Mit den vielen Datenrettungsprodukten, die anbieten, Ihre gelöschten Dateien in wenigen Minuten wiederherzustellen, haben Sie sich jemals gefragt, wie genau das funktioniert und warum es überhaupt möglich ist? In diesem Artikel werden wir uns ansehen, was Windows tut, wenn eine Datei gelöscht wird, und was diese Tools tun, um es rückgängig zu machen.
Inhalt
- Der Aufstieg von Undelete-Tools
- Content-Aware Recovery
- Datenwiederherstellung ist eine Lüge: SSD-Laufwerke
Der Aufstieg von Undelete-Tools
Also haben wir herausgefunden, dass die Datei irgendwo auf der Festplatte existiert, aber der entsprechende Eintrag im Dateisystem sie als „gelöscht“ markiert. Können wir diese Markierung nicht einfach entfernen?
Das war die Idee eines der ersten Datenrettungstools für (damals) Microsoft DOS. Das Tool hieß „undelete“ und tat genau das: Es scannte das Dateisystem, um Dateien zu finden, die als „gelöscht“ markiert waren, und setzte die entsprechende Flagge zurück. (Damals verloren gelöschte Dateien das erste Zeichen in ihrem Namen, sodass Sie nach dem Wiederherstellen eine „~ocument.txt“ anstelle von „document.txt“ erhalten haben.)
Das Problem bei diesem Ansatz? Es gibt viele. Erstens ändert sich das Dateisystem in modernen Multitasking-Betriebssystemen ständig. Neue temporäre Dateien werden erstellt, Log- und Registrierungsdateien werden ständig von vielen Systemaufgaben und Hintergrundanwendungen geschrieben. Als Ergebnis werden die ursprünglichen Dateisystemeinträge, die auf die gelöschte Datei zeigen, schnell veraltet sein, wobei einige oder alle Einträge vom Betriebssystem beansprucht werden, um Informationen über die neuen Dateien zu speichern.
Beachten Sie, dass die ursprünglich gelöschte Datei zu diesem Zeitpunkt möglicherweise immer noch auf der Festplatte liegt und der gesamte Speicherplatz, der früher dieser Datei gehörte, immer noch nicht beansprucht wurde, während der Dateisystemeintrag, der auf diese Datei zeigt, möglicherweise nicht mehr existiert.
Können Sie ein Problem erkennen? Deshalb sind wir jetzt bei der zweiten Generation von Datenrettungstools.
Content-Aware Recovery
Die nächste Generation von Datenrettungstools ist nicht mehr auf Daten aus dem Dateisystem angewiesen. Moderne Tools scannen zwar immer noch das Dateisystem und stellen gelöschte Dateien wieder her, wenn Informationen darüber noch verfügbar sind, aber sie können auch andere Quellen nutzen, um gelöschte Dateien zu entdecken. Hier kommt die inhaltsbasierte Wiederherstellung ins Spiel!
Datenrettungsprodukte der modernen Zeit wie RS File Recovery oder RS Partition Recovery gehen außergewöhnliche Wege, um Ihre Daten wiederherzustellen. Sie scannen die gesamte Oberfläche Ihrer Festplatte auf Spuren gelöschter Daten. Wonach suchen sie genau? So funktioniert es.
Zunächst scannt ein inhaltsbasiertes Tool das Dateisystem. Selbst wenn keine Informationen über die von Ihnen gelöschte Datei verfügbar sind, ermöglicht das Scannen des Dateisystems den Aufbau einer Karte von Festplattenblöcken, die zu anderen (vorhandenen) Dateien gehören, und schließt sie von weiteren Scans aus. Das ist klug, denn eine typische Verbraucherfestplatte ist zu mehr als der Hälfte voll, so dass das Scannen des Dateisystems in wenigen Sekunden Sie eine Stunde oder mehr des Scannens der tatsächlichen Festplatte sparen kann.
Dann beginnt das Tool damit, die Festplatte zu lesen und Sektoren zu scannen, die nicht als von anderen Dateien belegt markiert sind, Block für Block. Jeder vom Laufwerk gelesene Block wird gegen eine Datenbank gescannt, die viele charakteristische Signaturen enthält, die den Block als Beginn eines bestimmten Dateityps identifizieren können. Zum Beispiel beginnen JPEG-Bilder immer mit „JFIF“, während PDF-Dateien am Anfang „%PDF%“ haben. (Natürlich ist dies wieder eine Vereinfachung, da die tatsächlich verwendeten Signaturen binär sind).
