Datenwiederherstellung - Data recovery

In der Berechnung , die Datenwiederherstellung ist ein Prozess der Bergung nicht zugänglich, verloren, beschädigt, beschädigt oder formatierten Daten von Sekundärspeichern , Wechselmedien oder Dateien , wenn die in ihnen gespeicherten Daten nicht in einer üblichen Art und Weise zugegriffen werden. Die Daten werden am häufigsten von Speichermedien wie internen oder externen Festplatten (HDDs), Solid-State-Laufwerken (SSDs), USB-Flash-Laufwerken , Magnetbändern , CDs , DVDs , RAID- Subsystemen und anderen elektronischen Geräten gespeichert . Rückgewinnung kann durch physikalische Beschädigung der Speichergeräte oder logische Beschädigung des erforderlich sein Dateisystem verhindert , dass es vor dem montierte durch das Host - Betriebssystem (OS).

Über

Die am häufigsten verwendeten Daten - Recovery - Szenarien beinhalten einen Betriebssystemausfall, Fehlfunktion einer Speichervorrichtung, logisches Versagen von Speichervorrichtungen, die zufälligen Beschädigung oder Löschung usw. ( in der Regel auf einem Einzelantrieb, ein- Partition , single-OS - System), In diesem Fall besteht das ultimative Ziel darin, alle wichtigen Dateien vom beschädigten Medium auf ein anderes neues Laufwerk zu kopieren. Dies kann mit einer Live-CD oder -DVD erreicht werden, indem direkt von einem ROM anstelle des fraglichen beschädigten Laufwerks gebootet wird. Viele Live-CDs oder -DVDs bieten eine Möglichkeit, das Systemlaufwerk und Backup-Laufwerke oder Wechselmedien zu mounten und die Dateien mit einem Dateimanager oder einer Software zum Erstellen optischer Discs vom Systemlaufwerk auf das Backup-Medium zu verschieben . Solche Fälle können oft durch Festplattenpartitionierung und konsequentes Speichern wertvoller Datendateien (oder Kopien davon) auf einer anderen Partition als den austauschbaren Betriebssystem-Systemdateien abgemildert werden.

Ein anderes Szenario beinhaltet einen Fehler auf Laufwerksebene, z. B. ein kompromittiertes Dateisystem oder eine Laufwerkspartition, oder ein Festplattenfehler . In all diesen Fällen können die Daten nicht ohne weiteres von den Mediengeräten gelesen werden. Je nach Situation umfassen die Lösungen die Reparatur des logischen Dateisystems, der Partitionstabelle oder des Master Boot Record oder die Aktualisierung der Firmware oder der Techniken zur Laufwerkswiederherstellung, die von der softwarebasierten Wiederherstellung beschädigter Daten bis hin zur hardware- und softwarebasierten Wiederherstellung beschädigter Servicebereiche ( auch bekannt als "Firmware des Festplattenlaufwerks"), bis hin zum Hardwareaustausch auf einem physisch beschädigten Laufwerk, das die Extraktion von Daten auf ein neues Laufwerk ermöglicht. Wenn eine Laufwerkswiederherstellung erforderlich ist, ist das Laufwerk selbst normalerweise dauerhaft ausgefallen, und der Fokus liegt eher auf einer einmaligen Wiederherstellung, bei der alle Daten gerettet werden, die gelesen werden können.

In einem dritten Szenario wurden Dateien von den Benutzern versehentlich von einem Speichermedium " gelöscht ". Normalerweise wird der Inhalt gelöschter Dateien nicht sofort vom physischen Laufwerk entfernt. stattdessen werden Verweise auf sie in der Verzeichnisstruktur entfernt, und danach wird Speicherplatz, den die gelöschten Daten belegen, für ein späteres Überschreiben von Daten verfügbar gemacht. Nach Ansicht der Endbenutzer können gelöschte Dateien nicht über einen Standarddateimanager gefunden werden, aber die gelöschten Daten sind technisch noch auf dem physischen Laufwerk vorhanden. In der Zwischenzeit verbleiben die ursprünglichen Dateiinhalte, oft in mehreren getrennten Fragmenten , und können wiederhergestellt werden, wenn sie nicht durch andere Datendateien überschrieben werden.

