Nach dem Festplatten-Crash: So funktioniert die Datenrettung Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


30.03.2011 Hans-Christian Dirscherl*

Nach dem Festplatten-Crash: So funktioniert die Datenrettung

Meine Daten sind weg! Eine Datenrettungssoftware findet zum Glück die meisten der verlorenen Daten wieder. Doch: Wie funktioniert Datenrettung eigentlich genau? Der Datenrettungsspezialist erklärt es.

Will man verlorene Daten von einer Festplatte wiederherstellen, muss man zunächst feststellen, ob es sich um ein Hardwareproblem handelt. Denn eine Software kann im Fall eines physischen Defektes der Festplatte keine Datenwiederherstellung zur Datenrettung durchführen.

Die Datenrettung bei einem physischen Defekt der Festplatte kann sehr teuer sein, da Spezialisten die Festplatte mit Hilfe spezieller Werkzeuge auseinander nehmen müssen, um das Problem zu beheben. Normalerweise geschieht dies in einem so genannten "Clean Room", in dem keinerlei Staub oder Schmutzpartikel in der Luft sind.

GRUNDWISSEN ZUR DATENRETTUNG: WIE WERDEN DATEN AUF DER FESTPLATTE GESPEICHERT? Die Formatierung einer Festplatte bereitet die organisierte Speicherung von Daten mit Hilfe eines Dateisystems vor. Der magnetische Platz auf der Festplatte wird in kleinere Speichereinheiten aufgeteilt. Dabei werden Sektoren zu je 512 Byte festgelegt, das ist die Standardgröße für die kleinste Speichereinheit.

Um die Festplatte effizienter zu gestalten, gruppiert das Betriebssystem diese Sektoren noch einmal in Blöcke, so genannte „Cluster“. Das Cluster-Konzept ist notwendig, damit das Betriebssystem mit großen Speichermedien umgehen kann.

Es ist durchaus möglich, dass eine Datei auf verschiedene Cluster in unterschiedlichen Bereichen der Festplatte verteilt gespeichert wird, was zu einer Fragmentierung der Festplatte führt. Die Komplexität der Fragmentierung kann die Wiederherstellung verlorener Dateien negativ beeinflussen. Deswegen ist es ratsam, die Festplatte in regelmäßigen Abständen zu defragmentieren.

WIE GENAU FUNKTIONIERT DIE DATENWIEDERHERSTELLUNG? Der administrative Bereich auf der Festplatte ist das Hauptverzeichnis, also eine Liste von Dateien und Unterverzeichnissen. In diesem Hauptverzeichnis werden folgende Informationen vermerkt:

* der Dateiname * die Dateigröße in Byte * Datum und Uhrzeit der letzten Änderung * Nummer des ersten Clusters der Datei

Anhand des ersten Clusters beginnt das Betriebssystem die Datei zu lokalisieren. Anschließend nutzt es die Informationen, die am Beginn der Festplatte in einer sogenannten Dateizuordnungstabelle (File Allocation Table, FAT) abgelegt sind, z.B. die Nummer des folgenden Clusters, wenn die Datei über mehrere Cluster verteilt ist.

Die Adresse einer jeden Datei wird also wie folgt beschrieben: Der erste Cluster wird im Hauptverzeichnis gelesen. Die folgenden Cluster-Nummern werden aus der Dateizuordnungstabelle gelesen.

Der Inhalt der Datei wird also an einem anderen Ort gespeichert als die Dateiinformationen in der Dateizuordnungstabelle. Dadurch wird die Datenrettung in der Dateizuordnungstabelle möglich.

In neueren Betriebssystemen (ab Windows NT aufwärts) sind die Dateizuordnungstabelle FAT und das Hauptverzeichnis ineinander integriert und durch die Masterdatentabelle (Master File Table, MFT) ersetzt worden. Dieses Dateisystem wird auch NTFS (NT File System) genannt. Eine Masterdatentabelle ist sehr komplex, doch das Grundprinzip der Verteilung der Dateiinformationen im ersten Startcluster und den daran nachfolgenden Clustern ist gleich geblieben.

WAS GENAU PASSIERT BEIM LÖSCHEN VON DATEN? Wird unter Windows eine Datei gelöscht, so wird sie in den "Papierkorb" verschoben. Sie können sich den Windows ‚Papierkorb’ im Prinzip wie einen zusätzlichen Dateiordner vorstellen. Wirklich gelöscht ist die Datei, wenn der Papierkorb geleert oder die Datei ohne Zwischenstation Papierkorb gleich gelöscht wurde.

Wird eine Datei gelöscht, markiert das Betriebssystem den Dateinamen mit einem speziellen Zeichen in der Masterdateitabelle MFT, die bei Zugriff durch den Computer anzeigt, dass diese Datei gelöscht wurde. Das Betriebssystem markiert nun diese Cluster als freien, leeren Speicherplatz. Das bedeutet, dass dieser Speicherplatz nun von neuen Dateien genutzt werden kann. Das Betriebssystem löscht dabei nicht den Inhalt der einzelnen Cluster, er existiert also weiter und ist nur für das Betriebssystem als „frei“ markiert.

