
Darüber hinaus brauchen Sie zum Wiederherstellen genügend Platz auf einem anderen Datenträger, denn oft produzieren die Rettungswerkzeuge mehr Dateien, als Sie ungewollt gelöscht haben.
Von A bis Z
Das Wiederherstellen der Daten starten Sie mit dem Befehl photorec. Zu Beginn fordert das Programm Sie auf, ein Gerät als Quelle auszuwählen. Danach markieren Sie über die Pfeiltasten die Partition, auf der sich die entfernten Dateien und Ordner befinden, und springen mit der linken beziehungsweise rechten Pfeiltaste zu den Optionen (Abbildung 1).
Abbildung 1: Mit diesen Optionen haben wir die Tests unter Photorec vorgenommen.
Unter Paranoid wählen Sie am besten Ja aus und aktivieren Brute-Force. Diese Option sorgt in der Regel dafür, dass das Tool mehr Daten rettet. Allerdings ist diese Option sehr rechenintensiv, da die Funktion versucht, selbst dann die Dateien wiederherzustellen, wenn deren Fragmente an unterschiedlichen Orten auf der Platte liegen [7]. Des Weiteren stellen Sie hier ein, ob Sie kaputte Dateien behalten möchten. In der Regel genügt ein Nein, denn hierbei handelt es sich um Dateien, die kein Programm mehr erkennt. Die Option Low Memory hilft bei Systemen mit wenig Arbeitsspeicher. Sie sollten sie nur aktivieren, wenn während des Wiederherstellens Abstürze auftreten.
Neben den Optionen spielt das Untermenü File Opt eine wichtige Rolle, da Sie dort die Dateitypen auswählen, nach denen das Programm sucht (Abbildung 2). Dazu markieren Sie mit den Pfeiltasten eine Zeile und drücken dann die Leertaste. Es empfiehlt sich, die Endung .txt in die Suche aufzunehmen, um Code wiederherzustellen, den Sie in Textdateien abgespeichert haben.
Abbildung 2: Photorec erkennt über 480 Dateitypen, wobei Sie nicht alle Formate auswählen sollten. So erhöhen Sie das Tempo beim Wiederherstellen und reduzieren die Anzahl der gefundenen Dateien.
Über [B]+ speichern Sie die Einstellungen zu den Dateitypen; mit [S] aktivieren beziehungsweise deaktivieren Sie alle Einträge. Per Quit gelangen Sie zurück zum Hauptmenü.
Anschließend drücken Sie auf Search, um das Dateisystem der Partition auszuwählen, auf der die gelöschten Dateien gespeichert waren (Abbildung 3). Danach legen Sie fest, ob Sie nur gelöschte Dateien (free) oder alle Dateien (whole) wiederherstellen wollen.
Abbildung 3: Das Programm ermittelt automatisch das richtige Dateisystem der Quellpartition.
Zu guter Letzt geben Sie den Pfad zum Ziel an, auf dem Sie die geretteten Dateien speichern möchten. Während des Wiederherstellens liest das Programm jeden Sektor ein, wobei sich manchmal fehlerhafte Sektoren einschleichen, die zum Abbruch des Vorgangs führen (Abbildung 4). In diesen Fall müssen Sie das Dateisystem der Partition reparieren, bevor Sie mit dem Wiederherstellen beginnen:
$ fsck Geräte
Abbildung 4: Trifft die Software auf fehlerhafte Sektoren, bricht das Programm die Suche ab.
Für die gefundenen Dateien legt Photorec eigene Dateinamen fest, die mit dem Buchstaben “f” beginnen und die das Programm zusätzlich mit einer mehrstelligen Ziffer versieht. Das erschwert es, auf den Inhalt der Daten zu schließen. Mit dem Werkzeug Grep haben Sie unter Umständen die Chance, Dateien ausfindig zu machen, wenn Sie wissen, dass die gesuchten Files Text enthalten.
Sollte das Tool zu wenige Dateien finden, hilft unter Umständen der Expertenmodus weiter. Hier besteht die Möglichkeit, die Größe der Sektoren der Partition unter Geometry | Sector Size einzustellen (Abbildung 5). Es genügt, den vorgeschlagenen minimalen Wert zu übernehmen.