Der Begriff "Datenwiederherstellung" wird auch im Zusammenhang mit forensischen Anwendungen oder Spionage verwendet , bei der verschlüsselte oder versteckte Daten wiederhergestellt werden, die nicht beschädigt wurden. Manchmal werden auf dem Computer vorhandene Daten aufgrund von Virenangriffen, die nur von einigen Computerforensikern wiederhergestellt werden können, verschlüsselt oder versteckt.

Körperlicher Schaden

Siehe auch: Datenwiederherstellungshardware

Eine Vielzahl von Ausfällen kann physische Schäden an Speichermedien verursachen, die durch menschliches Versagen und Naturkatastrophen verursacht werden können. Bei CD-ROMs kann das metallische Substrat oder die Farbstoffschicht abgekratzt sein; Festplatten können unter einer Vielzahl von mechanischen Fehlern leiden, wie z. B. Headcrashs , PCB- Fehlern und ausgefallenen Motoren; Bänder können einfach brechen.

Eine physische Beschädigung einer Festplatte, selbst bei einem Head-Crash, bedeutet nicht unbedingt einen dauerhaften Datenverlust. Die von vielen professionellen Datenwiederherstellungsunternehmen eingesetzten Techniken können in der Regel die meisten, wenn nicht alle Daten retten, die beim Auftreten des Fehlers verloren gegangen waren.

Natürlich gibt es Ausnahmen, beispielsweise Fälle, in denen schwere Schäden an den Platten der Festplatte aufgetreten sein könnten. Wenn die Festplatte jedoch repariert und ein vollständiges Image oder ein Klon erstellt werden kann, kann die logische Dateistruktur in den meisten Fällen neu erstellt werden.

Die meisten physischen Schäden können vom Endbenutzer nicht repariert werden. Wenn Sie beispielsweise ein Festplattenlaufwerk in einer normalen Umgebung öffnen, kann sich Staub in der Luft auf dem Plattenteller absetzen und sich zwischen dem Plattenteller und dem Schreib-/Lesekopf verfangen . Während des normalen Betriebs schweben die Schreib-/Leseköpfe 3 bis 6 Nanometer über der Plattenoberfläche, und die durchschnittlichen Staubpartikel, die in einer normalen Umgebung gefunden werden, haben typischerweise einen Durchmesser von etwa 30.000 Nanometern. Wenn sich diese Staubpartikel zwischen den Schreib-/Leseköpfen und dem Plattenteller verfangen, können sie neue Kopfabstürze verursachen, die den Plattenteller weiter beschädigen und somit den Wiederherstellungsprozess beeinträchtigen. Darüber hinaus verfügen Endbenutzer in der Regel nicht über die erforderliche Hardware oder das technische Know-how, um diese Reparaturen durchzuführen. Folglich werden Datenrettungsunternehmen oft damit beauftragt, wichtige Daten mit den seriöseren Unternehmen zu retten, die staub- und antistatische Reinräume der Klasse 100 verwenden .

Wiederherstellungstechniken

Die Wiederherstellung von Daten von physisch beschädigter Hardware kann mehrere Techniken umfassen. Einige Schäden können durch den Austausch von Teilen in der Festplatte repariert werden. Dies allein kann die Festplatte nutzbar machen, aber es kann immer noch logische Schäden geben. Ein spezielles Disk-Imaging-Verfahren wird verwendet, um jedes lesbare Bit von der Oberfläche wiederherzustellen. Sobald dieses Bild erfasst und auf einem zuverlässigen Medium gespeichert wurde, kann das Bild sicher auf logische Schäden analysiert werden und ermöglicht möglicherweise die Rekonstruktion eines Großteils des ursprünglichen Dateisystems.

Hardware-Reparatur

Medien, die einen katastrophalen elektronischen Fehler erlitten haben, erfordern eine Datenwiederherstellung, um ihren Inhalt zu retten.

Ein weit verbreiteter Irrglaube ist, dass eine beschädigte Leiterplatte (PCB) während der Wiederherstellung einfach durch eine identische Leiterplatte eines fehlerfreien Laufwerks ersetzt werden kann. Dies kann in seltenen Fällen bei Festplattenlaufwerken, die vor 2003 hergestellt wurden, funktionieren, bei neueren Laufwerken jedoch nicht. Elektronikplatinen moderner Antriebe enthalten normalerweise antriebsspezifische Anpassungsdaten (im Allgemeinen eine Karte fehlerhafter Sektoren und Abstimmungsparameter) und andere Informationen, die für den ordnungsgemäßen Zugriff auf Daten auf dem Antrieb erforderlich sind. Ersatzplatinen benötigen diese Informationen oft, um alle Daten effektiv wiederherzustellen. Die Ersatzplatine muss möglicherweise neu programmiert werden. Einige Hersteller (zB Seagate) speichern diese Informationen auf einem seriellen EEPROM- Chip, der entfernt und auf die Ersatzplatine übertragen werden kann.

