Go to Top

Basic Tutorial: Datenverlust – Was sind die Haupt-Dateisysteme?

Private Ermittlungen: Die Dateisysteme

Die logische Datenstruktur auf der Scheibe wird durch das Dateisystem verwaltet. FAT (File Allocation Tables) war ein sehr beliebtes Dateisystem,. das bereits unter dem DOS Betriebssystem verwendet wurde. Heutzutage ist es fast vollständig durch das sehr viel fortgeschrittenere NTFS Dateisystem ersetzt. Beide Systeme sind die am meisten genutzten Dateisysteme bei Windows. Open-Source-Betriebssysteme basieren vor allem auf dem erweiterten Dateisystem (extended file system oder ext, das derzeit in der vierten Version – ext4 vorliegt) oder auf dem weniger populären Reiser Dateisystem (ReiserFS) dessen Entwicklung stark überwacht wird, vielleicht aufgrund der Tatsache, dass der Entwickler, Hans Reiser, eine lebenslange Haftstrafte für den Mord an seiner Frau verbüßt. Aber genug mit dem Klatsch – lassen Sie uns auf den Punkt kommen.

Unabhängig davon, wer Ihre Festplatte hergestellt hat, werden die logischen Datenoperationen (Schreiben und Lesen) durch das Dateisystem von unserem genutzten Betriebssystem verwaltet. Um mit der neu gekauften Festplatte starten zu können, müssen Sie zunächst das Dateisystem dafür auswählen. Andernfalls wird das Betriebssystem nicht in der Lage sein, die Platte anzusprechen oder zu nutzen. Dieser Vorgang wird als „Formatieren“ bezeichnet. Sie können das Laufwerk dann in kleinere Strukturen, sogenannte Partitionen unterteilen. Informationen über die Partitionen liegen dabei in einem Sektor, der als Master Boot Record (MBR) bezeichnet wird, am Anfang der Festplatte vor. Außerdem sollte man an dieser Stelle darauf hinweisen, dass in einer der Partitionen Informationen abgelegt wurden, die zum Starten des Betriebssystems notwendig sind. Diese sind in einem Sektor mit der Bezeichnung BPB – BIOS Parameter Block – abgelegt, das sowohl bei einer FAT oder NTFS Partition existiert und wichtige Informationen über die logische Struktur der Partition enthält. Ein normaler Anwender achtet oftmals nicht auf diese Details, auch wenn man während einer Neu-Installation eines Betriebssystem oder einer Größen-Änderung der Partition in vielen Fällen mit ihnen in Kontakt kommt. Schäden am Boot-Sektor der Festplatte werden zwar nicht Ihre Daten dauerhaft entfernen, aber die folgende Meldung könnte schon starken Angst-Schweiß verursachen:

no boot

Wo sind denn die Daten?

“Entgegen dem, was man denken könnte, speichert das Betriebssystem die Daten nicht in aufeinanderfolgenden Segmenten. Warum? Eine solche Lösung wäre nicht sicher – kleinere Schäden an der Festplatte würden die Wahrscheinlichkeit erhöhen, dass das Betriebssystem nicht in der Lage wäre bestimmte Dateien zu lesen. In der Tat sind die Segmente, die das Cluster bilden und die Cluster selbst, die die vollständigen Informationen über die Datei enthalten, über die ganze Festplatte verteilt und die Verteilung wird durch das Dateisystem bestimmt“, erklärt Robin England, Senior Forschungs- und Entwicklungsingenieur bei Kroll Ontrack UK.

Robin England

FAT und NTFS im Vergleich:

FAT

Das klassische FAT begann seine Karriere in MS DOS. Es basiert auf Zuordnungstabellen, die Informationen über die Verteilung der Segmente auf der Partition enthält. Daher sind sie auf der Platte von dem System durch eine logische Datenstruktur getrennt. Alle Dateien auf der Festplatte werden im Directory durch die Cluster-Nummer beschrieben, die am Anfang der Datei gespeichert wird. Das System berechnet dann die physikalische Adresse des Sektoren-Clusters, wie z.B. die Position der Schreib-Lesekopfs, des Tracks und der Sektoren-Nummer des Tracks. Eine FAT-Partition enthält Informationen, um nicht nur die nächsten Segmente des ersten Teils der Datei zu identifizieren, sondern auch die Information mit der ID Nummer des nächsten Clusters, das die verbleibenden Teile der Datei enthält, bis der letzte Cluster lokalisiert worden ist (der durch einen end-of-file tag markiert wird).

NTFS

Das viel modernere NTFS basiert auch auf Zuordnungstabellen – die Informationen über die Daten-Platzierung auf der Partition werden in der Master File Table gespeichert, die Kopien der Tabellen dagegen (MFT Mirrors) befinden sich an einer anderen Stelle als die originale MFT, sodass sie weniger anfällig für einen gleichzeitigen Ausfall sind. NTFS unterstützt dabei das sogenannte „Journaling“, das auf verschiedenen Katalogen basiert, in denen alle Änderungen an den Dateien festgehalten werden. Wenn Sie Daten speichern, werden diese zunächst erst im Log festgehalten und dann erst auf der Platte gespeichert. Diese Methode reduziert deutlich das Risiko Dateien zu verlieren während des Speicherprozesses, das ein häufiger Nachteil des FAT-Dateisystems ist. Wie man feststellen kann, wird bei der Verwendung von NTFS die Menge der benötigten Metadaten-Informationen deutlich erhöht, deren Inhalt zwar nicht direkt mit den Information unserer Dateien zu tun hat, aber für den Betrieb des Systems notwendig sind. Diese Metadaten erlauben ziemlich genau die bisherige Computer-Geschichte verfolgen zu können.

Dateisysteme versus Dateigröße und die Medienkapazität

Der Unterschied zwischen den Dateisystemen ist auch an den Maximalgrößen der unterstützten Speichermedien abzulesen. Beispielsweise unterstützt das älteste FAT12 Dateisystem nur Festplatten bis zu einer Größe von 32 MB, während heutzutage FAT32 bis zu 16 TB an Datenkapazität und einzelne Daten bis zu 4GB (minus 1 Byte) unterstützt werden. Im Vergleich dazu ist NTFS theoretisch in der Lage mit Dateien und Medien mit einer Größe von 16EB (minus 1 KB) umzugehen (1EB beinhaltet 1000 PetaBytes)! In der Praxis unterstützen Windows 8 und Windows 2012 eine maximale Dateigröße von 256 TB (minus 64 KB).

Beschädigte Medienzeichnen sich dadurch aus, dass sie große Anteile an zusätzlichen Informationen – abseits der gespeicherten Daten – beinhalten, die gewissenhaft gelesen und interpretiert werden müssen, um die Daten wiederherstellen zu können. In diesem Kontext erinnert das Daten-Wiederherstellungs-Verfahren an eine Schatzsuche, wo eine Suche nach Fragmenten von Karten und Hinweisen stattfindet, um schließlich herauszufinden, wo der Schatz vergraben wurde.

Jede Daten-Recovery ist immer wieder ein spannendes Abenteuer!

Aber wie werden die Daten nun eigentlich wiederhergestellt? Diese Frage wird im kommenden – letzten Teil – unseres Blog-Tutorials beantwortet. Bis dahin!