Datenrettung mit Knoppix

Artikel aus c't 6/08

Mit Knoppix können Anwender ein vollständiges Linux-System mit einer riesigen Menge an Software stets mit sich herumtragen und ohne Installation als vollständige Arbeitsumgebung auf jedem PC nutzen. Einen Überblick über das System gibt unser Themen-Special zu Knoppix, das dabei hilft, sich schnell im System zurechtzufinden.

Erfahrene Linux-Anwender schätzen Knoppix aber auch als Werkzeug, mit dem sie nicht mehr startende PCs wieder flottmachen oder Daten von der Festplatte retten können – zum Beispiel, wenn die Datenstruktur des Dateisystems zerstört wurde. Wie Sie dabei vorgehen müssen, zeigen wir auf den folgenden Seiten.

Die meisten Benutzer merken erst, wie wertvoll ihre Daten wirklich sind, wenn sie nicht mehr darauf zugreifen können. Egal ob ein Hardware-Defekt der Festplatte, ein wildgewordener Festplatten-Treiber oder auch nur ein Admin, der versehentlich die falsche Partition zum Formatieren angibt: Sind die Daten erst einmal weg, ist guter Rat sprichwörtlich teuer. Professionelle Datenrettungslabors verlangen für die Wiederherstellung einzelner Dateien oder Verzeichnisse schnell vierstellige Summen, je nachdem wie schwer die Beschädigung des Datenträgers und damit wie aufwendig die Wiederherstellung ist. Immerhin hat man gute Chancen, die Daten wiederzubekommen, wenn man die Festplatte nicht gerade in den Kamin geworfen hat.

Die Datenrettung auf eigene Faust hingegen ist sehr riskant: Ist etwa infolge eines Headcrashs Material von der Oberfläche der Festplatten-Scheiben abgesplittert, kann jeder erneute Leseversuch bewirken, dass andere Bereiche durch unter dem Kopf hängen bleibende Partikel regelrecht abgeschliffen werden. Ihre Daten sammeln sich dann Bit für Bit im Staubfilter der Festplatte – spätere Rekonstruktion ausgeschlossen. Macht die Festplatte auffällige Geräusche, sollten Sie besser schnellstmöglich abschalten, um nicht noch weitere Daten zu zerstören. Auch sollten Sie keinesfalls versuchen, die Festplatte eines ins Wasser gefallenen oder verbrannten Laptops selbst zu reaktivieren – so etwas gehört schnellstmöglich in die Hände professioneller Datenretter.

Handelt es sich hingegen nur um logische Fehler, also ein beschädigtes Dateisystem, eine gelöschte Partitionstabelle oder ein irrtümlich formatiertes Laufwerk, können Sie sich selbst an der Datenrettung versuchen. Sofern Sie sämtliche Rettungsversuche mit einer Kopie Ihrer Festplatte durchführen, bleibt Ihnen sogar die Möglichkeit erhalten, im Notfall dennoch auf professionelle Hilfe zurückgreifen.

Selbstdiagnose

Bevor Sie die Kopie anlegen, müssen Sie jedoch sicherstellen, dass kein Hardware-Schaden vorliegt. Ein erstes Indiz für einen mechanischen Defekt sind veränderte Laufgeräusche und Zugriffsgeräusche der Festplatte. Aber auch per Software können Sie herausfinden, ob Sie es mit einem Hardware-Defekt oder einem logischen Fehler zu tun haben: Mit der "Self-Monitoring, Analysis and Reporting Technology" (S.M.A.R.T, Smart) überprüfen sich die meisten Festplatten in regelmäßigen Abständen selbst, sofern Smart aktiviert ist und zum Beispiel die umfangreicheren Tests regelmäßig durch ein entsprechendes Dienstprogramm wie smartd unter Linux gestartet werden. Für Windows und Mac OS X ist dieses mit den smartmontools ebenfalls erhältlich.