Jedes Festplattenlaufwerk hat einen sogenannten Systembereich oder Servicebereich ; Dieser Teil des Laufwerks, auf den der Endbenutzer nicht direkt zugreifen kann , enthält normalerweise die Firmware des Laufwerks und adaptive Daten, die dem Laufwerk helfen, innerhalb der normalen Parameter zu arbeiten. Eine Funktion des Systembereichs besteht darin, defekte Sektoren innerhalb des Laufwerks zu protokollieren; im Wesentlichen sagen Sie dem Laufwerk, wo es Daten schreiben kann und wo nicht.

Die Sektorlisten werden auch auf verschiedenen Chips gespeichert, die an der PCB angebracht sind, und sie sind für jedes Festplattenlaufwerk einzigartig. Wenn die Daten auf der Platine nicht mit denen auf dem Plattenteller übereinstimmen, wird das Laufwerk nicht richtig kalibriert. In den meisten Fällen klicken die Laufwerksköpfe, weil sie die Daten nicht finden können, die mit den auf der Platine gespeicherten Daten übereinstimmen.

Logischer Schaden

Siehe auch: Liste der Datenwiederherstellungssoftware
Ergebnis einer fehlgeschlagenen Datenwiederherstellung von einer Festplatte.

Der Begriff "logischer Schaden" bezieht sich auf Situationen, in denen der Fehler kein Problem in der Hardware ist und Lösungen auf Softwareebene erfordert.

Beschädigte Partitionen und Dateisysteme, Medienfehler

In einigen Fällen können Daten auf einer Festplatte aufgrund einer Beschädigung der Partitionstabelle oder des Dateisystems oder aufgrund von (zeitweiligen) Medienfehlern unlesbar sein . In den meisten Fällen kann zumindest ein Teil der Originaldaten wiederhergestellt werden, indem die beschädigte Partitionstabelle oder das beschädigte Dateisystem mit einer speziellen Datenwiederherstellungssoftware wie Testdisk repariert wird ; Software wie dd rescue kann Medien trotz zeitweiliger Fehler abbilden und Rohdaten abbilden, wenn die Partitionstabelle oder das Dateisystem beschädigt sind. Diese Art der Datenwiederherstellung kann von Personen ohne Kenntnisse in der Laufwerkshardware durchgeführt werden, da keine spezielle physische Ausrüstung oder Zugriff auf Platten erforderlich ist.

Manchmal können Daten mit relativ einfachen Methoden und Tools wiederhergestellt werden. schwerwiegendere Fälle können ein Eingreifen eines Experten erfordern, insbesondere wenn Teile von Akten unwiederbringlich sind. Data Carving ist die Wiederherstellung von Teilen beschädigter Dateien unter Verwendung der Kenntnis ihrer Struktur.

Überschriebene Daten

Siehe auch: Datenlöschung

Nachdem Daten auf einer Festplatte physikalisch überschrieben wurden , wird allgemein davon ausgegangen, dass die vorherigen Daten nicht mehr wiederherstellbar sind. 1996 präsentierte der Informatiker Peter Gutmann ein Papier, das vorschlug, überschriebene Daten durch den Einsatz von Magnetkraftmikroskopie wiederzugewinnen . 2001 legte er eine weitere Arbeit zu einem ähnlichen Thema vor. Um sich vor dieser Art der Datenwiederherstellung zu schützen, entwickelten Gutmann und Colin Plumb eine Methode zum irreversiblen Bereinigen von Daten, die als Gutmann-Methode bekannt ist und von mehreren Softwarepaketen zum Bereinigen von Festplatten verwendet wird.

Es folgte erhebliche Kritik, die sich hauptsächlich mit dem Fehlen konkreter Beispiele für die Wiederherstellung erheblicher Mengen überschriebener Daten befasste. Obwohl Gutmanns Theorie richtig sein mag, gibt es keine praktischen Beweise dafür, dass überschriebene Daten wiederhergestellt werden können, während Untersuchungen gezeigt haben, dass überschriebene Daten nicht wiederhergestellt werden können.