Abbildung 5: Beim Einstellen der Größe der Sektoren empfiehlt es sich, mit Vorsicht zu arbeiten.
Verlorene Partition
Partitionen stellen Sie mit Testdisk wieder her. Nachdem Sie es über testdisk in einem Terminal gestartet haben, wählen Sie mit den Pfeiltasten Create a new log file, um eine Log-Datei zu erstellen. Darin protokolliert das Programm, was es bei der Analyse der Festplatten gefunden hat und welche Aktionen Sie vorgenommen haben.
Anschließend wählen Sie aus, auf welcher Festplatte sich die Partition befand, und fahren mit einem Druck auf die Eingabetaste fort. Im nächsten Schritt fragt das Werkzeug den Typ der Partitionstabelle ab. In der Regel reicht es aus, den von der Software ermittelten Typ zu übernehmen. Im darauf folgenden Hauptmenü stehen Funktionen zum Wiederherstellen von Partitionen oder Ändern der Geometrie der Festplatte bereit (Abbildung 6). Haben Sie etwa eine Partition mit Fdisk gelöscht, ist es ziemlich leicht, sie wiederherzustellen.
Abbildung 6: Testdisk sucht nach verlorenen Partitionen oder ändert auf Wunsch die Zylindergröße.
Dazu wechseln Sie zum Menüpunkt analyse und bestätigen die Auswahl mit [Eingabe]+. Das Programm listet zunächst die vorhandenen Partitionen auf, wobei Sie mit der Schnellsuche (Quick Search), weitere, nicht angezeigte Partitionen aufspüren. Nach dem Ende der Schnellsuche listet die Software alle gefundenen Bereiche auf (Abbildung 7). Um die Partition zur Partitionstabelle hinzuzufügen, drücken Sie auf den entsprechenden Eintrag [Eingabe]+. Findet die Schnellsuche eine Partition, die Sie nicht mehr benötigen, dann navigieren Sie zunächst mit den Pfeiltasten zum entsprechenden Eintrag und drücken anschließend [D].
Abbildung 7: Grüne Zeilen stehen für primäre Partitionen, während weiße Zeilen erweiterte beziehungsweise logische Partitionen repräsentieren.
Um sicherzustellen, dass es sich um die richtige Partition handelt, die Sie wieder einbinden wollen, schauen Sie sich via [P]+ die Dateien auf der gefundenen Partition an. Mit [Q]+ gelangen Sie wieder zur Liste zurück. Mit [Eingabe] springen Sie zum nächsten Schritt. In diesem Dialog besteht die Möglichkeit, die Daten für die gefundene Partition auf die Festplatte zu schreiben, indem Sie Write mit den Pfeiltasten auswählen und anschließend mit der Eingabetaste bestätigen. Diese Aktion dauert normalerweise nicht lang, sodass nach kurzer Zeit die gewünschte Partition wieder vorliegt.
Allerdings hat dieses Analysewerkzeug ebenfalls seine Grenzen: Wurde die verlorene Partition formatiert oder sogar anschließend beschrieben, kommen Sie mit dieser Software nicht weiter. Es bleibt dann nur noch Photorec, das allerdings bei einer Boot-Partition nutzlos ist: Es ändert ja die Namen der gefundenen Dateien, sodass Sie für eine funktionierende Boot-Partition diese erst einmal umbenennen müssten.
Manchmal identifiziert das Programm die gewünschte Partition nicht sofort. Aus diesem Grund bringt Testdisk eine Tiefensuche mit (Abbildung 8). Diese Funktion steht nach der Schnellsuche bereit, indem Sie irgendeine Partition markieren und die Auswahl mit der Eingabetaste bestätigen. Anschließend lösen Sie mit Deeper Search die Suche aus (Abbildung 9).
Abbildung 8: Hat die Schnellsuche die gewünschte Partition gefunden, schreiben Sie über Write die Daten der Partition in die Partitionstabelle ein.