Entgegen der üblichen Verfahrensweise, alle Befehle als Anwender auszuführen, sollten Sie bei der Datenrettung als Root-Benutzer arbeiten und nicht nur die jeweiligen Programme per sudo mit Root-Rechten ausführen – einige der Hilfsprogramme funktionieren mit sudo nicht korrekt. Dazu öffnen Sie ein Terminal und verschaffen sich per su Root-Rechte. Anschließend liefert Ihnen

smartctl -a /dev/sda

eine lange Liste mit Informationen der Festplatte /dev/sda. Wie Sie den Namen Ihrer Festplatte bestimmen, wird im Themen-Special "Knoppix komplett" erklärt.

Neben allgemeinen Informationen listet smartctl auch verschiedene Attribute auf, die den Gesundheitszustand der Festplatte betreffen. Entscheidend ist die Angabe in der letzten Spalte, RAW_VALUE. Hier ist die konkrete Anzahl der Vorkommnisse gespeichert. Für die Beurteilung des Gesundheitszustands interessant sind die Attribute Hardware ECC Recovered (195), was die Zahl der korrigierten Lesefehler angibt, Reallocated Event Count (196), das die Zahl der bereits ausgetauschten Sektoren angibt, und Current Pending Sector (197) mit der Zahl der noch nicht ausgetauschten schlechten Sektoren. Allerdings besitzen nicht alle Festplatten alle genannten Attribute.

Zeigt smartctl auf einer Festplatte mit Leseproblemen eine große Zahl Hardware-ECC-Fehler oder verschobene Sektoren an, ist ein Hardware-Defekt sehr wahrscheinlich und die Beschädigung der Festplatte schon fortgeschritten. Hier ist es ein Glücksspiel, ob eine letzte Datensicherung nur noch mehr Schaden anrichtet oder gerade noch gut geht – im Zweifel sollten Sie besser eine professionelle Datenrettung beauftragen.

Bevor Sie den Rechner abschalten und die Festplatte ausbauen, lohnt es sich, noch schnell die Partitionierung zu notieren, die die Befehle fdisk -l und fdisk -lu ausgeben. Damit können die Experten ihre Suche nach den vermissten Daten schon einmal eingrenzen. Mitunter ist es auch hilfreich, eine Kopie des letzten Backups mitzuschicken – ist die Verzeichnisstruktur oder der Aufbau einer verloren gegangenen Datenbank bekannt, lassen sich die vermissten Daten einfacher auffinden als ohne diese Detailinformationen.

Datenrettung für Heimwerker

Wollen Sie die Datenrettung tatsächlich selbst in Angriff nehmen, benötigen Sie zunächst drei Festplatten: Das Original, eine zweite zur Datensicherung und eine dritte, mit der Sie die Rettungsversuche unternehmen. Falls kein Hardware-Defekt vorliegt, kommen Sie auch mit zwei Festplatten aus, da Sie ja jederzeit eine neue Kopie von der Originalfestplatte anfertigen können. Die Daten sichern Sie auf der Backup-Festplatte, die Sie zunächst partitionieren, mit einem Dateisystem wie Ext3 formatieren und dann unter Knoppix beschreibbar einbinden müssen. In den nachfolgenden Beispielen verwenden wir /media/sdb1 als Mount Point für die Backup-Festplatte. Da beim Sichern der Originaldaten mit Leseproblemen zu rechnen ist, verwenden Sie anstelle von dd das Programm dd_rescue, das solche Fehler ignoriert. Der Befehl

dd_rescue -A /dev/sda /media/sdb1/disk.img

erzeugt ein Abbild der gesamten Festplatte, womit Sie in jedem Fall eine Kopie sämtlicher Festplattendaten erhalten. Mit

dd_rescue -A /dev/sda1 /media/sdb1/linux.img

hingegen kopieren Sie lediglich die erste Partition der Festplatte. Das hat den Vorteil, dass Sie das Image später mounten können, ohne es zuvor auf eine andere Festplatte zurückzusichern:

