Es existieren einige spezielle Linux-Distributionen für die Datenrettung. Diese bringen eine Sammlung kostenloser Tools mit, die sich für den Einsatz nach dem Crash eignen. Einige dieser Werkzeuge stellen wir hier detaillierter vor und zeigen darüber hinaus, wie Sie eine eigene Datenrettungs-Linux-Distribution erstellen können.
Oftmals sind die Werkzeuge für geübte Computeranwender gar nicht so schwer zu benutzen. Die meisten lassen sich nach kurzer Eingewöhnungszeit durchschauen. Das größere Problem ist zu wissen, wie die Tools heißen und was diese machen. Nachfolgend finden Sie einige der wichtigsten Werkzeuge detailliert beschrieben.
Ein relativ praktischer und zudem günstiger Ansatz ist es, zu Testzwecken einen nicht mehr benötigten USB-Stick einzusetzen. Diesen können Sie nach Herzenslust quälen, löschen und formatieren. Danach versuchen Sie einfach, die Daten wieder zu retten. So bekommen Sie schnell ein Gefühl dafür, was mit den hier vorgestellten Werkzeugen machbar ist.
Reparieren mit TestDisk
TestDisk wurde laut eigener Aussage ursprünglich entwickelt, um verlorene Partitionen wiederherzustellen und/oder nicht startende Festplatten wieder bootfähig zu machen. Dies trifft hauptsächlich dann zu, wenn fehlerhafte Software, Viren oder menschliche Fehler die Auslöser waren. TestDisk ist ein mächtiges Werkzeug und kann Folgendes:
-
Partitionstabellen reparieren und gelöschte Partitionen wiederherstellen;
-
FAT32-Bootsektoren aus seiner eigenen Sicherung zurückspielen;
-
FAT12-, FAT16-, FAT32- oder NTFS-Bootsektoren wieder mittels der Funktion rebuild aufbauen;
-
Dateizuordnungstabellen bei FAT-Dateisystemen reparieren;
-
die MFT (Master File Table) von NTFS mittels des Spiegels zurücksichern;
-
Backup-Superblocks der Dateisysteme ext2, ext3 und ext4 finden;
-
gelöschte Dateien von FAT, NTFS und ext2 wiederherstellen;
-
Dateien von gelöschten FAT-, NTFS-, ext2-, ext3- und ext4-Partitionen kopieren.
TestDisk eignet sich laut Aussage der Entwickler für Anfänger und Fortgeschrittene. Dabei kommt es allerdings auch auf den Wissensstand in puncto Datenrettung an. Es ist also nicht jede Funktion für jeden Anwender geeignet.
Verlorene Partitionen kann TestDisk für folgende Dateisysteme wiederfinden: BeFS (BeOS), BSD Disklabel, CramFS, FAT12, FAT16, FAT32, exFAT, HFS, HFS+, JFS, ext2, ext3, ext4, Linux RAID, Linux Swap (Version 1 und 2), LVM, LVM2, Mac Partition Map, Novell Storage Services NSS, NTFS (Windows NT/2K/XP/2003/Vista/2008), ReiserFS (Version 3.5, 3.6, 4), Sun Solaris i386 Disklabel, UFS, UFS2 und XFS.
Das freie Tool hat diverse Einschränkungen, die für den normalen Anwender in der Regel eine untergeordnete Rolle spielen. Diese gelten übrigens auch für das nächste vorgestellte Werkzeug in diesem Artikel - photorec, das ebenfalls von cgsecurity.org entwickelt wird.
TestDisk läuft nach Aussage der Entwickler unter DOS, Windows NT4, 2000, XP, 2003, Vista, Linux, FreeBSD, NetBSD, OpenBSD, SunOS und MacOS. Für Linux ist das Werkzeug in den meisten Repositories enthalten. Auch dieser Absatz gilt gleichfalls für photorec.