Abbildung 9: Hier nehmen Sie gelöschte Partitionen in die Partitionstabelle auf, indem Sie mit den Pfeiltasten den Zustand von “gelöscht” auf den entsprechenden Typ ändern.
Im Praxistest
Im Test versuchten wir, etwa 75 MByte Daten auf einem gelöschten Speichermedium mithilfe von Photorec wiederherzustellen. Zu den Testdateien gehörten PDF-, Word- und LibreOffice-Dokumente, JPEG- und PNG-Bilder, Musikdateien, Zip-Archive, HTML-, CSS-, und Javascript-Dateien sowie Java-Code, der in Textdateien mit der Endung .java abgespeichert war. Als Speichermedien verwendeten wir je einen USB-Stick, eine Micro-SD-Karte und eine SATA-Festplatte.
Insgesamt verlief der Test zufriedenstellend. Es war möglich, die meisten der insgesamt 63 gelöschten Dateien vom USB-Stick zu retten, wobei das Tool knapp zwei Prozent der Dateien nur teilweise wiederherstellte. Bei den Dateien auf der Micro-SD-Karte lag die Quote der teilweise geretteten Daten bei sechs Prozent. Vor allem bei einigen Musikdateien fehlte das Ende. Auf der Festplatte fand das Programm etwa drei Prozent der Dateien nicht mehr. Das betraf vor allem Dateien, die Programmcode beinhalteten. Die restlichen Dateien stellte das Tool auf allen Geräten fehlerfrei wieder her.
In einem zweiten Test bespielten wir eine Partition auf USB-Stick, SD-Karte und Festplatte mit den Testdaten und löschten beziehungsweise formatierten diese dann mit dem KDE Partition Manager [8]. Bei diesem Szenario meldete Testdisk die Partition als beschädigt, weshalb stattdessen Photorec zum Einsatz kam. Es erkannte allerdings die neue Partition auf dem USB-Stick nicht, auch der bereits genannte Befehl zum Überprüfen der Partition half hier nicht weiter. Dagegen identifizierte Photorec die Partitionen sowohl auf der Micro-SD-Karte als auch auf der Festplatte.
Beim Wiederherstellen schnitt diesmal die SD-Karte am schlechtesten ab: Von den insgesamt 63 Dateien stellte die Software lediglich drei wieder her. Bei der Festplatte hingegen gelang es, die meisten Dateien einwandfrei zu retten.
Fazit
Photorec und Testdisk erlauben es, die eine oder andere Partition zu retten und gelöschte Daten wieder ausfindig zu machen. Einen Strich durch die Rechnung machen Ihnen lediglich beschädigte Dateisysteme. Testdisk ist ein mächtiges Tool, dessen Funktionen weit über das hier gezeigte hinaus reichen. Darüber hinaus besteht die Möglichkeit, mit einigen Kniffen die Trefferquote zu erhöhen [9].
Neben den hier besprochenen Programmen gibt es noch Ddrescue [10], das Ihnen bei Problemen mit der Hardware weiterhilft, wie etwa bei einem nicht mehr funktionierenden Schreib- und Lesekopf. Üblicherweise kommt dieses Tool zusammen mit Parted [11] auf der Konsole zum Einsatz.
Infos
-
Testdisk: http://www.cgsecurity.org/wiki/TestDisk
-
Photorec: http://www.cgsecurity.org/wiki/PhotoRec
-
SystemRescueCD: https://www.system-rescue-cd.org/SystemRescueCd_Homepage
-
Parted Magic: https://partedmagic.com
-
Datenverlust: http://www.howtogeek.com/125521/htg-explains-why-deleted-files-can-be-recovered-and-how-you-can-prevent-it
-
Low Level vs. High Level: https://www.sweetwater.com/insync/differences-between-low-high-level-formatting
-
Brute Force: https://www.dpreview.com/forums/post/39757744
-
KDE Partition Manager: https://www.kde.org/applications/system/kdepartitionmanager
-
Photorec-Wiki: http://www.cgsecurity.org/wiki/PhotoRec_Step_By_Step
-
Ddrescue: http://forensicswiki.org/wiki/Ddrescue
