Datenwiederherstellung - Wikipedia

In der Datenverarbeitung ist die Datenwiederherstellung ein Vorgang des Wiederherstellens (Abrufens) unzugänglicher, verlorener, beschädigter, beschädigter oder formatierter Daten aus einem sekundären Speicher, Wechseldatenträgern oder Dateien, wenn auf die darin gespeicherten Daten nicht zugegriffen werden kann auf normale Weise. Die Daten werden meistens von Speichermedien wie internen oder externen Festplatten (HDDs), Solid-State-Laufwerken (SSDs), USB-Flashlaufwerken, Magnetbändern, CDs, DVDs, RAID-Subsystemen und anderen elektronischen Geräten gespeichert. Möglicherweise ist eine Wiederherstellung erforderlich, da physische Schäden an den Speichergeräten oder logische Schäden am Dateisystem auftreten, die verhindern, dass es vom Host-Betriebssystem (OS) eingehängt wird.

Das am häufigsten vorkommende Datenwiederherstellungsszenario umfasst einen Ausfall des Betriebssystems, eine Fehlfunktion eines Speichergeräts, einen logischen Ausfall von Speichergeräten, versehentliche Beschädigung oder Löschung usw. (normalerweise auf einem einzelnen Laufwerk, einer einzelnen Partition und einem einzelnen Betriebssystem) System). In diesem Fall müssen Sie lediglich alle wichtigen Dateien von den beschädigten Medien auf ein anderes neues Laufwerk kopieren. Dies kann leicht mit einer Live-CD oder -DVD erreicht werden, indem Sie direkt von einem ROM-Laufwerk aus starten, anstatt das betreffende beschädigte Laufwerk zu verwenden. Viele Live-CDs oder DVDs bieten die Möglichkeit, das Systemlaufwerk und die Sicherungslaufwerke oder Wechselmedien einzuhängen und die Dateien mit einem Dateimanager oder einer Authoring-Software für optische Datenträger vom Systemlaufwerk auf das Sicherungsmedium zu verschieben. Solche Fälle können oft durch Festplattenpartitionierung gemildert werden und das Speichern von wertvollen Datendateien (oder Kopien davon) auf einer anderen Partition als die ersetzbaren Betriebssystemdateien des Betriebssystems.

Ein anderes Szenario ist ein Fehler auf Laufwerksebene, z. B. ein gefährdetes Dateisystem oder eine Laufwerkpartition oder ein Festplattenfehler. In jedem dieser Fälle können die Daten nicht einfach von den Mediengeräten gelesen werden. Je nach Situation umfassen Lösungen das Reparieren des logischen Dateisystems, der Partitionstabelle oder des Master-Boot-Datensatzes oder das Aktualisieren der Firmware- oder Laufwerkwiederherstellungstechniken, von der softwarebasierten Wiederherstellung beschädigter Daten bis hin zur hardware- und softwarebasierten Wiederherstellung beschädigter Dienstbereiche ( auch als "Firmware" (Festplattenlaufwerk) des Festplattenlaufwerks bezeichnet), für den Hardwareaustausch auf einem physisch beschädigten Laufwerk, wodurch die Daten auf ein neues Laufwerk extrahiert werden können. Wenn eine Wiederherstellung des Laufwerks erforderlich ist, ist das Laufwerk selbst normalerweise dauerhaft ausgefallen, und der Fokus liegt eher auf einer einmaligen Wiederherstellung, bei der alle Daten, die gelesen werden können, gerettet werden.

In einem dritten Szenario wurden Dateien von Benutzern versehentlich von einem Speichermedium "gelöscht". Normalerweise wird der Inhalt gelöschter Dateien nicht sofort vom physischen Laufwerk entfernt. stattdessen werden Verweise auf sie in der Verzeichnisstruktur entfernt, und anschließend wird der Speicherplatz, den die gelöschten Daten belegen, für das spätere Überschreiben verfügbar gemacht. Für Endbenutzer können gelöschte Dateien nicht über einen Standard-Dateimanager erkannt werden, die gelöschten Daten sind jedoch technisch immer noch auf dem physischen Laufwerk vorhanden. In der Zwischenzeit verbleibt der Inhalt der Originaldatei, oft in einer Reihe von nicht verbundenen Fragmenten, und kann wiederhergestellt werden, wenn sie nicht durch andere Dateien überschrieben wird.