Solid-State-Laufwerke (SSD) überschreiben Daten anders als Festplatten (HDD), was die Wiederherstellung zumindest einiger ihrer Daten erleichtert. Die meisten SSDs verwenden Flash-Speicher , um Daten in Seiten und Blöcken zu speichern, die durch logische Blockadressen (LBA) referenziert werden, die von der Flash Translation Layer (FTL) verwaltet werden. Wenn die FTL einen Sektor modifiziert, schreibt sie die neuen Daten an einen anderen Ort und aktualisiert die Karte, sodass die neuen Daten an der Ziel-LBA erscheinen. Dadurch bleiben die Daten vor der Modifikation mit möglicherweise vielen Generationen erhalten und können durch Datenwiederherstellungssoftware wiederhergestellt werden.

Verlorene, gelöschte und formatierte Daten

Manchmal gehen Daten auf den physischen Laufwerken (interne/externe Festplatte, Pen Drive usw.) aufgrund von Umständen wie Virenangriff, versehentlichem Löschen oder versehentlicher Verwendung von SHIFT+DELETE verloren, werden gelöscht und formatiert. In diesen Fällen wird eine Datenwiederherstellungssoftware verwendet, um die Datendateien wiederherzustellen/wiederherzustellen.

Logischer fehlerhafter Sektor

In der Liste der logischen Fehler von Festplatten ist der logische fehlerhafte Sektor der häufigste, bei dem Datendateien nicht von einem bestimmten Sektor der Medienlaufwerke abgerufen werden können. Um dies zu beheben, wird eine Software verwendet, um die logischen Sektoren des Medienlaufwerks zu korrigieren. Wenn dies nicht ausreicht, muss die Hardware mit den logischen fehlerhaften Sektoren ersetzt werden.

Datenwiederherstellung aus der Ferne

Wiederherstellungsexperten müssen nicht immer physischen Zugriff auf die beschädigte Hardware haben. Wenn die verlorenen Daten durch Softwaretechniken wiederhergestellt werden können, können sie die Wiederherstellung häufig mithilfe von Fernzugriffssoftware über das Internet, LAN oder eine andere Verbindung zum physischen Standort des beschädigten Mediums durchführen. Der Prozess unterscheidet sich im Wesentlichen nicht von dem, was der Endbenutzer selbst durchführen könnte.

Remote Recovery erfordert eine stabile Verbindung mit ausreichender Bandbreite. Sie gilt jedoch nicht, wenn ein Zugriff auf die Hardware erforderlich ist, wie beispielsweise bei Sachschäden.

Vier Phasen der Datenwiederherstellung

Normalerweise gibt es vier Phasen, wenn es um eine erfolgreiche Datenwiederherstellung geht, die jedoch je nach Art der erforderlichen Datenbeschädigung und -wiederherstellung variieren kann.

Phase 1
Reparieren Sie die Festplatte
Die Festplatte wird repariert, um sie in irgendeiner Form zum Laufen zu bringen, oder zumindest in einen Zustand, der zum Lesen der Daten geeignet ist. Wenn zum Beispiel Köpfe schlecht sind, müssen sie ausgetauscht werden; Wenn die Platine defekt ist, muss sie repariert oder ersetzt werden; Wenn der Spindelmotor defekt ist, sollten die Platten und Köpfe auf ein neues Laufwerk verschoben werden.
Phase 2
Image des Laufwerks auf ein neues Laufwerk oder eine Disk-Image-Datei erstellen
Wenn ein Festplattenlaufwerk ausfällt, hat es oberste Priorität, die Daten vom Laufwerk zu entfernen. Je länger ein defektes Laufwerk verwendet wird, desto wahrscheinlicher ist ein weiterer Datenverlust. Durch das Erstellen eines Images des Laufwerks wird sichergestellt, dass eine sekundäre Kopie der Daten auf einem anderen Gerät vorhanden ist, auf der Test- und Wiederherstellungsvorgänge sicher durchgeführt werden können, ohne die Quelle zu beschädigen.
Phase 3
Logische Wiederherstellung von Dateien, Partitionen, MBR und Dateisystemstrukturen
Nachdem das Laufwerk auf ein neues Laufwerk geklont wurde, ist es geeignet, die Wiederherstellung verlorener Daten zu versuchen. Wenn das Laufwerk logisch ausgefallen ist, gibt es dafür mehrere Gründe. Mithilfe des Klons ist es möglicherweise möglich, die Partitionstabelle oder den Master Boot Record (MBR) zu reparieren , um die Datenstruktur des Dateisystems zu lesen und gespeicherte Daten abzurufen.
Phase 4
Reparieren Sie beschädigte Dateien, die abgerufen wurden
Datenschäden können entstehen, wenn beispielsweise eine Datei in einen beschädigten Sektor des Laufwerks geschrieben wird. Dies ist die häufigste Ursache für ein defektes Laufwerk, was bedeutet, dass die Daten rekonstruiert werden müssen, um lesbar zu werden. Beschädigte Dokumente können durch verschiedene Softwaremethoden oder durch manuelles Rekonstruieren des Dokuments mit einem Hex-Editor wiederhergestellt werden.