Wenn eine bestimmte Signaturenübereinstimmung gefunden wird, führt das Tool eine Sekundärprüfung durch, um festzustellen, ob es sich um einen zufälligen Vorfall handelt oder ob die Signatur tatsächlich den Beginn einer Datei bedeutet. Diese Sekundärprüfung ist im Wesentlichen eine Überprüfung des Dateiheaders in einem bestimmten Format. Wenn die Prüfung bestanden ist, analysiert das Datenrettungstool den Header, um die Länge der Datei zu bestimmen. Nach Berechnung der Länge der Datei liest das Tool die erforderliche Anzahl von Blöcken von der Festplatte und speichert sie in einer neuen Datei auf einer anderen Festplatte.
Klingt großartig, aber… sehen Sie ein Problem? Diese Methode funktioniert perfekt, wenn alle Dateien auf Ihrer Festplatte in soliden, zusammenhängenden Blöcken gespeichert sind. Aber was ist, wenn sie auf der Festplatte in mehreren kleinen Stücken verstreut sind, oder anders ausgedrückt, fragmentiert sind? In diesem Fall kann die inhaltsbasierte Wiederherstellung fehlschlagen. Um mehr über die Wiederherstellung fragmentierter Dateien zu erfahren, lesen Sie unseren anderen Artikel: Wiederherstellung fragmentierter Dateien.
Datenwiederherstellung ist eine Lüge: SSD-Laufwerke
Erinnerst du dich daran, wie ich sagte, dass Windows Dateien löscht, ohne ihren Inhalt tatsächlich zu nullen? Ich habe gelogen. Der Inhalt gelöschter Dateien bleibt tatsächlich unberührt, aber nur auf herkömmlichen (magnetischen) Festplatten und einigen Arten von Solid-State-Medien wie Speicherkarten und USB-Flash-Laufwerken. Aber was ist mit den superschnellen SSD-Laufwerken? Nun, das ist eine andere Geschichte.
Wenn Sie eine Datei von einem SSD-Laufwerk löschen, wird Windows trotz der Tatsache, dass das Laufwerk viele Male schneller als magnetische Festplatten ist, den Inhalt nicht löschen. Das Protokoll ist genau dasselbe, mit einer Ergänzung: Windows sendet einen ?TRIM? Befehl an das Laufwerk, der im Grunde genommen dem Controller mitteilt, dass diese und jene Datenblöcke nicht mehr verwendet werden. Von nun an ist das SSD-Laufwerk frei, alles zu tun, was es will, mit diesen Datenblöcken. Es kann sie löschen, um nachfolgende Schreibvorgänge schneller zu machen, sie mit anderen logischen Datenblöcken austauschen, um den Verschleiß gleichmäßig zu verteilen (?Wear Leveling?) oder sie sogar in eine spezielle nicht adressierbare Zone von reservierten Datenblöcken verschieben (wiederum zum Zweck des Wear Leveling).
Als Ergebnis ist der gesamte Inhalt der von einem SSD-Laufwerk gelöschten Datei so gut wie verschwunden, sobald er gelöscht wurde. Sicher, ihr Inhalt kann für einige Zeit irgendwo auf dem SSD-Laufwerk verbleiben. Der SSD-Controller gibt jedoch immer Nullen zurück, wenn Sie versuchen, diesen Block zu lesen. Es gibt keinen Weg daran vorbei, egal wie tief Sie gehen. Selbst spezialisierte Imaging-Hardware, die in vielen forensischen Labors verwendet wird, kann getrimmte Daten nicht wiederherstellen.
Alles ist verloren? Nicht ganz. Einige SSD-Laufwerke unterstützen TRIM nicht, und manchmal, selbst wenn sie es tun, kann das SSD möglicherweise nicht ordnungsgemäß konfiguriert sein, um den TRIM-Befehl zu akzeptieren. Wenn Ihr SSD-Laufwerk mit FAT32 (oder exFAT) formatiert ist, sendet Windows den TRIM-Befehl nicht. Und wenn das Dateisystem beschädigt wird, werden alle verlorenen Daten nicht getrimmt. Es lohnt sich also immer noch, ein gutes Datenwiederherstellungstool auf Ihrem SSD-Laufwerk auszuführen, wie z.B. Partition Recovery, und zu sehen, was noch verfügbar ist.