Rettungspinguin

Teil 2: Linux als Notfall-System

Ist die Partitionstabelle beschädigt oder versehentlich überschrieben, lassen sich Typ und Anfang der vorhandenen Dateisysteme nicht ermitteln, weshalb eine Reparatur nicht möglich ist. Bei Festplatten, die nur eine große Windows-Partition enthalten, ist schnell eine Lösung gefunden: Es genügt, mit fdisk eine Partition des richtigen Typs von vorne bis hinten anzulegen. Anders die Situation, wenn mehrere Partitionen (Windows, Linux, Linux Swap) auf einer Festplatte koexisitieren.

Für die Suche nach den Partitionsanfängen schicken Knoppix und Co. die beiden Werkzeuge TestDisk und gpart (guess partition) ins Rennen. Einen vollen Scan nach Partitionen starten Sie mit

gpart -f /dev/hda

Sind Sie mit dem Scan-Ergebnis so weit zufrieden, schreiben sie die Partitionstabelle mit

gpart -W /dev/hda /dev/hda

Erscheint die vermutete Partitionstabelle nicht plausibel, sollten Sie die Partitionstabelle in eine Datei schreiben, diese mit fdisk bearbeiten und später mit dd auf die Festplatte kopieren.

Da gpart auch Partitionen findet, die vor langer Zeit gelöscht wurden, aber noch Überreste von Dateisystemen enthalten, sollten Sie jede gefundene Partition auf Plausibilität prüfen. Nach dem gleichen Prinzip, aber mit einem etwas komfortableren Frontend arbeitet TestDisk. Das Tool korrigiert zudem Fehler, die durch defekte Bootloader verursacht werden. Dafür ist die Erkennungsleistung von gpart besser - TestDisk zeigt eine höhere Zahl von Fehlalarmen.

Virtueller Kammerjäger

Dank Start vom sauberen Medium scheinen Live-Medien ideal für die Virensuche geeignet sein. Leider hinken die meisten freien Virenscanner deutlich der kommerziellen Konkurrenz hinterher. Sie bringen zwar beim Aufspüren typischer Mail-Würmer gute Erkennungsleistungen, weshalb sie gerne auf Mailsystemen eingesetzt werden, finden aber selten Schadsoftware, die sich bereits eingenistet hat. Dank transparent über dem Read-Only-Dateisystem der CD liegendem UnionFS kann jedoch unter Knoppix und Insert Software nachinstalliert werden. Recht gut mit Live-CDs harmoniert AntiVir von www.freeav.de, der nach Download und Entpacken mit dem Kommando ./install ins UnionFS installiert wird. Anschließend aktualisiert

Linux als Notfall-System

© Archiv

Kammerjäger: AntiVir startet Script gesteuert mit Parametern für die Suche.
antivir --update

die Signaturen, woraufhin der Scanner bereitsteht. Zu überprüfende Partitionen müssen gemountet sein:

antivir -z -s /media/hda1

Zum Testzeitpunkt harmonierte die in Java-Oberfläche leider nicht optimal mit Live-CDs, da sie alle Dateisysteme unterhalb vom Wurzelverzeichnis scannte, also auch den Inhalt des komprimierten Live-Dateisystems und dessen Containerdatei.

Findet AntiVir Schädlinge, sollen diese in der Regel gleich beseitigt werden. Leider bringt Linux noch keinen Kernel-NTFS-Treiber mit, der sichere Schreibzugriffe zulässt. Praktisch alle Live-CDs setzen deshalb auf so genannte Userspace-Treiber, die zwar sehr langsam arbeiten, aber immerhin für die Desinfektion einzelner Dateien ausreichen.

Unter Knoppix genügt ein Rechtsklick auf die betreffende Partition und die Wahl des Menüpunktes "Lese-Schreibmodus ändern", um Schreibrechte zu erlangen. Anschließend können mit

antivir -z -s -e -ren /media/hda1

gefundene Schädlinge ihrer angemessenen Behandlung zugeführt werden.

Rückstandsfrei sauber

Dass das Formatieren einer Festplatte nicht genügt, um alle Daten rückstandsfrei zu löschen, zeigt bereits PhotoRec. Was also tun, damit der Käufer Ihres Rechners nicht an Ihre Urlaubsbilder und E-Mails herankommt? Am besten ist es, die Festplatte ohne Rücksicht auf Partitionen Block für Block zu überschreiben. Ein Werkzeug, das dies nach den Spezifikationen der US-Militärs mit alternierenden Mustern tut, ist DBAN.