Der Begriff "Datenwiederherstellung" wird auch im Zusammenhang mit forensischen Anwendungen oder Spionage verwendet, wenn verschlüsselte oder verborgene Daten anstelle von beschädigten Daten wiederhergestellt werden. Manchmal werden auf dem Computer vorhandene Daten verschlüsselt oder ausgeblendet, beispielsweise durch Virenbefall, der nur von bestimmten forensischen Experten für Computer wiederhergestellt werden kann.

Physischer Schaden [ edit ]

Eine Vielzahl von Ausfällen kann zu physischen Schäden an Speichermedien führen, die durch menschliche Fehler und Naturkatastrophen verursacht werden können. Bei CD-ROMs kann das metallische Substrat oder die Farbstoffschicht abgerissen sein. Festplatten können von einer Vielzahl mechanischer Fehler betroffen sein, z. B. Kopfabstürze und ausgefallene Motoren. Bänder können einfach brechen.

Wenn eine Festplatte physisch beschädigt wird, bedeutet dies nicht notwendigerweise, dass es zu einem permanenten Datenverlust kommt, selbst wenn ein Kopfcrash aufgetreten ist. Die von vielen professionellen Datenwiederherstellungsunternehmen angewandten Techniken können in der Regel die meisten, wenn nicht sogar alle Daten retten, die bei einem Ausfall verloren gegangen sind.

Natürlich gibt es hiervon Ausnahmen, beispielsweise Fälle, in denen die Platten der Festplatte stark beschädigt wurden. Wenn jedoch die Festplatte repariert werden kann und ein vollständiges Image oder ein Klon erstellt werden kann, kann die logische Dateistruktur in den meisten Fällen neu erstellt werden.

Die meisten physischen Schäden können von Endbenutzern nicht repariert werden. Wenn Sie beispielsweise ein Festplattenlaufwerk in einer normalen Umgebung öffnen, kann sich Staub in der Luft auf dem Plattenteller absetzen und zwischen dem Plattenteller und dem Lese- / Schreibkopf hängen bleiben. Während des normalen Betriebs schwimmen Schreib- / Leseköpfe 3 bis 6 Nanometer über der Plattenoberfläche, und die durchschnittlichen Staubteilchen, die in einer normalen Umgebung gefunden werden, haben typischerweise einen Durchmesser von etwa 30.000 Nanometern. ^[1] Wenn sich diese Staubteilchen zwischen dem Lesen und Schreiben verfangen Köpfe und der Plattenteller können neue Kopfabstürze verursachen, die den Plattenteller weiter beschädigen und somit den Wiederherstellungsprozess beeinträchtigen. Darüber hinaus verfügen Endbenutzer im Allgemeinen nicht über die Hardware oder das technische Know-how, um diese Reparaturen durchzuführen. Infolgedessen werden Datenwiederherstellungsunternehmen häufig eingesetzt, um wichtige Daten mit den angeseheneren Daten in staub- und statikfreien Reinräumen der Klasse 100 zu retten. ^[2]

Wiederherstellungsverfahren [ edit ]

Daten wiederherstellen Bei physisch beschädigter Hardware kann es mehrere Techniken geben. ^[3] Einige Schäden können repariert werden, indem Teile der Festplatte ersetzt werden. Dies allein macht die Festplatte möglicherweise nutzbar, aber es kann immer noch ein logischer Schaden entstehen. Mit einem speziellen Disk-Imaging-Verfahren wird jedes lesbare Bit von der Oberfläche wiederhergestellt. Sobald dieses Bild auf einem zuverlässigen Medium erfasst und gespeichert wurde, kann das Bild sicher auf logischen Schaden analysiert werden und ermöglicht möglicherweise die Rekonstruktion eines großen Teils des ursprünglichen Dateisystems.