mkdir /media/loop
mount -o loop linux.img /media/loop

Allerdings erwischen Sie bei einer fehlerhaften Partitionstabelle nicht alle Daten der Festplatte, wenn Sie die Partitionen einzeln speichern. Wollen Sie das Dateisystem reparieren oder gar bootbar machen, empfiehlt es sich, ein Disk-Image anzulegen und dieses auf einer mindestens gleich großen, einwandfreien Festplatte zurückzuspielen. So behalten Sie auch die Partitionierung bei:

dd if=/media/sdb1/disk.img of=/dev/sdc

Sofern die Originalplatte keine Hardware-Fehler aufweist, können Sie die Arbeits-Kopie auch direkt auf der dritten Festplatte /dev/sdc anlegen, ohne Umweg über die Backup-Platte:

dd if=/dev/sda of=/dev/sdc

Die Linux-Programme dd und dd_rescue eignen sich zwar auch zum Sichern von Windows-Partitionen, mit den NTFS-Hilfsprogrammen verfügt Knoppix aber über spezielle Werkzeuge für Windows-Dateisysteme. So legt ntfsclone ähnlich wie dd ein Image der Windows-Partition an, sichert dabei allerdings nur Bereiche, die laut Dateisystem auch belegt sind. Ein per ntfsclone angelegtes Abbild ist also in der Regel sehr viel kleiner als ein per dd erzeugtes. Dafür eignet sich ntfsclone nicht zum Anlegen von Images, in denen später nach Überresten gelöschter Dateien gesucht werden soll – denn diese Bereiche sind ja laut Dateisystem unbenutzt. Für die letzte Datenrettung auf einer defekten Festplatte ist ntfsclone aber durchaus das Mittel der Wahl, denn mit dem Parameter -rescue ignoriert es genau wie dd_rescue Lesefehler auf der Festplatte. Das folgende Beispiel sichert das auf /dev/sda1 gespeicherte NTFS-Dateisystem von Windows:

ntfsclone --rescue -o /media/sdb1/ntfs.img /dev/sda1

Die defekte Festplatte können Sie nun ausbauen und für den Fall aufheben, dass Sie doch noch professionelle Hilfe in Anspruch nehmen wollen. Für alle folgenden Rettungsversuche verwenden Sie das gerade angelegte Image. Dieses lässt sich per ntfsmount auch mounten, etwa um Dateien herauszukopieren oder hinzuzufügen, ohne es auf eine Festplatte zurückschreiben zu müssen. ntfsmount erkennt dabei selbst, ob es sich um ein Blockgerät oder ein Image handelt, es ist also anders als bei mount nicht nötig, einen Parameter wie -o loop mit anzugeben:

mkdir /media/loop
ntfsmount /media/sdb1/ntfs.img /media/loop

Werden Dateien hinzugefügt, vergrößert ntfsmount das Image selbstständig entsprechend – allerdings wird es beim Löschen nicht wieder verkleinert. Das Rücksichern auf eine neue Festplatte, die natürlich entsprechend partitioniert sein muss, erfolgt mit dem Parameter -r:

ntfsclone -r -o /dev/sdc1 /media/sdb1/ntfs.img

Bootloader reparieren

Bleibt der Rechner nach Einblenden der BIOS-Meldungen stehen, liegt meist ein Defekt beim Bootloader vor. Fast alle aktuellen Distributionen verwenden Grub als Bootloader und speichern ihn bei der Installation des Betriebssystems im MBR der ersten Festplatte. Die 440 Bytes, die der MBR maximal aufnehmen kann, genügen jedoch nicht, um Grub komplett unterzubringen. Grub besteht deshalb aus mehreren Dateien, die im Linux-Dateisystem gespeichert sind und die Grub erst beim Booten nachlädt. Diese sind üblicherweise im Verzeichnis /boot/grub gespeichert und tragen Namen wie stage1, _stage1_5 und stage2.

