Hannes Birnbacher, Windhagen/Ww.

Dateien unter Linux wiederherstellen (undelete)

Unter Linux habe ich mühelos Dateien erfolgreich wiederherstellen können mit dem Open Source Programm PhotoRec.

Es wird auch für andere Betriebssysteme ausgeliefert. Unter Linux ist es Teil des Paketes TestDisk. Unter Ubuntu habe ich es in einem Terminal wie gewohnt mit "sudo apt-get install testdisk" installiert und dann mit "sudo photorec" aufgerufen (d.h. eigentlich ein Terminal mit "sudo -i" erst einmal in ein Root Terminal verwandelt und mir die "sudo" Befehlsfolge gespart).

Zuerst fragt das Programm nach dem Partitionstyp (normalerweise "Intel" bestätigen), dann wählt man die Partitionsnummer aus (kann man zur Not unter /etc/fstab nachsehen). Im nächsten Schritt wird nach dem Filesystem gefragt (die Ext2/3/4 von Linux oder "other", d.h. Reiser und alle Filesysteme aus der Windows-Welt). Unten auf derselben Seite springt man erst einmal "File Opt" an, um die Anzahl der wiederhergestellten Dateien durch den Dateityp begrenzen zu können. Per Default sind alle Dateitypen, z.B. ".cab" von Microsoft usw. usf. aktiviert. Mit einem "s" deaktiviert man sie alle und sucht sich die heraus, die man verloren hat. Etwas wie "jpg" ist wohl selbsterklärend. Alle Open Office Formate werden durch Aktivierung (Leertaste drücken) von zip eingestellt.

Mit "Enter" kommt man wieder in's Hauptmenü zurück, da im unteren Menüteil an dieser Stelle nur "Quit" erleuchtet ist. Nun kriegt man den Dateibaum angezeigt, damit man sich das Zielverzeichnis für die wiederhergestellten Dateien (es werden viele, da nur nach dem Dateityp selektiert wird - haben Sie "bmp" angekreuzt, werden alle Bitmap-Dateien, die Sie je gelöscht haben, wiederhergestellt) aussuchen kann. Unter Linux bestätigt man auf die zwei Punkte, um auf die höchste Stelle des Dateisystems zu kommen, und sucht sich ein hübsches, großes, leeres temporäres Verzeichnis dafür aus, das man mit einem über die Tastatur eingegebenen "Y" für Yes bestätigen muß.

Es erscheint wieder das gewohnte Hauptmenü. Man steuere mit den waagerechten Cursortasten "Search" an, drücke die Enter-Taste und sehe zu, wie sich das ausgewählte Verzeichnis mit den wiederhergestellten Dateien füllt. Zwar ist der Originalname verloren, aber anhand der Dateigröße und der Endung (bei "zip" kommen z.B. alle je von Open Office geschriebenen und gelöschten Dateien, also ods, odt und so weiter) kann man die Dateien vorauswählen und wird hoffentlich beim Öffnen Stück für Stück auch die verlorene wiederfinden. Viel Glück!

Links:

http://zefanja.wordpress.com/2009/02/14/dattenrettung-mit-photorec/

http://www.cgsecurity.org/wiki/PhotoRec_Schritt_f%C3%BCr_Schritt

Und wie kann man seine Datenträger gegen das Auslesen gelöschter Dateien schützen? Unter Linux mit dem Programm "shred" für einzelne Dateien oder ganze ganze Gerätedateien (gemountete Speicherkarten usw.), mit "wipe" für Ordner und ganze Verzeichnisbäume. Am einfachsten ist aber immer noch, auf das betreffende Gerät (Partition usw.) zu wechseln und einzugeben: "dd if=/dev/zero of=./datei bs=1MB". Hier wird alles mit Nullen gefüllt, bis kein Platz mehr da ist (max. 4GB, ansonsten eben mehrfach mit datei1, datei2 usw. eingeben) - es bleibt nur noch, die geschaffene Datei auch zu löschen.
Unter Windows soll "eraser.exe" diesen Zweck erfüllen. Moderne Journalling file systems wie ext3 allerdings schreiben neue Dateiversionen vielleicht woanders hin als frühere; unter ihnen ist eine sichere Dateilöschung gar nicht möglich. Kritische Dateien gehören mit truecrypt o.ä. verschlüsselt.




zurück zu "Über Computer"

Url dieser Seite: http://hannes-birnbacher.de/computer/undelete.html