Reparatur von Hardware [ edit ]

Medien, bei denen ein schwerwiegender elektronischer Fehler aufgetreten ist, erfordern eine Datenwiederherstellung, um den Inhalt zu retten.

Ein häufiges Missverständnis ist, dass eine gedruckte Schaltung beschädigt ist Die Platine (PCB) kann bei Wiederherstellungsprozeduren einfach durch eine identische PCB aus einem fehlerfreien Laufwerk ersetzt werden. Dies funktioniert zwar in seltenen Fällen auf Festplattenlaufwerken, die vor 2003 hergestellt wurden, aber auf neueren Laufwerken nicht. Elektronikplatinen moderner Laufwerke enthalten normalerweise antriebsspezifische Anpassungsdaten (im Allgemeinen eine Karte mit fehlerhaften Sektoren und Abstimmungsparametern) und andere Informationen, die für einen ordnungsgemäßen Zugriff auf die Daten auf dem Laufwerk erforderlich sind. Ersatzplatinen benötigen diese Informationen häufig, um alle Daten effektiv wiederherzustellen. Die Ersatzplatine muss möglicherweise neu programmiert werden. Einige Hersteller (zum Beispiel Seagate) speichern diese Informationen auf einem seriellen EEPROM-Chip, der entfernt und auf die Ersatzplatine übertragen werden kann. ^{[4] [5]}

jeweils ein Festplattenlaufwerk hat einen sogenannten Systembereich oder Servicebereich ; Dieser Teil des Laufwerks, auf den der Endbenutzer nicht direkt zugreifen kann, enthält normalerweise Laufwerksfirmware und adaptive Daten, die dem Laufwerk helfen, innerhalb normaler Parameter zu arbeiten. ^[6] Eine Funktion des Systembereichs besteht darin, defekte Sektoren innerhalb des Laufwerks zu protokollieren. im Wesentlichen dem Laufwerk sagen, wo es Daten schreiben kann und nicht.

Die Sektorlisten werden auch auf verschiedenen Chips auf der Leiterplatte gespeichert und sind für jedes Festplattenlaufwerk eindeutig. Wenn die Daten auf der Platine nicht mit den auf dem Plattenteller gespeicherten Daten übereinstimmen, wird das Laufwerk nicht ordnungsgemäß kalibriert. ^[7] In den meisten Fällen klicken die Laufwerksköpfe, da sie die Daten nicht finden können, die mit den auf der Platine gespeicherten Daten übereinstimmen .

Logischer Schaden [ edit ]

Ergebnis einer fehlgeschlagenen Datenwiederherstellung von einer Festplatte.

Der Begriff "logischer Schaden" bezieht sich auf Situationen, in denen der Fehler nicht vorliegt ein Problem in der Hardware und erfordert Softwarelösungen.

Beschädigte Partitionen und Dateisysteme, Medienfehler [ edit ]

In einigen Fällen können Daten auf einem Festplattenlaufwerk aufgrund einer Beschädigung der Partitionstabelle oder des Dateisystems unlesbar sein. oder auf (intermittierende) Medienfehler. In den meisten Fällen kann mindestens ein Teil der Originaldaten wiederhergestellt werden, indem die beschädigte Partitionstabelle oder das Dateisystem mit einer speziellen Datenwiederherstellungssoftware wie Testdisk repariert wird. Software wie dd rescue kann trotz gelegentlich auftretender Fehler Medien erstellen und Rohdaten erzeugen, wenn Partitionstabellen oder Dateisysteme beschädigt sind. Diese Art der Datenwiederherstellung kann von Personen ohne Erfahrung mit der Laufwerkshardware durchgeführt werden, da keine speziellen physischen Geräte oder der Zugriff auf Platten erforderlich ist.

Manchmal können Daten mit relativ einfachen Methoden und Werkzeugen wiederhergestellt werden. ^[8] In schwerwiegenden Fällen kann ein Eingreifen eines Experten erforderlich sein, insbesondere wenn Teile von Dateien nicht wiederhergestellt werden können. Beim Data Carving handelt es sich um die Wiederherstellung von Teilen beschädigter Dateien mit Kenntnis ihrer Struktur.