Das heißt: Dateien, die vom Betriebssystem nicht mehr lokalisiert werden können, aber in den „freigegebenen“ Clustern noch gespeichert sind, können von einer Datenrettungssoftware wieder hergestellt werden. Sind die betroffenen Cluster allerdings korrupt oder physisch beschädigt, ist eine Rettung eventuell nicht mehr möglich. Die meisten Programme zur Datenrettung gehen davon aus, dass Dateien in aufeinanderfolgenden Clustern gespeichert werden. Wenn jedoch die Dateizuordnungstabelle FAT und Masterdateitabelle MFT zerstört wurden, so ist damit auch die dort gespeicherte Information über die tatsächliche Fragmentierung, d.h. Verteilung der Informationen auf der Festplatte und der Speicherort der Datei verloren. Die gelöschte Datei ist also noch vorhanden, aber für wie lange?

Die einzige Möglichkeit, die gelöschten MFT-Daten oder die Inhalte der Datei selbst permanent zu löschen, ist diese durch andere, neue Dateien zu überschreiben. Das bedeutet, dass jegliche Nutzung des Computers und Speicherung von selbst kleinsten Dateien nach dem Datenverlust deren Wiederherstellung schwierig bis unmöglich machen kann.

Will man die Daten von der Festplatte retten, dann sollte der Wiederherstellungsprozess von einer zweiten Festplatte aus gestartet werden. Ansonsten kann es passieren, dass das Betriebssystem beim Versuch der Datenwiederherstellung, diese verlorenen Dateien überschreibt. Die Software zur Datenwiederherstellung sollte deshalb immer auf einer zweiten Festplatte und nicht auf der Festplatte, auf der sich die gelöschten Dateien befinden, installiert werden. Sie kann auch von CD oder einem externen Speichermedium (externe Festplatte, USB-Stick etc.) gestartet werden.

DATENWIEDERHERSTELLUNG DURCH SUCHE NACH GELÖSCHTEN MFT-INFORMATIONEN Die meisten Datenwiederherstellungsprogramme suchen nach MFT-Einträgen, um Dateien zu retten. Dabei laufen folgende Aktionen im Hintergrund ab: Der MFT-Eintrag einer gelöschten Datei wird lokalisiert, dann werden die weiteren Cluster, die ursprünglich von der nun als gelöscht markierten Datei in Anspruch genommen wurden, überprüft. Dabei wird kontrolliert, ob diese Cluster bereits mit neuen Dateiinhalten überschrieben wurden.

Ein Cluster kann nur Informationen einer Datei beinhalten, d.h. wenn eine andere (neue) Datei dieses Cluster bereits nutzt, sind die Informationen der wiederherzustellenden Datei mit sehr hoher Wahrscheinlichkeit überschrieben und damit permanent zerstört. Diese Art der Datenwiederherstellung geht sehr schnell, da ja nur die MFT Einträge und Cluster kontrolliert und die identifizierbaren Informationen wiederhergestellt werden. Ist die Dateizuordnungstabelle jedoch korrupt, defekt oder überschrieben worden , kann diese Technik keine Daten wiederherstellen, auch wenn sich die Dateiinformationen noch immer auf der Festplatte befinden. Hier hilft nur die Suche nach nicht zugeordneten Dateien, also ohne Hilfe der MFT-Einträge.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • SEQIS GmbH

    SEQIS GmbH Qualitätssicherung, Expertensysteme, Tools, Security Audits, E-Commerce-Software, B2B Dienste und Lösungen, Übernahme von Softwareprojekten,... mehr
  • DBConcepts GmbH. Die Oracle Experten.

    DBConcepts GmbH. Die Oracle Experten. Enterprise Application Integration, Datenbanken, Business Intelligence und Knowledge Management, Tools, Server-Betriebssysteme, Middleware, Betriebssysteme für PCs,... mehr
  • Snap Consulting - Systemnahe Anwendungsprogrammierung u Beratung GmbH

    Snap Consulting - Systemnahe Anwendungsprogrammierung u Beratung GmbH Wasser- und Energieversorgung, Öffentliche Verwaltung, Medizin und Gesundheitswesen, Maschinen- und Anlagenbau, Luft- und Raumfahrttechnik, Logistik, Konsumgüterindustrie,... mehr
  • Bechtle IT-Systemhaus Österreich

    Bechtle IT-Systemhaus Österreich WLAN-Systeme, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management, Server-Betriebssysteme, Verschlüsselungs- und Kryptografie Software, Security Audits, Notfalls-Rechenzentren,... mehr

Hosted by:    Security Monitoring by: