Archäologe

Datenverluste sind zwar oft auf defekte Hardware zurückzuführen. Gelegentlich gibt es jedoch andere Ursachen, etwa Software- oder Bedienungsfehler. So auch beim Mac mini einer Kollegin, der sich eines Tages weigerte zu booten. Seine Festplatte erwies sich als intakt, ebenso die Partitionstabelle. Allerdings war das Extents File des HFS+-Dateisystems zerstört, und damit die Zuordnung von Dateien und Datenblöcken.

In solchen Fällen helfen die im Netz kursierenden Undelete-Werkzeuge nicht weiter. Mit den Mitteln und Methoden der Computerforensik lassen sich jedoch durchaus nennenswerte Teile des Datenbestandes wiederherstellen. Allerdings sind einschlägige Forensik-Tools wie The Sleuth Kit eher etwas für Experten, die dergleichen öfter tun müssen. Für gelegentliche oder gar einmalige Nutzung empfiehlt sich ein einfacher zu bedienendes Werkzeug wie Magic Rescue.

Jagd nach der magischen Zahl

Beide arbeiten nach demselben Prinzip: Sie lesen nacheinander alle Sektoren der Festplatte und vergleichen ihren Inhalt mit der Signatur beziehungsweise Magic Number des gesuchten Dateityps. Haben sie einen Dateianfang gefunden, kopieren sie ihn und die darauf folgenden Sektoren in eine Datei auf einer anderen Festplatte. Sofern das Original nicht fragmentiert war, ist damit die Datei wiederhergestellt.

Magic Rescue erledigt das in einem Arbeitsgang. Das Kommando magicrescue –d <zielverzeichnis> –r jpeg-exif /dev/<gerät> etwa gräbt Bilder im JPEG-Format aus, die eine Exif-Signatur besitzen (Exchangeable Image File Format). Viele Digitalkameras und Mobiltelefone legen darin Metadaten wie Kameraeinstellungen oder den Zeitpunkt der Aufnahme ab. Wer eine Kamera von Canon oder Nikon besitzt, die Bilder im Raw-Format speichert, kann seine Urlaubsfotos mit einem der „Rezepte“ canon-cr2 oder nikon-raw retten.

JPEG-Dateien ohne Exif-Metadaten lassen sich mit der Option –r jpeg-jfif wiederherstellen. Außerdem bietet Magic Rescue Rezepte für PNG-Dateien, das PPM-Format des Netpbm-Toolkits und das von Gimp verwendete Dateiformat XCF. Doch nicht nur Bilder lassen sich retten: magicrescue spürt auch Audiodateien im MP3- oder FLAC-Format, AVI-Videos, MS-Office-Dokumente, Unix- respektive Mozilla-Mailboxen, die unter Linux/Unix üblichen ELF-Programmdateien und -Bibliotheken, Perl-Skripte sowie mit gzip, zip oder jar komprimierte Dateien auf. Wer es auf unterschiedliche Dateitypen abgesehen hat, kann die Option –r in einem Kommando mehrmals verwenden.

In der Standardeinstellung arbeitet magicrescue relativ langsam, da es an jeder Position nach Dateisignaturen sucht. Oft liegt jedoch der Dateianfang am Beginn eines Plattensektors oder Dateisystem-Blocks. Es empfiehlt sich daher, den Umfang der Suche mit –b <blockgröße> einzuschränken. Wer die Blockgröße des Dateisystems nicht kennt, sollte stattdessen die Sektorgröße der Festplatte verwenden, die gewöhnlich 512 Byte beträgt. Ungenutzte Bereiche am Plattenanfang kann der Nutzer mit –O <offset> überspringen. Außerdem erlaubt es die Option, eine unterbrochene Suche an einer beliebigen Stelle fortzusetzen.

Wer die Signatur eines bestimmten Dateityps kennt, kann leicht eigene Wiederherstellungsregeln erstellen. Listing 1 etwa zeigt ein rudimentäres Rezept für PDF-Dokumente: Findet magicrescue die Zeichenkette %PDF am Anfang einer Datei, kopiert es die folgenden Sektoren – in diesem Fall 40 MByte – mit dd in eine Datei mit der Endung .pdf. Zwar sind PDF-Dateien in der Regel kürzer, doch gängige Anzeigeprogramme wie Adobe Reader, xpdf oder evince ignorieren die überschüssigen Bytes, sodass sich die Dateien – sofern sie unbeschädigt sind – ohne Weiteres öffnen lassen.

Selbst entwickelte Rezepte kann der Nutzer in das dafür vorgesehene Verzeichnis /usr/local/share/magicrescue/recipes kopieren. Im benachbarten Verzeichnis tools haben Hilfsprogramme ihren Platz, darunter diverse Skripte zum Extrahieren von Daten, die in den mitgelieferten Rezepten zum Einsatz kommen. Die Syntax der Rezeptdateien ist in der Manpage zu magicrescue dokumentiert, sodass eigenen Experimenten nichts im Weg steht. Übrigens nimmt der Autor des Programms neue Rezepte gern in die Sammlung auf.

Zum Nachbearbeiten der Fundsachen bringt Magic Rescue zwei weitere Programme mit. magicsort <verzeichnis> sortiert die extrahierten Dateien anhand ihres Typs in Unterverzeichnisse ein; dazu liefert das Unix-Programm file die nötigen Informationen. Mit dupemap lassen sich mehrfach vorhandene Dateien aufspüren und löschen.

Links zu diesem Artikel

# Rezept zum Extrahieren von PDF-Dateien
0 string %PDF
extension pdf
command dd of="$1" bs=1024k count=40

(mr)