Warum und wie gelöschte Dateien wiederhergestellt werden können

Mit den vielen Datenrettungsprodukten, die anbieten, Ihre gelöschten Dateien in wenigen Minuten wiederherzustellen, haben Sie sich jemals gefragt, wie genau das funktioniert und warum es überhaupt möglich ist? In diesem Artikel werden wir uns ansehen, was Windows tut, wenn eine Datei gelöscht wird, und was diese Tools tun, um es rückgängig zu machen.

Warum und wie gelöschte Dateien wiederhergestellt werden können

Inhalt

  1. Der Aufstieg von Undelete-Tools
  2. Content-Aware Recovery
  3. Datenwiederherstellung ist eine Lüge: SSD-Laufwerke

Der Aufstieg von Undelete-Tools

Also haben wir herausgefunden, dass die Datei irgendwo auf der Festplatte existiert, aber der entsprechende Eintrag im Dateisystem sie als „gelöscht“ markiert. Können wir diese Markierung nicht einfach entfernen?

Das war die Idee eines der ersten Datenrettungstools für (damals) Microsoft DOS. Das Tool hieß „undelete“ und tat genau das: Es scannte das Dateisystem, um Dateien zu finden, die als „gelöscht“ markiert waren, und setzte die entsprechende Flagge zurück. (Damals verloren gelöschte Dateien das erste Zeichen in ihrem Namen, sodass Sie nach dem Wiederherstellen eine „~ocument.txt“ anstelle von „document.txt“ erhalten haben.)

Das Problem bei diesem Ansatz? Es gibt viele. Erstens ändert sich das Dateisystem in modernen Multitasking-Betriebssystemen ständig. Neue temporäre Dateien werden erstellt, Log- und Registrierungsdateien werden ständig von vielen Systemaufgaben und Hintergrundanwendungen geschrieben. Als Ergebnis werden die ursprünglichen Dateisystemeinträge, die auf die gelöschte Datei zeigen, schnell veraltet sein, wobei einige oder alle Einträge vom Betriebssystem beansprucht werden, um Informationen über die neuen Dateien zu speichern.

Beachten Sie, dass die ursprünglich gelöschte Datei zu diesem Zeitpunkt möglicherweise immer noch auf der Festplatte liegt und der gesamte Speicherplatz, der früher dieser Datei gehörte, immer noch nicht beansprucht wurde, während der Dateisystemeintrag, der auf diese Datei zeigt, möglicherweise nicht mehr existiert.

Können Sie ein Problem erkennen? Deshalb sind wir jetzt bei der zweiten Generation von Datenrettungstools.

Content-Aware Recovery

Die nächste Generation von Datenrettungstools ist nicht mehr auf Daten aus dem Dateisystem angewiesen. Moderne Tools scannen zwar immer noch das Dateisystem und stellen gelöschte Dateien wieder her, wenn Informationen darüber noch verfügbar sind, aber sie können auch andere Quellen nutzen, um gelöschte Dateien zu entdecken. Hier kommt die inhaltsbasierte Wiederherstellung ins Spiel!

Content-Aware Recovery

Datenrettungsprodukte der modernen Zeit wie RS File Recovery oder RS Partition Recovery gehen außergewöhnliche Wege, um Ihre Daten wiederherzustellen. Sie scannen die gesamte Oberfläche Ihrer Festplatte auf Spuren gelöschter Daten. Wonach suchen sie genau? So funktioniert es.

Zunächst scannt ein inhaltsbasiertes Tool das Dateisystem. Selbst wenn keine Informationen über die von Ihnen gelöschte Datei verfügbar sind, ermöglicht das Scannen des Dateisystems den Aufbau einer Karte von Festplattenblöcken, die zu anderen (vorhandenen) Dateien gehören, und schließt sie von weiteren Scans aus. Das ist klug, denn eine typische Verbraucherfestplatte ist zu mehr als der Hälfte voll, so dass das Scannen des Dateisystems in wenigen Sekunden Sie eine Stunde oder mehr des Scannens der tatsächlichen Festplatte sparen kann.

Dann beginnt das Tool damit, die Festplatte zu lesen und Sektoren zu scannen, die nicht als von anderen Dateien belegt markiert sind, Block für Block. Jeder vom Laufwerk gelesene Block wird gegen eine Datenbank gescannt, die viele charakteristische Signaturen enthält, die den Block als Beginn eines bestimmten Dateityps identifizieren können. Zum Beispiel beginnen JPEG-Bilder immer mit „JFIF“, während PDF-Dateien am Anfang „%PDF%“ haben. (Natürlich ist dies wieder eine Vereinfachung, da die tatsächlich verwendeten Signaturen binär sind).

