Go to Top

Wie Sie Ihre eigenen Daten ohne Datenrettungssoftware wiederherstellen können

Dadurch dass Sie bereits den Blog eines Datenrettungsunternehmens besuchen, wissen Sie wahrscheinlich schon, dass „gelöschte“ Daten nicht sofort von einem Laufwerk verschwinden, sie sind einfach für das Überschreiben durch das Betriebssystem markiert. Mit den richtigen Werkzeugen können diese gelöschten Daten ganz einfach wiederhergestellt werden.

Hierbei sollte darauf hingewiesen werden, dass Selbstversuche (Do-it-yourself/DIY) bei der Datenrettung fast immer nicht zu empfehlen sind. Häufiger als nicht, führen DIY Wiederherstellungsversuche dazu, dass die bereits vorhandenen Schäden nochmals verschlechtert werden und oft bedeutet das, dass die Daten dann nicht mehr wiederherstellbar sind.

Die einzige Ausnahme hiervon sind kommerzielle Datenrettungs-Software-Tools einschließlich Ontrack EasyRecovery. Aber wenn man gerne ein paar grundlegende Datenwiederherstellungstechniken lernen möchte, dann kann man sich auf die Ebene eines Hex-Editors herunterbegeben und sich „schmutzig“ machen.

Bevor Sie weiter lesen, müssen Sie sich bewusst sein, dass die Verwendung eines Hex-Editors zum Ändern von Datei-Clustern zu dauerhaften Datenverlust führen könnte! Wegen dieses Risikos, sollten Sie nur mit einer Wegwerf-Festplatte oder USB-Flash-Laufwerk arbeiten, wenn Sie Ihre Daten behalten wollen.

 

Letzte Warnung

Wir empfehlen nicht, tatsächlich verlorene Dateien selbst mit diesen Techniken wiederherzustellen, da es viele, viele andere Faktoren gibt, die die Wiederherstellung beeinflussen können, einschließlich physischer Schäden oder dem Vorhandensein mehrerer Dateien. Die Funktion dieses Blog-Posts ist ausschließlich zur Weiterbildung!

Wenn Sie hierbei irgendwelche Zweifel haben, laden Sie bitte eine kostenlose Testversion von Ontrack EasyRecovery herunter oder nehmen Sie Kontakt mit einem unserer Datenrettungsberater auf.

 

Ok, mit diesen Warnungen im Hinterkopf können wir jetzt anfangen!

Kit- (Material-) Liste

Wenn Sie entschlossen sind, gelöschte Dateien von Ihrem NTFS-Laufwerk wiederherzustellen, benötigen Sie Folgendes:

  • Das Laufwerk mit den gelöschten Daten. Denken Sie daran, dies sollte ein Laufwerk mit Daten sein, die verloren gehen können. Wir empfehlen Ihnen, ein USB-Flash-Laufwerk mit einer einzigen gelöschten Datei zu verwenden.
  • Ein Host-PC zum Durchführen der Dateiwiederherstellung.
  • Einen Hex-Editor (wir schlagen WinHex vor).
  • Ein zweites Laufwerk zum Raufkopieren von wiederhergestellten Daten.
  • Der Name der gelöschten Datei.

 

Verbinden Sie die beiden Laufwerke mit Ihrem PC, starten Sie Ihren Hex-Editor, und Sie sind bereit zu beginnen.

Starten

Es gibt drei Schritte beim Datenrettungsprozess mit Hex-Editoren:

  1. Scannen der Festplatte zum Identifizieren gelöschter Dateien (oder Einträge).
  2. Identifizierung der Cluster-Kette für die gelöschte Datei, die von Interesse ist.
  3. Wiederherstellen der Cluster, die die gelöschte Datei enthalten.

 

Es ist wichtig zu beachten, dass nicht jede Datei wiederhergestellt werden kann. Wenn die Cluster, die Ihre gelöschten Dateien enthalten, überschrieben wurden, sind die Daten fast immer sicher weg. Aus diesem Grund empfehlen wir immer, ein Gerät mit Datenverlust sofort nicht mehr zu verwenden, da jede Aktivität nach dem Datenverlust dazu führen kann, dass diese Cluster überschrieben werden.