Daten wiederherstellen mit photorec
Das Tool photorec kommt genau genommen im Verbund mit der Testdisk-Suite, ist aber ein eingeständiges Werkzeug. Damit können Sie Daten wiederherstellen lassen, selbst wenn Sie die Festplatte aus Versehen formatiert haben. Das Tool sucht nach bekannten Dateiformaten und sichert diese Dateien auf ein von Ihnen festgelegtes Medium wieder.
Da nach einem Formatieren die Informationen zum Beispiel über Datei- und entsprechende Ordnernamen gelöscht sind, können diese nicht zurückgesichert werden. Das bedeutet, dass photorec in derartigen Fällen eigene Dateinamen vergibt und die Daten so abspeichert. Bei sehr vielen Daten ist es natürlich ein großer Aufwand, die Dateien wieder selbst zu benennen und in die entsprechenden Ordner einzupflegen. Aber das ist in der Regel immer noch besser als der komplette Datenverlust.
photorec funktioniert leider weniger gut mit ReiserFS. Dies hängt damit zusammen, dass ReiserFS aus Optimierungsgründen Dateien innerhalb des B-Trees speichern kann. Mit den üblichen Dateisystemen wie FAT, NTFS, ext2, ext3 oder HFS+ funktioniert photorec jedoch sehr gut.
Jagd auf Schadcode
Zu einer guten Datenrettungsdistribution gehört natürlich auch der digitale Kammerjäger. Wie hinlänglich bekannt ist, gibt es dafür ClamAV, das sich auf der Konsole via clamscan aufrufen lässt. Die Virendatenbank kann man mit freshclam auf den neuesten Stand bringen. Wenn Sie ClamAV über das Repository installieren, sollte der Update-Prozess selbstständig laufen. Dennoch sollten Sie vor einer Benutzung überprüfen, ob sich die Virendatenbank auf dem neuesten Stand befindet - insbesondere dann, wenn die Rettungs-Distribution nicht regelmäßig im Einsatz ist.
Das Paket nautilus-clamscan fügt dem Dateimanager-Menü ein "Scan for Viruses" hinzu, das Sie mittels Rechtsklick aufrufen können. Eine grafische Oberfläche für ClamAV bietet das Paket clamtk.
Speziell für das Aufspüren von Rootkits sind die Konsolenprogramme chkrootkit und rkhunter entwickelt worden. Suchen Sie in diversen Repositories nach Rootkit, wird auch das Programm unhide angezeigt. Damit lassen sich versteckte Prozesse ausfindig machen. Das Paket unhide wird in der Regel automatisch mit rkhunter installiert. Diese Programme auf einem Rechner oder Server zu haben kann auf gar keinen Fall schaden. Regelmäßige Scans damit dauern nicht lange und können vor bösen Überraschungen schützen.
Partitionen mit partimage oder FSArchiver sichern
Mit partimage oder FSArchiver können Sie ganze Partitionen in eine Datei wegsichern. Während partimage durch die pseudografische Oberfläche ein wenig einfacher zu bedienen ist, bringt FSArchiver dafür mehr Funktionen mit. Das Tool partimage unterstützt laut eigener Aussage zum Beispiel derzeit kein ext4 oder btrfs. FSArchiver hingegen kann jedes Dateisystem sichern, das der laufende Kernel einbinden und lesen kann. Ebenso können Sie damit Dateisysteme konvertieren. Ein Beispiel: Sie sichern ein ext3-Dateisystem und spielen es als ReiserFS wieder zurück.
partimage gibt es auch als Server-Daemon. Damit könnten Sie eine Partition direkt auf einen dedizierten Server spiegeln. Das funktioniert natürlich auch in die andere Richtung. Somit lässt sich partimage auch gut für Masseninstallationen einsetzen.
Es ist eine ganz gute Idee, Partitionen wenn möglich zu sichern, bevor Sie mit einer herumdoktern. Im schlimmsten Fall können Sie den letzten Stand wiederherstellen und andere Rettungsversuche starten.