Wenn eine bestimmte Signaturenübereinstimmung gefunden wird, führt das Tool eine Sekundärprüfung durch, um festzustellen, ob es sich um einen zufälligen Vorfall handelt oder ob die Signatur tatsächlich den Beginn einer Datei bedeutet. Diese Sekundärprüfung ist im Wesentlichen eine Überprüfung des Dateiheaders in einem bestimmten Format. Wenn die Prüfung bestanden ist, analysiert das Datenrettungstool den Header, um die Länge der Datei zu bestimmen. Nach Berechnung der Länge der Datei liest das Tool die erforderliche Anzahl von Blöcken von der Festplatte und speichert sie in einer neuen Datei auf einer anderen Festplatte.

Klingt großartig, aber… sehen Sie ein Problem? Diese Methode funktioniert perfekt, wenn alle Dateien auf Ihrer Festplatte in soliden, zusammenhängenden Blöcken gespeichert sind. Aber was ist, wenn sie auf der Festplatte in mehreren kleinen Stücken verstreut sind, oder anders ausgedrückt, fragmentiert sind? In diesem Fall kann die inhaltsbasierte Wiederherstellung fehlschlagen. Um mehr über die Wiederherstellung fragmentierter Dateien zu erfahren, lesen Sie unseren anderen Artikel: Wiederherstellung fragmentierter Dateien.

Datenwiederherstellung ist eine Lüge: SSD-Laufwerke

Erinnerst du dich daran, wie ich sagte, dass Windows Dateien löscht, ohne ihren Inhalt tatsächlich zu nullen? Ich habe gelogen. Der Inhalt gelöschter Dateien bleibt tatsächlich unberührt, aber nur auf herkömmlichen (magnetischen) Festplatten und einigen Arten von Solid-State-Medien wie Speicherkarten und USB-Flash-Laufwerken. Aber was ist mit den superschnellen SSD-Laufwerken? Nun, das ist eine andere Geschichte.

Wenn Sie eine Datei von einem SSD-Laufwerk löschen, wird Windows trotz der Tatsache, dass das Laufwerk viele Male schneller als magnetische Festplatten ist, den Inhalt nicht löschen. Das Protokoll ist genau dasselbe, mit einer Ergänzung: Windows sendet einen ?TRIM? Befehl an das Laufwerk, der im Grunde genommen dem Controller mitteilt, dass diese und jene Datenblöcke nicht mehr verwendet werden. Von nun an ist das SSD-Laufwerk frei, alles zu tun, was es will, mit diesen Datenblöcken. Es kann sie löschen, um nachfolgende Schreibvorgänge schneller zu machen, sie mit anderen logischen Datenblöcken austauschen, um den Verschleiß gleichmäßig zu verteilen (?Wear Leveling?) oder sie sogar in eine spezielle nicht adressierbare Zone von reservierten Datenblöcken verschieben (wiederum zum Zweck des Wear Leveling).

Als Ergebnis ist der gesamte Inhalt der von einem SSD-Laufwerk gelöschten Datei so gut wie verschwunden, sobald er gelöscht wurde. Sicher, ihr Inhalt kann für einige Zeit irgendwo auf dem SSD-Laufwerk verbleiben. Der SSD-Controller gibt jedoch immer Nullen zurück, wenn Sie versuchen, diesen Block zu lesen. Es gibt keinen Weg daran vorbei, egal wie tief Sie gehen. Selbst spezialisierte Imaging-Hardware, die in vielen forensischen Labors verwendet wird, kann getrimmte Daten nicht wiederherstellen.

Alles ist verloren? Nicht ganz. Einige SSD-Laufwerke unterstützen TRIM nicht, und manchmal, selbst wenn sie es tun, kann das SSD möglicherweise nicht ordnungsgemäß konfiguriert sein, um den TRIM-Befehl zu akzeptieren. Wenn Ihr SSD-Laufwerk mit FAT32 (oder exFAT) formatiert ist, sendet Windows den TRIM-Befehl nicht. Und wenn das Dateisystem beschädigt wird, werden alle verlorenen Daten nicht getrimmt. Es lohnt sich also immer noch, ein gutes Datenwiederherstellungstool auf Ihrem SSD-Laufwerk auszuführen, wie z.B. Partition Recovery, und zu sehen, was noch verfügbar ist.