Überschriebene Daten [ edit ]

Nachdem Daten auf einem Festplattenlaufwerk physisch überschrieben wurden, wird im Allgemeinen davon ausgegangen, dass die vorherigen Daten nicht mehr wiederherstellbar sind. Der Informatiker Peter Gutmann stellte 1996 eine Arbeit vor, in der vorgeschlagen wurde, dass mit Hilfe der Magnetkraftmikroskopie überschriebene Daten wiederhergestellt werden könnten. ^[9] 2001 stellte er eine weitere Arbeit zu einem ähnlichen Thema vor. ^[10] Um dies zu verhindern Art der Datenwiederherstellung haben Gutmann und Colin Plumb eine Methode zum irreversiblen Löschen von Daten entwickelt, die als Gutmann-Methode bezeichnet wird und von mehreren Softwarepaketen für das Festplatten-Scrubben verwendet wird.

Es folgte eine substanzielle Kritik, die sich in erster Linie auf das Fehlen konkreter Beispiele für die Wiedererlangung erheblicher Mengen überschriebener Daten bezieht. ^[11] Obwohl Gutmanns Theorie möglicherweise richtig ist, gibt es keine praktischen Beweise dafür, dass überschriebene Daten während der Forschung wiederhergestellt werden können ^{[ [12]} [1945947] [13] [12] [14]

Bei Solid-State-Laufwerken (SSD) werden Daten anders als bei Festplattenlaufwerken (HDD) überschrieben, wodurch zumindest einige ihrer Daten leichter wiederhergestellt werden können. Die meisten SSDs verwenden Flash-Speicher zum Speichern von Daten in Seiten und Blöcken, auf die durch logische Blockadressen (LBA) verwiesen wird, die von der Flash-Übersetzungsschicht (FTL) verwaltet werden. Wenn die FTL einen Sektor ändert, schreibt sie die neuen Daten an einen anderen Ort und aktualisiert die Karte, sodass die neuen Daten in der Ziel-LBA angezeigt werden. Dies lässt die Vormodifikationsdaten an Ort und Stelle, möglicherweise mit vielen Generationen, und kann durch Datenwiederherstellungssoftware wiederhergestellt werden.

Verlorene, gelöschte und formatierte Daten [ edit ]

Manchmal gehen Daten in den physischen Laufwerken (interne / externe Festplatte, Pen-Laufwerk usw.) verloren und werden gelöscht und aufgrund von Umständen wie Virenbefall, versehentlichem Löschen oder versehentlicher Verwendung von UMSCHALT + ENTF formatiert. In diesen Fällen wird Datenwiederherstellungssoftware zum Wiederherstellen / Wiederherstellen der Datendateien verwendet.

Logischer fehlerhafter Sektor [ edit ]

In der Liste der logischen Fehler von Festplatten ist der logisch fehlerhafte Sektor der häufigste, in dem Datendateien nicht aus einem bestimmten Sektor abgerufen werden können die Medienlaufwerke. Um dies zu beheben, wird Software verwendet, um die logischen Sektoren des Medienlaufwerks zu korrigieren. Wenn dies nicht ausreicht, muss die Hardware, die die logischen fehlerhaften Sektoren enthält, ersetzt werden.

Remote-Datenwiederherstellung [ edit ]

Wiederherstellungsexperten müssen nicht immer physischen Zugriff auf die beschädigte Hardware haben. Wenn die verlorenen Daten durch Softwaretechniken wiederhergestellt werden können, können sie die Wiederherstellung häufig mithilfe von Fernzugriffssoftware über das Internet, LAN oder eine andere Verbindung zum physischen Ort des beschädigten Mediums durchführen. Der Prozess unterscheidet sich im Wesentlichen nicht von dem, was der Endbenutzer selbst ausführen kann. ^[15]

Die Remote-Wiederherstellung erfordert eine stabile Verbindung mit einer ausreichenden Bandbreite. Es ist jedoch nicht anwendbar, wenn ein Zugriff auf die Hardware erforderlich ist, wie bei physischen Schäden.

