Rettungspinguin

Linux als Notfall-System

Live-CDs können weit mehr als nur einen Eindruck von Linux bieten. Sie bringen Tools zum Partitionieren, Klonen und Analysieren havarierter Rechner mit.

Linux als Notfall-System

© Archiv

Linux als Notfall-System

Fast jeder Anwender kennt den Fall, dass sein Arbeitsgerät nicht startet. Zu DOS-Zeiten konnte man von Floppy starten und wichtige Daten auf Diskette sichern. Mit Windows XP oder Linux ist das nicht mehr ganz so einfach, denn bei diesen Systemen passt nicht einmal mehr der Kernel auf eine Floppy. Die logische Weiterentwicklung dieses Konzeptes ist die Knoppix-CD, bei der ein Klick auf ein Laufwerkssymbol genügt, um auf dort liegende Dateien zuzugreifen und sie auf einen USB-Stick zu kopieren. So weit, so ähnlich? doch einer Knoppix-CD kann weit mehr.

Bitte beachten Sie, dass die im Folgenden vorgestellten Befehle root-Rechte erfordern, also Administrationsrechte unter Linux. Verwenden Sie dazu entweder eine Root-Shell oder stellen Sie jedem Befehl das Kommando sudo voran.

Flotte Forensik

Gerade bei Speicherkarten, die mit dem FAT-Dateisystem formatiert sind, kommt es häufig vor, dass nach einer Beschädigung des Dateisystems auf Fotos nicht mehr zugegriffen werden kann. Aber auch defekte Partitionstabellen vereiteln den Zugriff auf gespeicherte Daten. Am ehesten lässt sich dieser Zustand mit einem Buch vergleichen, dem einige Seiten herausgerissen wurden unglücklicherweise Inhaltsverzeichnis und Stichwortverzeichnis vollständig, die gespeicherten Daten sind jedoch noch vorhanden. Knoppix bringt für die Suche das Werkzeug PhotoRec mit, das gespeicherte Dateien anhand typischer Byte-Sequenzen erkennt und wiederherstellen kann.

Linux als Notfall-System

© Archiv

Feintuning: PhotoRec setzen Sie auf bestimmte Dateitypen an. Das spart Platz und Zeit.

Auch wenn PhotoRec primär Foto- und Videodateien erkennt, ist die Liste der erkannten Dateitypen lang genug, um echte Forensik durchzuführen: Wer einen Server betreibt, wird sich über wiederhergestellte MySQL-Tabellen freuen, Office-Anwender können typische Excel-, Word- und Access-Dateien suchen lassen. Wie gut die Suchleistungen von PhotoRec sind, hängt neben dem Beschädigungs- und Fragmentierungsgrad des Dateisystems ganz stark vom Dateisystemtyp ab: "Flache" Dateisysteme wie FAT schneiden besser ab als komplexe Dateisysteme wie ReiserFS, die kleine Dateien im Binärbaum ablegen und die Anfänge großer Dateien nicht zwangsläufig auf Blockgrenzen legen.

PhotoRec sucht wahlweise auf ganzen Festplatten, Partitionen oder Image-Dateien eines Datenträgers nach verlorenen Dateien. Die Wiederherstellung erfolgt dabei nicht auf dem untersuchten Datenträger, sondern in ein beim Aufruf anzugebendes Verzeichnis. Achten Sie auf genügend Platz, da PhotoRec auf vielen Dateisystemen auch alte, "normal" gelöschte Dateien findet. PhotoRec kann deshalb auch auf unbeschädigten Dateisystemen als Datenretter verwendet werden. Der folgende Aufruf scannt /dev/hda und kopiert gefundene Dateien nach /tmp:

photorec /d /tmp /dev/hda

Ist ein Datenträger, auf dem PhotoRec nach Dateien suchen soll, physikalisch beschädigt, sollten Sie unbedingt eine Image-Datei anlegen oder die Festplatte komplett auf eine gleich große oder größere Festplatte klonen. Die bitgetreue Kopie kann auch mit den nachfolgend vorgestellten Programmen TestDisk und gpart untersucht werden. Ideales Tool für dieses Notfall-Imaging ist dd_rescue. Der Befehl:

dd_rescue -A /dev/hda1 hda1.img

erstellt ein Image der Partition /dev/hda1. Defekte Blöcke werden dabei mit Nullen aufgefüllt. Das Image kann später auf eine angelegte Partition einer intakten Festplatte zurückgespielt werden. Images leicht beschädigter Partitionen können Sie mit der Mount-Option -o loop ? vorzugsweise "readonly" einhängen. Abbilder stark beschädigter Partitionen eignen sich immer noch für den Scan mit PhotoRec.

Um eine gesamte Festplatte auf eine gleich große oder größere zu klonen, genügt die Angabe des Zielgerätes als Ausgabedatei:

dd_rescue -A /dev/hda /dev/hdc

Wies eine Festplatte vor dem Klonen nur leichte Beschädigungen auf und verfügt noch über eine unbeschädigte Partitionstabelle und weitgehend intakte Master File Tables, genügt in vielen Fällen die Nutzung des passenden Prüfprogrammes (chkdisk oder fsck), um ein konsistentes Dateisystem zu erhalten. Da die Ergebnisse des Dateisystemchecks schwer vorhersehbar sind, ist ein Scan mit PhotoRec vorher sinnvoll.

Mehr zum Thema

festplatte, hardware, pc, hdd
Gelöschte Dateien wiederherstellen

Wir zeigen Ihnen, wie Sie verloren geglaubte Daten retten können - etwa mit dem kostenlosen Tool Recuva.
Windows 10 Sicherheit: Symbolbild
Computer ohne Werbung

Wir zeigen, wie Sie Adware vermeiden, damit Sie sich im Anschluss an die Installation nicht mühsam entfernen müssen.
Sicherheit im Urlaub
Diebstahlschutz, offene WLANs und Co.

Diebstahlschutz für Smartphones, Schutz in offenen WLANs und Co: Worauf Sie beim Reisen achten sollten, um böse Überraschungen zu vermeiden.
Facebook-Betrug mit Fake-Profilen
Gefälschte Facebook-Konten

Betrüger nutzen gefälschte Facebook-Profile, um Geld zu ergaunern. Wir zeigen, wie Sie sich und auch Ihre Facebook-Kontakte gegen die Betrugsmasche…
Festplatte Verschlüsselung
Windows

Wir vergleichen den mittlerweile eingestellten Marktführer TrueCrypt mit dem Nachfolger Veracrypt und der Alternative Bitlocker.