Häufig gestellte Fragen

Gelöschte Dateien können wiederhergestellt werden, weil das Löschen einer Datei in der Regel nur bedeutet, dass der Speicherplatz, den die Datei einnimmt, als verfügbar markiert wird. Die eigentlichen Daten bleiben jedoch auf der Festplatte erhalten, bis sie von neuen Daten überschrieben werden. Mit speziellen Datenwiederherstellungsprogrammen können diese gelöschten Dateien wiederhergestellt werden, solange sie nicht überschrieben wurden.
Die Wiederherstellung gelöschter Dateien erfolgt in der Regel durch den Zugriff auf den Papierkorb oder den Müllordner des Betriebssystems. Wenn eine Datei dort noch vorhanden ist, kann sie einfach wiederhergestellt werden, indem sie aus dem Papierkorb zurück in den ursprünglichen Speicherort verschoben wird. Wenn die Datei jedoch endgültig gelöscht wurde, kann sie möglicherweise mit speziellen Datenwiederherstellungstools oder -programmen wiederhergestellt werden. Diese Tools scannen den Speicherplatz auf dem Computer nach gelöschten Dateien und versuchen, sie wiederherzustellen. Es ist jedoch wichtig zu beachten, dass nicht alle gelöschten Dateien erfolgreich wiederhergestellt werden können.
Es gibt verschiedene Methoden, um gelöschte Dateien wiederherzustellen. Eine Möglichkeit ist die Verwendung von Datenwiederherstellungssoftware wie Recuva, EaseUS Data Recovery Wizard oder Stellar Data Recovery. Diese Programme können gelöschte Dateien von Festplatten, Speicherkarten oder USB-Sticks wiederherstellen. Eine andere Methode ist die Verwendung von Backups, falls vorhanden. Wenn regelmäßige Backups erstellt wurden, können gelöschte Dateien aus dem Backup wiederhergestellt werden. Es ist auch möglich, professionelle Datenrettungsdienste in Anspruch zu nehmen, wenn die anderen Methoden nicht erfolgreich sind.
Ja, es gibt Einschränkungen und Risiken bei der Wiederherstellung gelöschter Dateien. Zum einen hängt die Möglichkeit der Wiederherstellung davon ab, ob die gelöschten Dateien noch auf dem Speichermedium vorhanden sind oder bereits überschrieben wurden. Zudem können bestimmte Dateitypen oder verschlüsselte Dateien schwerer wiederherzustellen sein. Es besteht auch das Risiko, dass während des Wiederherstellungsprozesses weitere Daten beschädigt oder verloren gehen können. Es ist daher ratsam, professionelle Datenwiederherstellungsdienste in Anspruch zu nehmen, um das Risiko zu minimieren.
Aktualisiert:
5/117
Den Broosen

Geschrieben von Den Broosen

Autor und Website-Editor für RecoverySoftware. In seinen Artikeln teilt er seine Erfahrungen mit der Datenwiederherstellung auf einem PC und der sicheren Speicherung von Informationen auf Festplatten und RAID-Verbänden.
Hinterlasse einen Kommentar

Verwandte Artikel

Wiederherstellung fragmentierter Dateien
Wiederherstellung fragmentierter Dateien
Fragmentierung. Es beeinträchtigt die Leistung des Computers und macht Ihre Dateien weniger wiederherstellbar. Fragmentierung kann zu Ihrem schlimmsten Feind werden, wenn es darum geht, verlorene Daten wiederherzustellen. Warum passiert das, was kann getan werden, um fragmentierte Dateien wiederherzustellen und wie … Continue reading
Erstellen des Software-RAID mdadm in Linux
Erstellen des Software-RAID mdadm in Linux
Die Bedeutung einer zuverlässigen Datenspeicherung ist für jeden Benutzer offensichtlich. Besonders heutzutage, wenn die Menge der gespeicherten Daten in einem außergewöhnlichen Tempo wächst, unabhängig davon, ob es sich um persönliche Daten (Fotosammlungen und Videos) oder Unternehmensdaten (Finanz- und Projektunterlagen, wissenschaftliche … Continue reading
Wiederherstellen von Daten von formatierten Festplatten
Wiederherstellen von Daten von formatierten Festplatten
Um Informationen von formatierten Festplatten, USB-Sticks und Speicherkarten wiederherzustellen, ist die sorgfältige Auswahl eines Datenrettungstools erforderlich. Die Verwendung von Tools, die für eine andere Aufgabe konzipiert sind, kann zu unvorhersehbaren Ergebnissen führen. In diesem Artikel erklären wir die Unterschiede zwischen … Continue reading
Wie kann man Daten aus einem RAID 0 Array wiederherstellen?
Wie kann man Daten aus einem RAID 0 Array wiederherstellen?
Die „Null“-Formatierung von RAID-Arrays ist heutzutage aufgrund der minimalen Kosten der grundlegenden RAID-0-Konfiguration immer noch eine der beliebtesten Optionen. Was sind die Vor- und Nachteile dieses Formats? Mit welchen Problemen haben RAID-0-Benutzer am häufigsten zu kämpfen? Wie lassen sich Probleme … Continue reading
Online Chat with Recovery Software