Vier Phasen der Datenwiederherstellung [ edit ]

Normalerweise gibt es vier Phasen für eine erfolgreiche Datenwiederherstellung. Diese können jedoch je nach Art der Datenkorruption und -wiederherstellung variieren erforderlich. ^[16]

Phase 1

Festplattenlaufwerk reparieren

Das Festplattenlaufwerk wird repariert, um es in irgendeiner Form zum Laufen zu bringen oder zumindest in einem Zustand, der zum Lesen der Daten geeignet ist. Wenn zum Beispiel die Köpfe schlecht sind, müssen sie ausgetauscht werden. Wenn die Leiterplatte fehlerhaft ist, muss sie repariert oder ersetzt werden. Wenn der Spindelmotor defekt ist, sollten die Platten und Köpfe auf ein neues Laufwerk verschoben werden.

Phase 2

Image des Laufwerks auf ein neues Laufwerk oder eine Disk-Image-Datei

Wenn ein Festplattenlaufwerk ausfällt, ist dies von Bedeutung Die Daten vom Laufwerk zu bekommen hat oberste Priorität. Je länger ein fehlerhaftes Laufwerk verwendet wird, desto wahrscheinlicher ist ein weiterer Datenverlust. Durch das Erstellen eines Image des Laufwerks wird sichergestellt, dass auf einem anderen Gerät eine sekundäre Kopie der Daten vorhanden ist, auf der Test- und Wiederherstellungsprozeduren sicher ausgeführt werden können, ohne die Quelle zu beschädigen.

Phase 3

Logische Wiederherstellung von Dateien, Partitions-, MBR- und Dateisystemstrukturen

Nachdem das Laufwerk auf ein neues Laufwerk geklont wurde, kann es versuchen, verlorene Daten abzurufen. Wenn das Laufwerk logisch ausgefallen ist, gibt es dafür verschiedene Gründe. Mit dem Klon kann es möglich sein, die Partitionstabelle oder den Master Boot Record (MBR) zu reparieren, um die Datenstruktur des Dateisystems zu lesen und gespeicherte Daten abzurufen.

Phase 4

Reparieren beschädigter Dateien, die abgerufen wurden

Datenschäden können verursacht werden, wenn zum Beispiel eine Datei in einen beschädigten Sektor des Laufwerks geschrieben wird. Dies ist die häufigste Ursache in einem fehlerhaften Laufwerk. Dies bedeutet, dass Daten rekonstruiert werden müssen, um lesbar zu werden. Beschädigte Dokumente können mit verschiedenen Softwaremethoden oder durch manuelles Rekonstruieren des Dokuments mit einem Hex-Editor wiederhergestellt werden.

Wiederherstellungsdatenträger [ edit ]

Das Windows-Betriebssystem kann auf einem Computer neu installiert werden das ist bereits dafür lizenziert. Die Neuinstallation kann durch Herunterladen des Betriebssystems oder durch Verwendung einer vom Computerhersteller bereitgestellten "Wiederherstellungsdiskette" erfolgen. Eric Lundgren wurde im April 2018 zu einer Geldstrafe verurteilt und zu einem US-Bundesgefängnis verurteilt, weil er 28.000 Wiederherstellungsdatenträger hergestellt hatte und beabsichtigte, sie für je etwa 25 Cent als Computerwerkstatt zu verkaufen. ^[17]

Liste der Datenwiederherstellungssoftware edit ]

Bootable [ edit ]

Die Datenwiederherstellung kann nicht immer auf einem laufenden System ausgeführt werden. Daher enthält eine Bootdiskette, Live-CD, Live-USB oder eine andere Live-Distribution ein minimales Betriebssystem.

• BartPE: Eine leichtere Variante von 32-Bit-Betriebssystemen von Microsoft Windows XP oder Windows Server 2003, ähnlich einer Windows-Vorinstallationsumgebung, die von einem Live-CD- oder einem Live-USB-Laufwerk ausgeführt werden kann. Einstellung eingestellt.


• Finnix: Eine Debian-basierte LiveCD mit dem Schwerpunkt, klein und schnell zu sein, nützlich für die Rettung von Computern und Daten.


• Data Rescue 4: Eine bootfähige Mac OS X-Wiederherstellungs-DVD von Prosoft Engineering unterstützt HFS und HFS + Dateisysteme


• Data Rescue PC4: Eine Linux-basierte Live-CD / Live USB mit Software zur Wiederherstellung von Dateien von Prosoft Engineering unterstützt FAT- und NTFS-Dateisysteme.


• Disk Drill Basic: Kann bootfähige Mac OS X USB-Laufwerke erstellen Datenwiederherstellung


• Knoppix: Enthält Dienstprogramme für die Datenwiederherstellung in Linux


• SpinRite: Ein FreeDOS-basiertes Datenwiederherstellungstool für Festplatten und Magnetspeichergeräte


• SystemRescueCD: Eine auf Gentoo basierende Live-CD, die zum Reparieren nicht bootfähiger Computersysteme verwendet werden kann Abrufen von Daten nach einem Systemabsturz


• Windows-Vorinstallationsumgebung (WinPE): Eine anpassbare Microsoft Windows-Boot-DVD (von Microsoft erstellt und kostenlos vertrieben). Kann geändert werden, um mit einem der aufgeführten Programme zu booten.

Konsistenzprüfgeräte [ edit ]

• CHKDSK: Ein Konsistenzprüfprogramm für DOS- und Windows-Systeme


• Disk First Aid: A Konsistenzprüfung für Mac OS 9


• Disk Utility: Eine Konsistenzprüfung für Mac OS X


• fsck: Eine Konsistenzprüfung für UNIX


• gparted: Eine GUI für GNU Parted, der GNU-Partitionseditor, der fsck aufrufen kann. 19659093] Wiederherstellung von Dateien [ edit ]
  

  Forensics [ edit ]

  
  
  
  • EnCase: Eine von Guidance Software entwickelte Suite von forensischen Werkzeugen Imaging- und forensische Analyse für UNIX-, Linux- und Windows-Systeme
  
  
  • Foremost: Ein Open-Source-Programm zur Wiederherstellung von CLI-Dateien, das ursprünglich von der US-Luftwaffenbehörde für Sonderuntersuchungen und dem NPS-Zentrum für Studien und Untersuchungen der Informationssystemsicherheit entwickelt wurde.
  
  
  • Forensic Toolkit: von AccessData, verwendet von Strafverfolgungsbehörden
  
  
  • Öffnen Computerforensik-Architektur: Ein Open-Source-Programm, das unter Linux ausgeführt wird
  
  
  • The Coroner's Toolkit: Eine Reihe von Dienstprogrammen, die die forensische Analyse eines UNIX-Systems nach einem Einbruch unterstützen
  
  
  • Das Sleuth-Kit: Auch bekannt als TSK, Das Sleuth-Kit ist eine Suite von forensischen Analysetools, die von Brian Carrier für UNIX-, Linux- und Windows-Systeme entwickelt wurden. TSK enthält den forensischen Browser Autopsy.

  Imaging-Tools [ edit ]

  
  
  
  
  • Clonezilla: Klonen, Disk-Imaging, Datenwiederherstellung und Deployment-Bootdiskette
  
  
  • ddrescue: ein Open-Source-Tool ähnlich wie dd, jedoch mit der Möglichkeit, fehlerhafte Blöcke auf ausfallenden Speichergeräten zu überspringen und anschließend erneut zu versuchen
  
  
  • dd: allgemeines Byte-to-Byte-Klonwerkzeug auf Unix-basierten Systemen

  Unternehmen edit ]

  
  

  Siehe auch [ edit ]

  
  
  
  

  Verweise [ edit

  
  
  

  edit ]

  
  
  • Tanenbaum, A. & Woodhull, AS (1997). Betriebssysteme: Entwurf und Implementierung, 2. Aufl. New York: Prentice Hall.
  
  
  • Datenwiederherstellung in Curlie