Linux als Notfall-System

Fast jeder Anwender kennt den Fall, dass sein Arbeitsgerät nicht startet. Zu DOS-Zeiten konnte man von Floppy starten und wichtige Daten auf Diskette sichern. Mit Windows XP oder Linux ist das nicht mehr ganz so einfach, denn bei diesen Systemen passt nicht einmal mehr der Kernel auf eine Floppy. Die logische Weiterentwicklung dieses Konzeptes ist die Knoppix-CD, bei der ein Klick auf ein Laufwerkssymbol genügt, um auf dort liegende Dateien zuzugreifen und sie auf einen USB-Stick zu kopieren. So weit, so ähnlich? doch einer Knoppix-CD kann weit mehr.

Bitte beachten Sie, dass die im Folgenden vorgestellten Befehle root-Rechte erfordern, also Administrationsrechte unter Linux. Verwenden Sie dazu entweder eine Root-Shell oder stellen Sie jedem Befehl das Kommando sudo voran.

Flotte Forensik

Gerade bei Speicherkarten, die mit dem FAT-Dateisystem formatiert sind, kommt es häufig vor, dass nach einer Beschädigung des Dateisystems auf Fotos nicht mehr zugegriffen werden kann. Aber auch defekte Partitionstabellen vereiteln den Zugriff auf gespeicherte Daten. Am ehesten lässt sich dieser Zustand mit einem Buch vergleichen, dem einige Seiten herausgerissen wurden unglücklicherweise Inhaltsverzeichnis und Stichwortverzeichnis vollständig, die gespeicherten Daten sind jedoch noch vorhanden. Knoppix bringt für die Suche das Werkzeug PhotoRec mit, das gespeicherte Dateien anhand typischer Byte-Sequenzen erkennt und wiederherstellen kann.

Auch wenn PhotoRec primär Foto- und Videodateien erkennt, ist die Liste der erkannten Dateitypen lang genug, um echte Forensik durchzuführen: Wer einen Server betreibt, wird sich über wiederhergestellte MySQL-Tabellen freuen, Office-Anwender können typische Excel-, Word- und Access-Dateien suchen lassen. Wie gut die Suchleistungen von PhotoRec sind, hängt neben dem Beschädigungs- und Fragmentierungsgrad des Dateisystems ganz stark vom Dateisystemtyp ab: "Flache" Dateisysteme wie FAT schneiden besser ab als komplexe Dateisysteme wie ReiserFS, die kleine Dateien im Binärbaum ablegen und die Anfänge großer Dateien nicht zwangsläufig auf Blockgrenzen legen.

PhotoRec sucht wahlweise auf ganzen Festplatten, Partitionen oder Image-Dateien eines Datenträgers nach verlorenen Dateien. Die Wiederherstellung erfolgt dabei nicht auf dem untersuchten Datenträger, sondern in ein beim Aufruf anzugebendes Verzeichnis. Achten Sie auf genügend Platz, da PhotoRec auf vielen Dateisystemen auch alte, "normal" gelöschte Dateien findet. PhotoRec kann deshalb auch auf unbeschädigten Dateisystemen als Datenretter verwendet werden. Der folgende Aufruf scannt /dev/hda und kopiert gefundene Dateien nach /tmp:

Ist ein Datenträger, auf dem PhotoRec nach Dateien suchen soll, physikalisch beschädigt, sollten Sie unbedingt eine Image-Datei anlegen oder die Festplatte komplett auf eine gleich große oder größere Festplatte klonen. Die bitgetreue Kopie kann auch mit den nachfolgend vorgestellten Programmen TestDisk und gpart untersucht werden. Ideales Tool für dieses Notfall-Imaging ist dd_rescue. Der Befehl:

erstellt ein Image der Partition /dev/hda1. Defekte Blöcke werden dabei mit Nullen aufgefüllt. Das Image kann später auf eine angelegte Partition einer intakten Festplatte zurückgespielt werden. Images leicht beschädigter Partitionen können Sie mit der Mount-Option -o loop ? vorzugsweise "readonly" einhängen. Abbilder stark beschädigter Partitionen eignen sich immer noch für den Scan mit PhotoRec.

Um eine gesamte Festplatte auf eine gleich große oder größere zu klonen, genügt die Angabe des Zielgerätes als Ausgabedatei:

Wies eine Festplatte vor dem Klonen nur leichte Beschädigungen auf und verfügt noch über eine unbeschädigte Partitionstabelle und weitgehend intakte Master File Tables, genügt in vielen Fällen die Nutzung des passenden Prüfprogrammes (chkdisk oder fsck), um ein konsistentes Dateisystem zu erhalten. Da die Ergebnisse des Dateisystemchecks schwer vorhersehbar sind, ist ein Scan mit PhotoRec vorher sinnvoll.