1. Das NTFS-Volume scannen

Verwenden Sie die Suchfunktion, die in Ihren Hex-Editor integriert ist, und scannen Sie das Laufwerk nach dem Namen der Datei, die gelöscht wurde. In diesem Beispiel suchen wir die PowerPoint-Präsentation mit dem Titel “My Presentation.ppt” – der Hex-Editor gibt einen String wie folgt zurück:

NTFS string

In der rechten Spalte kann man einfach den Dateinamen als M.y. .P.r.e.s.e.n.t.a.t.i.o.n…p.p.t.€ erkennen.

Unter den vielen Attributen, die von einer solchen Datenträgersuche ausgegeben werden, ist eine namens Flags, die 22 Bytes tief im File Record Header positioniert ist (rot in der Abbildung oben hervorgehoben). Wenn das Feld auf 1 gesetzt ist, ist die Datei “in use” /”in Benutzung” oder eben nicht gelöscht. In unserem Beispiel ist das Feld auf 0 gesetzt, was bedeutet, dass die My Presentation.ppt gelöscht wurde.

Die Suche gibt auch Werte für die Clustergröße (Cluster size), die Komprimierungseinheitsgröße (Compression Unit Size) , die zugeordnete Größe des Attributs (Allocated size of the attribute), die reale Größe des Attributs (Real size of the attribute) und die Datenlauf-Attribute (Data Runs attributes) zurück. Notieren Sie sich diese Werte – Sie benötigen sie für Stufe 2 des Wiederherstellungsprozesses!

2. Festplatten (disk) cluster definieren

Als nächstes müssen Sie das Laufwerk erneut scannen, indem Sie alle Datei-Cluster durchlaufen lassen, bis Sie die Dateigröße identifizieren, die den ausgewählten Clustern entspricht. Das NTFS-Dateisystem ordnet jeder Datei ein “_DATA_Attribut zu, das “Datenläufe/data runs” definiert, die wiederum auf den Speicherort der Dateicluster verweisen, die wiederhergestellt werden müssen.

Bevor Sie fortfahren, müssen Sie die Datenläufe entschlüsseln. Betrachten Sie das folgende Snippet aus dem Hex-Editor:

NTFS snippet

Hier werden die Dinge komplizierter:

  • Das erste Byte (0x31) zeigt an, wie viele Bytes für die Länge des Datenlaufs, 0x1 in diesem Beispiel und der erste Clusteroffset – 0x3 zugeordnet sind.
  • Das nächste Byte – 0x6E – zeigt die Länge des Datenlaufs an.
  • Die folgenden drei Bytes zeigen den Start-Cluster-Offset – 0xEBC404 –
  • Durch Ändern der Bytes-Reihenfolge entdecken wir, dass der erste Cluster 312555 (oder 0x04C4EB in Hex) beträgt.
  • Wenn wir die Länge des oben beschriebenen Datenlaufs anwenden, wissen wir, dass die nächsten 110 Cluster (0x6E) unsere PowerPoint-Präsentation enthalten.

Wir wissen, dass das richtig ist, da das nächste Byte 0x00 ist, was darauf hinweist, dass keine weiteren Datenläufe vorhanden sind.

Wiederherstellung der Clusterketten

Mit der identifizierten Clusterkette ist die letzte Aufgabe jetzt, die “gelöschten” Daten wieder auf die andere Festplatte zu kopieren. Mit der ersten Clusteradresse, die in Schritt 2 (312555) identifiziert wurde, kopiert man dann die 110 Cluster, die ihm folgen – aber zuerst muss man den Offset des ersten Clusters berechnen.

Man macht das, indem man die Cluster-Größe (512) mit der ersten Cluster-Adresse multipliziert, wie hier dargestellt:

512 * 31255 = 160028160

Dieser Wert muss dann in Hex umgewandelt werden, so dass Sie den Offset erhalten, der den Anfang Ihrer fehlenden Daten markiert = 0x0989D600

Durch das Kopieren der nächsten 110 Cluster (512 * 110 = 56320 Bytes) auf das zweite Laufwerk hat man die “gelöschte” Datei von der NTFS-Partition erfolgreich wiederhergestellt.

Lohnt sich das?

Obwohl es also möglich ist, Daten auf diesem Weg wiederherzustellen, ist es offensichtlich, dass diese Weise sehr zeitaufwendig ist und eben auch möglicherweise einen weiteren Datenverlust verursachen kann. Wie bereits erwähnt, gibt es viele Kombinationen und Permutationen, die den Erfolg oder Misserfolg einer Datenwiederherstellung beeinflussen können. Deshalb nochmal: Dieser Artikel ist nur für Lernzwecken gedacht.

Bildnachweise: NTFS.com