Datenrettung

Bevor man anfängt sollte man ein Image der kompletten Partition anlegen und Reparaturversuche nur an der Kopie vornehmen.

dd if=/dev/hda of=/Ort/Datei.

Genauer wird das in dem Artikel Imageerstellung mit dd und ddrescue beschrieben.

Wenn man sich nicht sicher ist, ob es nicht doch an anderer Hardware liegt, mal ein Speichertest/Systemcheck machen bzw. die Festplatte mit dem Programm badblocks testen.

Die Dateien sollte nur entweder

• auf eine seperate Festplatte
• auf ein Netzlaufwerk
• oder auf eine seperate Partition auf der Festplatte erfolgen

Wenn man geöffnete Dateien schon gelöscht aber noch geöffnet hat, beschreibt dieser Artikel (Bring back deleted files with lsof) wie man sie trotzdem wieder herstellen kann. Nur darf das Programm (das die Datei geöffnet hat) darf nicht vorher geschlossen werden. Der Grund ist das Datenblöcke bzw. der Speicherplatz von Dateien/Verzeichnissen erst wirklich freigegeben wird wenn der Linkcount auf 0 steht. Eine geöffnete (aber schon gelöschte) Datei zählt auch als 1, bei schließen ist der Linkcount 0 und der Platz wird freigegeben. Die Problematik wird in dem Artikel The mysteriously persistently exploitable program explained aus der Sicherheitsperspektive beleuchtet.

• wannago Datenrettungsforum

• Partition-Rescue HOWTO
• Linux Ext2fs Undeletion mini-HOWTO
• How to recover lost files after you accidentally wipe your hard drive
• Troubleshooting, finding lost files in Linux servers
• Bring back deleted files with lsof

fdisk -l

zeigt die aktuelle Partitionierung an.

• dd (conv=noerror ist nur nötig wenn Lesefehler zu erwarten sind bzw. dann nicht abgebrochen werden soll)
  • Aufruf: dd if=Quelle of=Ziel(-datei) als z.B.

    dd if=/dev/sda of=/dev/sdb bs=8225280 conv=noerror

• dd_rescue - erstellt Images von Festplatten und Partitionen, im Gegensatz zu dd bricht es aber nicht bei (Lese-) Fehlern ab.
  • Aufruf: dd_rescue Quelle Ziel(-datei) als z.B.

    dd_rescue /dev/sr0 defekte-CD.iso

  • Rettungsanker - Mit dd_rescue defekte Partition wiederherstellen
  • Ddrescue - Data recovery tool (Homepage)
  • Imageerstellung mit dd und ddrescue
  • Recover Data From a dead hard drive using ddrescue
• PhotoRec: für Videos, Dokumente and Archive from Hard Disks, CDRom und verlorene Bilder (Photo Recovery) vom Speicher der digitalen Kamera.
• TestDisk

• Helix - Knoppix-basierte LiveCD für Datensicherung und Forensik: enthält super Programme zu sichern:
• adepto: Images ziehen auf lokale Datenträger oder über´s Netz mittels SMB bzw. netcat.
• Regview: Bearbeiten von Registry Dateien
• gpart
• rescuept
• Fixdisktable
• sleuthkit

• undelete
  • PC Inspektor File Recovery (undelete in ntfs, ansonsten nicht so gut aber kostenlos)
  • R-Studio (NTFS, FAT, HFS, UFS, Ext2/3; kommerziell)
  • GetDataBack (gut in Undelete, MBR, Formatwiederherstellung; im Rohdatenscan nur wenige Dateitypen; kommerziell)
• Rohdatenscan:
  • Recuva (nur Rohdatensuche; kostenlos)
  • PhotoRec

Grundsätzlich erschweren fragmentierte Daten die Wiederherstellung,

Die superblocks enthalten wichtige Informationen über das Dateisystem, wie Größe, freier Speicher etc. (ähnlich der File Allocation Table bei FAT-Partitionen). Eine Partition mit defektem Superblock kann nicht eingehangen/gemountet werden.

Daher existieren auf der Platte auch mehrere Kopien davon. Mit dem Befehl

sudo mke2fs -n /dev/sdb1

kann man sich die Speicherorte alternativer Superblocks anzeigen lassen.

Mit einem der alternativen Superblöcke kann man dann reparieren (hier 8193)

e2fsck -b 8193 /dev/device

und dann neu booten.

• Convar
• Aigon
• Ontrack