Articlename: Datenrettung mit freier Software Keywords: Datenrettung, Scalpel, foremost, ddrescue, Testdisk, PhotoRec, Datenwiederherstellung, freie Software, Undelete, Autopsy Sleuth Kit Date: 20.01.2007, 19:59 Views: 3494 Categoryname: Dateien/Ordner ---------------------------------------- Vorwort ------------------ Privatanwender kommen oft in die Situation, dass Daten verloren gegangen sind. Diese Daten sind zwar wichtig genug, um vermisst zu werden, allerdings sind sie oft keineswegs die Kosten einer professionellen Datenrettung wert. Dieses Tutorial stellt einige freie Programme vor, die für die Rettung von Daten benutzt werden können. Natürlich sind diese Programm kein Ersatz für eine professionelle Datenrettung, und es gibt niemals eine Garantie, dass die Daten gerettet werden können. Allerdings ist es oft einen Versuch wert, sie auszuprobieren. Ddrescue ------------------ Bevor Sie wichtige Daten zu retten versuchen, sollten Sie ein Abbild des Speicher-Device machen. Das Unix Programm dd verfälscht das Abbild, deshalb sollte man immer GNU Ddrescue (http://www.gnu.org/software/ddrescue/ddrescue.html) verwenden, um das devices zu sichern. ------- Note: man ------- NAME ddrescue - manual page for ddrescue version 1.2 SYNOPSIS ddrescue [options] infile outfile [logfile] ------- End-Note ------- Ddrescue erwartet als Parameter eine Input-Datei (oder ein Blockdevice) und eine Outputfile auf dass das Image erstellt werden kann. Testdisk ------------------ TestDisk ist ein Datenwiederherstellungs-Programm von Christophe Grenier (http://www.cgsecur ity.org/) mit der Aufgabe, verlorene Partitionen wiederherzustellen und auf non-boot gesetzte Partitionen wieder bootfähig zu machen. Es unterstützt so gut wie jedes von Privatanwendern eingesetzte Dateisystem. Testdisk benutzt ncurses und kann einfach über das Menü benutzt werden. Christophe Gernier bietet ausserdem das Programm CmosPwd (http://www.cgsecurity.org/wiki/Cmo sPwd) an, welches BIOS Passwörter ausliest. Sein Programm LiloPwd liest Lilo Passwörter unter NT und DOS aus und Chntpw kann NT 3.5 (NT) und 4.0(Windows 2000) Passwörter ändern. PhotoRec ------------------ http://www.cgsecurity.org/wiki/PhotoRec]PhotoRec ist ein sehr mächtiges Datenwiederherstell ungs-Programm, das ebenfalls von Christophe Gernier geschrieben wurde. Es ermöglicht die Rettung von unfragmentierten Dateien, und kennt über 80 Dateiformate (http://www.cgsecu rity.org/wiki/File_Formats_Recovered_By_PhotoRec). Das Interface läuft ebenfalls über ncurses, das Programm ermöglicht eine intuitive Bedienung. PhotoRec hat mir schon oft beim Wiederherstellen von gelöschten Daten geholfen, Vorgänge, wie das Wiederherstellen einer Browser-History sind für PhotoRec kein Problem. Das Programm fragt zuerst nach dem Partitiontable, dannach muss die Partition ausgewählt werden. Anschließend wird nach dem Zielort für die Speicherung der gefundenen Dateien gefragt. PhotoRec geht alle Dateien auf dem Laufwerk durch, die es finden kann, und speichert sie in unterschiedlichen Ordnern. Anschließend muss die gesuchte Datei noch mit Linux-Utils (ls, grep, ...) gefunden werden, PhotoRec kann keine Dateinamen der Dateien auslesen. Unterstützt werden die Dateisysteme: - FAT - NTFS - EXT2/EXT3 - HFS+ Mit ReiserFS kann PhotoRec Aufgrund des Aufbaus nicht umgehen. Autopsy, Sleuth Kit ------------------ Autopsy ist das Browser Front-End für das Programm Sleuth Kit (http://www.sleuthkit.org/sle uthkit/download.php). Es analysiert Partitionen und zeigt Dateien an, die gelöscht wurden. Die Dateien lassen sich von Sleuth Kit anzeigen und wiederherstellen. Die Eingewöhnung in das Programm dauert eine gewisse Zeit, aber wenn man sich darin zurecht gefunden hat ist Sleuth Kit ein großartiges Datenwiederherstellungsprogramm. Sleuth Kit unterstützt folgende Dateisysteme: - FAT - UFS 1 - UFS 2 - EXT2/EXT3 - ISO 9660 - NTFS Mit Sleuth Kit lassen sich auch alle Alternate Data Streams von NTFS anzeigen. Foremost ------------------ Foremost (http://foremost.sourceforge.net/) wurde ursprünglich von der US Airforce entwickelt. Es wiederherstellt Dateien Anhand von Header, Footer und internen Datenstruktur Informationen. Die Bedienung erfolgt per Console. ------- Note: man ------- NAME foremost - Recover files using their headers, footers, and data structures SYNOPSIS foremost[-h][-V][-d][-vqwQT][-b][-o] [-t][-s][-i] ------- End-Note ------- foremost ist mein Favorit unter den Undeletern, damit konnte ich bis jetzt am meisten Dateien retten. Wipe ------------------ Wipe wird zwar nicht für die Datenrettung verwendet, es ist allerdings ein wichtiges Werkzeug für den Umgang mit Daten. Mit Wipe könen Daten so oft überschrieben werden, dass die Wiederherstellung so gut wie unmöglich ist. Wipe ist im Package-Repository von so gut wie jeder Linux Distribution erhalten. Hier der Auszug der man page für die Benutzung von wipe: ------- Note: man ------- NAME wipe - securely erase files from magnetic media SYNOPSIS wipe [options] path1 path2 ... pathn ------- End-Note ------- Ein häufig benutztes Beispiel für die Benutzung von wipe ist wipe -rcf /home/. Dieses Beispiel löscht alle Dateien und Ordner von , implizip die Datei ".". Wipe kann nicht nur einzelne Dateien löschen, es besteht auch die Möglichkeit Block-Partitions wie Partitionen zu löschen: wipe -kq /dev/hda3. Zu beachten ist, das der Parameter -q für den quick mode steht.