computerwoche.de

Digital Lifestyle

Filesystems

Dateisysteme - Das steckt hinter NTFS und Co.

14.09.2014
Von 
Mehr über Hermann Apfelböck erfahren Sie unter http://apfelböck.de.
Alle Posts des Autors Email:

Suche nach Dateien und Ordnern

Nehmen wir an, Sie klicken im Explorer auf eine Datei „Rechnung_034-2014.docx“. Woher weiß das System, dass es den Inhalt dieser Datei etwa aus den Clustern 12 057, 12 058 und 12 116 zu laden hat? Und woher weiß das System, welche Dateinamen es anzeigen soll, wenn Sie im Explorer auf „Dokumente“ klicken? Anhand der kompletten Pfadangabe beginnt die Suche immer auf der obersten Ebene in der MFT. Dort findet sich der Eintrag für den ersten Ordnernamen im Pfad, in dessen Inhalt geht die Suche dann weiter zum nächsten Unterordner gemäß Pfadangabe bis hinunter zur gesuchten Datei.

Das Ansteuern von Clustern außerhalb der MFT verläuft relativ simpel anhand eines Cluster-Zeigers, wie ihn die Abbildung auf dieser Seite skizziert: Zunächst steht die Anzahl der Cluster des gesuchten Cluster- Blocks. Es kann sich um einen einzigen Cluster oder um Tausende handeln. Danach erscheint in hexadezimaler Darstellung die Nummer des ersten Clusters in diesem Block. Wenn die Datei unfragmentiert ist, also der komplette Inhalt in einer zusammenhängenden Cluster-Folge abgelegt ist, genügt es, den Start-Cluster anzuspringen und ab dort die angegebene Anzahl von Clustern einzulesen. Bei fragmentierten Dateien folgt im MFT-Datensatz ein weiterer analoger Eintrag, wieder mit Cluster-Anzahl und dem nächsten Start-Cluster.

Zur Terminierung aller Cluster-Angaben steht in der MFT am Ende immer ein „00“. Sind für einen große Ordner oder für große fragmentierte Dateien viele Cluster-Blöcke notwendig, reicht ein MFT-Datensatz (mit einem KB) für diese Infos nicht mehr aus: Dann wird ein Hauptdatensatz als solcher markiert und der Rest der Infos in weitere Datensätze geschrieben. Für jede neue Datei und jeden Ordner muss die MFT um einen Datensatz erweitert werden. Wenn nicht mehr benötigte löschmarkierte Datensätze vorhanden sind, werden zunächst diese Datensätze neu überschrieben.

Trotzdem wächst die MFT beständig, denn Löschaktionen machen zwar Platz für neue Einträge, verkleinern aber nicht mehr den Umfang der MFT.

Visualisierte Dateiblöcke: Tools wie Diskview zeigen die (Un-)Ordnung der Dateifragmente auf dem Datenträger. Einblick in die MFT bieten nur spezialisierte Diskeditoren wie Winhex.
Visualisierte Dateiblöcke: Tools wie Diskview zeigen die (Un-)Ordnung der Dateifragmente auf dem Datenträger. Einblick in die MFT bieten nur spezialisierte Diskeditoren wie Winhex.

Checkdisk und Forensik

Wenn es nach Stromausfällen oder Abstürzen zu Fehlern in der Master-Dateitabelle kommt, sind die betroffenen Daten meist irreparabel geschädigt.

Mehrere Verbesserungen gegenüber älteren Dateisystemen verringern die Gefahr solcher Datenverluste: So führen NTFS oder Ext4 ein Journal über alle Schreibvorgänge, die eine Rückkehr zum letzten konsistenten Zustand erlauben. Das jüngere Transactional NTFS (seit Windows Vista) puffert zusammengehörige Schreibvorgänge, bis sichergestellt ist, dass die komplette Aktion erfolgreich zu Ende geführt werden kann.

Wenn ein System trotzdem Inkonsistenzen feststellt und Checkdisk-Reparaturen durchführt, ist danach zwar die Dateitabelle wieder in Ordnung, die eingesammelten Fragmente in Cluster-Größe sind aber in der Regel wertlos. Es erfordert die Kenntnis und Geduld eines IT-Forensikers, aus den Byte- Mustern von Clustern binäre Dateitypen zu erkennen und die passenden Fragmente in der richtigen Reihenfolge wieder zusammenzusetzen.

Praktische Hinweise zu Dateisystemen

Dateisysteme wie NTFS, Ext4 oder FAT32 unterscheiden sich deutlich. Mit der Wahl eines Dateisystems wird die Mehrzahl der PC-Nutzer aber nur selten konfrontiert. Selbst externe USB-Festplatten sind heute meist schon vorformatiert. Trotzdem lohnt es, wesentliche Vor- und Nachteile zu kennen:

NTFS

  • für Windows:Aufgrund der Anforderungen eines Multiuser- Systems mit Rechteverwaltung erlaubt neueres Windows für die Systempartition nur noch das angestammte Dateisystem NTFS. Auf anderen Partitionen wird NTFS bei der Formatierung vorgeschlagen.

    Ext4 für Linux: Linux-Systeme legen – aus ähnlichen Gründen wie Windows-NTFS – ihr angestammtes Ext4 (Ext2, Ext3) als Dateisystem nahe. Eine andere Wahl ist zwar möglich, aber eigentlich nicht zu empfehlen.

    FAT32 für Datenaustausch:Bei der Formatierung externer USBDatenträger kann das alte und einfache FAT32 als kleinster gemeinsamer Nenner häufig erste Wahl sein. FAT32 kennt keine Rechteverwaltung, und jedes Windows, Linux, Mac-OS liest und beschreibt FAT32-Datenträger problemlos. Die maximale Dateigröße beträgt vier GB.

    exFAT: Unter jüngerem Windows lassen sich externe Datenträger mit exFAT formatieren, das unter anderem das Dateigrößenlimit von FAT32 aufhebt. exFAT-Volumes sind aber für die meisten Nicht-Windows-Systeme nicht lesbar.

Dieser Artikel basiert auf einem Beitrag der PC-Welt. (mhr)