Weil aber seit dem Ende der Sieben-Zoll-Floppies noch nie mittels Restmagnetismus Daten rekonstruiert werden konnten, gehört das siebenmalige Überschreiben als einzig sichere Löschmethode ins Reich der Agententhriller. Das Nullen mit einer Knoppix-CD sollte genügen und ist darüber hinaus flotter. Zum Einsatz kommt das Universal-Tool dd, das die Inhalte einer (Geräte-) Datei auf eine andere kopiert, mit dem Befehl

dd if=/dev/zero of=/dev/hda

für die erste Festplatte im System /hda. Mit Software alleine lassen sich jetzt keine Daten mehr rekonstruieren. Sollten Sie befürchten, dass jemand die Festplatten zerlegt und anhand kleinster Unterschiede in der Felddichte einzelne Bits wiederherstellt, können Sie zunächst Zufallszahlen als Datenquelle verwenden und in einem zweiten Durchgang noch einmal Nullen drüberschreiben:

dd if=/dev/urandom of=/dev/hda 
dd if=/dev/zero of=/dev/hda

Wollen Sie private Daten vor dem Einsenden einer defekten Festplatte an den Hersteller löschen, wird dd schnell fehlschlagen. Auch hier ist dd_rescue die Antwort. Der Parameter -A ist nicht notwendig, da bei /dev/zero als Eingabedatei keine Lesefehler zu erwarten sind:

dd_rescue /dev/zero /dev/hda

Partitionsrochade

Auch für viele Arbeiten an der Partitionierung Ihrer Festplatten müssen Sie keine teure kommerzielle Software bemühen. Knoppix und Insert bringen das Tool gparted mit, das beim Verkleinern und Vergrößern von Partitionen hilft. Zudem können Sie im Bootmenü die etwas aktuellere Gparted-Live-CD auswählen. Neuere Versionen von gparted (ab 0.3) können NTFS-Partitionen auch verschieben. Wenn Sie gparted von einer Knoppix- oder Insert-CD starten, müssen Sie vor Änderungen an der Partitionstabelle eingehängte Partitionen mit dem Befehl umount unmounten und die Verwendung des Auslagerungsspeichers stoppen:

Linux als Notfall-System

© Archiv

Frei: Gparted Live ist ein veritabler Ersatz für kommerzielle Partitionierungs-Tools.
swapoff -a

Dass keine Partition mehr gemountet ist, zeigt df. Mit top oder free erhalten Sie die Bestätigung, dass Swap deaktiviert wurde. Sollten Sie NTFS-Partitionen verkleinern wollen, ist es ratsam, das enthaltene Dateisystem vorher unter Windows zu defragmentieren und die Auslagerungsdatei beim Herunterfahren löschen zu lassen. Den Partitionierer starten Sie mit sudo gparted oder aus dem Startmenü der Live-Scheibe. Falls Sie Platz für nur eine Linux-Installation schaffen wollen, reicht es, die Windows-Partition zu verkleinern. Aktuelle Distributionen legen dann im freien Platz selbsttätig Partitionen an.

Fazit

Tatsächlich lässt Knoppix ?idealerweise unterstützt durch Gparted Live und Insert? hinsichtlich der Funktionalität kaum Wünsche offen. Leider sind viele Toolswie ntfsclone noch reine Kommandozeilenwerkzeuge.

Mehr zum Thema

festplatte, hardware, pc, hdd
Gelöschte Dateien wiederherstellen

Wir zeigen Ihnen, wie Sie verloren geglaubte Daten retten können - etwa mit dem kostenlosen Tool Recuva.
Windows 10 Sicherheit: Symbolbild
Computer ohne Werbung

Wir zeigen, wie Sie Adware vermeiden, damit Sie sich im Anschluss an die Installation nicht mühsam entfernen müssen.
Sicherheit im Urlaub
Diebstahlschutz, offene WLANs und Co.

Diebstahlschutz für Smartphones, Schutz in offenen WLANs und Co: Worauf Sie beim Reisen achten sollten, um böse Überraschungen zu vermeiden.
Facebook-Betrug mit Fake-Profilen
Gefälschte Facebook-Konten

Betrüger nutzen gefälschte Facebook-Profile, um Geld zu ergaunern. Wir zeigen, wie Sie sich und auch Ihre Facebook-Kontakte gegen die Betrugsmasche…
Festplatte Verschlüsselung
Windows

Wir vergleichen den mittlerweile eingestellten Marktführer TrueCrypt mit dem Nachfolger Veracrypt und der Alternative Bitlocker.