Festplatte wiederherstellen

Das Windows- Betriebssystem kann auf einem bereits dafür lizenzierten Computer neu installiert werden. Die Neuinstallation kann durch Herunterladen des Betriebssystems oder durch Verwendung einer vom Computerhersteller bereitgestellten "Wiederherstellungsdiskette" erfolgen. Eric Lundgren wurde im April 2018 zu einer Geldstrafe und zu einem US-Bundesgefängnis verurteilt, weil er 28.000 Wiederherstellungsdisketten hergestellt und beabsichtigt hatte, diese für jeweils etwa 25 Cent als Annehmlichkeit an Computerreparaturwerkstätten zu verteilen.

Liste der Datenwiederherstellungssoftware

Bootfähig

Siehe auch: Liste der Live-CDs § Live-CDs retten und reparieren

Die Datenwiederherstellung kann nicht immer auf einem laufenden System durchgeführt werden. Als Ergebnis enthält eine Bootdiskette , Live-CD , Live-USB oder jede andere Art von Live-Distribution ein minimales Betriebssystem.

  • BartPE : eine leichte Variante der 32-Bit-Betriebssysteme von Microsoft Windows XP oder Windows Server 2003, ähnlich einer Windows-Vorinstallationsumgebung , die von einer Live-CD oder einem Live-USB-Laufwerk ausgeführt werden kann. Abgesetzt.
  • Finnix : eine Debian- basierte Live-CD mit Fokus darauf, klein und schnell zu sein, nützlich für Computer- und Datenrettung
  • Disk Drill Basic : kann bootfähige Mac OS X USB-Laufwerke für die Datenwiederherstellung erstellen
  • Knoppix : enthält Dienstprogramme zur Datenwiederherstellung unter Linux
  • SpinRite : ein FreeDOS- basiertes Datenwiederherstellungstool für Festplatten und magnetische Speichergeräte
  • SystemRescueCD : eine auf Arch Linux basierende Live-CD, die zum Reparieren nicht bootfähiger Computersysteme und zum Abrufen von Daten nach einem Systemabsturz nützlich ist
  • Windows Preinstallation Environment (WinPE): Eine anpassbare Windows Boot DVD (hergestellt von Microsoft und kostenlos verteilt). Kann geändert werden, um jedes der aufgeführten Programme zu starten.

Konsistenzprüfungen

Wiederherstellung von Dateien

Forensik

Siehe auch: Computerforensik

Bildgebungstools

Hauptartikel: Liste der Software zum Klonen von Festplatten
Siehe auch: Disk-Image
  • Clonezilla : eine kostenlose Festplatte zum Klonen, Festplatten-Imaging, Datenwiederherstellung und Bereitstellungs-Boot-Diskette
  • ddrescue : ein Open-Source-Tool ähnlich dd, aber mit der Möglichkeit, fehlerhafte Blöcke auf fehlerhaften Speichergeräten zu überspringen und anschließend erneut zu versuchen
  • dd : gängiges Tool zum Byte-zu-Byte-Klonen auf Unix-ähnlichen Systemen
  • Team Win Recovery Project : ein kostenloses Open-Source-Wiederherstellungssystem für Android-Geräte

Siehe auch

Verweise

Weiterlesen

  • Tanenbaum, A. & Woodhull, AS (1997). Betriebssysteme: Design und Implementierung, 2. Aufl. New York: Prentice Hall.
  • Datenrettung bei Curlie