Eine eigene Rettungsdistribution erstellen
Sollten ihnen die kleinen Rettungsdistributionen (siehe auch spezielle Linux-Distributionen für die Datenrettung) nicht zusagen und Sie hätten gerne ein etwas umfangreicheres Betriebssystem, lässt sich dies eigentlich mit wenig Aufwand bewerkstelligen. TecChannel wird das Ganze anhand einer der populärsten Linux-Distributionen, Ubuntu, erläutern. Die Standardausgabe macht mit GNOME eine einfach zu bedienende und komplette Desktop-Umgebung verfügbar.
Bekanntlich lässt sich Ubuntu Linux als Live-CD starten. Danach können Sie das Betriebssystem mittels System/Systemverwaltung/Systemmedienhersteller auf einen USB-Stick spielen. Starten Sie nun von dem USB-Gerät, können Sie dieses OS behandeln, als sei es auf einer Festplatte - also weitere Software einspielen oder nicht benötigte Sachen löschen. Dies bildet nun die Basis für unsere eigene Rettungsdistribution.
Die nächste Frage lautet: Welche Werkzeuge gehören auf eine gute Rettungsdistribution? Das liegt natürlich im eigenen Ermessen. Da die meisten dieser Tools allerdings nicht viel Platz brauchen, sollten Sie so viele wie möglich auf den USB-Stick packen.
Wenn Sie auf Ihrer eigens zusammengestellten Distribution auch private Daten speichern wollen, ist TrueCrypt auf tragbaren Massenspeichern natürlich ein Muss. Sie können damit nicht nur eigene Daten verschlüsseln, sondern auch auf nicht mehr startenden Systemen verschlüsselte Container oder Partitionen öffnen und die Daten wiederherstellen. TrueCrypt ist eines der wenigen Werkzeuge, die sich nicht über das Repository einspielen lassen. Sie können es allerdings kostenfrei aus dem Download-Bereich der Projektseite herunterladen.
Flexible Möglichkeiten
Ein Werkzeug, mit dem Sie den S.M.A.R.T.-Status von Festplatten überprüfen können, bringt Ubuntu bereits mit. Es nennt sich Laufwerksverwaltung und befindet sich unter der Systemverwaltung. Wollen Sie diese Prüfung lieber auf der Konsole durchführen, installieren Sie einfach die smartmontools aus dem Repository. Damit stehen geübten Anwendern auch mehr Funktionen zur Verfügung. Wem das auf der Konsole zu frickelig ist, der kann sich zusätzlich mit dem Paket gsmartmontools eine grafische Oberfläche installieren.
Wie Sie schon bemerkt haben, sind in unserem Szenario der Fantasie wohl nur durch den maximalen Speicherplatz des USB-Sticks Grenzen gesetzt. Wenn Sie einen Hybriden zwischen Desktop- und Rettungs-System wollen, dann haben Sie alle Möglichkeiten dazu.
Sollten Sie nicht wissen, welche Rettungs-Tools zur Verfügung stehen, schauen Sie sich einfach mal die Paketlisten der bekannten Rettungsdistributionen an. Danach suchen Sie nach gewünschten Programmen im Repository Ihrer Linux-Distribution.
Fazit
Die freien Datenretter stehen ihren kostenpflichtigen Vertretern oftmals in wenig nach. Allerdings sind sie häufiger weniger bekannt. Ebenso kann es vorkommen, dass man auf grafische Oberflächen verzichten und sich mit der Kommandozeile begnügen muss. Dies stellt in der Regel aber nach geringen Einarbeitungszeiten kein Problem dar. Datenrettungswerkzeuge werden schließlich nicht entwickelt, um einen Schönheitswettbewerb zu gewinnen.
Die Open-Source-Gemeinde macht einen guten Job in Sachen Datenrettung. Solange Massenspeicher keinen physikalischen Schaden haben, stehen die Chancen einer vollständigen Wiederherstellung ihrer Daten wirklich gut. Sollte man zum Beispiel aus Versehen etwas gelöscht oder eine Festplatte formatiert haben, lautet das Motto: "Erst mal durchatmen, überlegen und auf keinen Fall weitere Daten auf dieses Medium schreiben". (mje)
Dieser Artikel basiert auf einem Beitrag der CW-Schwesterpublikation TecChannel.