Fehlen diese Dateien oder wurden sie beschädigt, sollten Sie alle Grub-Bestandteile von Knoppix auf die Festplatte übertragen. Dazu binden Sie die Partition, die das /boot-Verzeichnis enthält, ein und kopieren im Terminal alle Dateien aus dem Verzeichnis /lib/grub/i386-pc ins Verzeichnis grub oder boot/grub Ihrer Festplattenpartition (hier /dev/sda3):

cp /lib/grub/i386-pc/* /media/sda3/boot/grub

Für die Einrichtung von Grub müssen Sie zudem die Datenträgerbezeichnung für Grub ermitteln. Gibt es nur eine Festplatte in Ihrem Rechner, so nennt sie Grub in jedem Fall hd0, selbst wenn sie unter Linux den Gerätenamen /dev/hdc trägt. Bei zwei Festplatten, etwa /dev/hda und /dev/hdc, nennt sie Grub hd0 und hd1 – selbst wenn /dev/hdb ein optisches Laufwerk sein sollte. Gibt es hingegen /dev/sda und /dev/hda, lässt sich nicht vorhersagen, welche der beiden Platten Grub mit hd0 anspricht – da hilft nur Ausprobieren.

Auch bei der Durchnummerierung der Partitionen beginnt Grub im Gegensatz zu Linux mit 0, die erste Partition der ersten Festplatte nennt Grub demzufolge hd0,0 – unter Linux heißt die Partition zum Beispiel /dev/hda1 oder /dev/sda1. Die Partitionsnummern rücken jedoch nicht auf. Gibt es zum Beispiel auf einer Festplatte die Partitionen /dev/sda1 und /dev/sda3, so heißen sie im Grub hd0,0 und hd0,2. Nach diesem Schema müssen Sie die Grub-Datenträgerbezeichnung Ihrer Linux-Partition ermitteln. Im nachfolgenden Beispiel heißt die Linux-Partition /dev/sda3, die Grub-Datenträgerbezeichnung lautet also hd0,2.

Rufen Sie Grub mit den Parametern -no-floppy auf, damit Grub nicht unnötig lange nach Diskettenlaufwerken sucht, und -config-file= plus dem Pfad zur Grub-Konfigurationsdatei auf:

grub --no-floppy \
--config-file=/media/sda3/boot/grub/menu.lst

Grub startet dann im interaktiven Modus und wartet auf Befehle. Dort legen Sie mit root (hd0,2) die Partition fest, auf der die Grub-Stage-Dateien gespeichert sind, und veranlassen mit setup (hd0) die Einrichtung von Grub im MBR der ersten Festplatte. Wollen Sie Grub im Bootsektor der Linux-Partition statt im MBR installieren, lautet der Befehl entsprechend setup (hd0,2). Mit quit beenden Sie Grub.

Nach einem Neustart des Rechners sollte Ihr installiertes Linux-System wie gewohnt booten. Zur Sicherheit installieren Sie besser Grub über die Paketverwaltung der jeweiligen Distribution erneut und suchen im Dateisystem nach Grub-Stage-Dateien außerhalb von /boot. Anschließend kopieren Sie diese Stage-Dateien nach /boot/grub und lassen den Bootloader mit den Hilfsmitteln der jeweiligen Distribution noch einmal konfigurieren. Auf diese Weise überschreiben Sie den Knoppix-Grub mit der Original-Grub-Version Ihrer Distribution.

Ein anderer Grund für Boot-Probleme kann ein verkorkstes Kernel-Update oder eine gelöschte Initial Ramdisk des installierten Systems sein. Auch in diesem Fall hilft Knoppix weiter, indem Sie den Knoppix-Kernel, die System.map sowie die Kernel-Module auf die Linux-Partition kopieren, die im nachfolgenden Beispiel unter /media/sda3 eingebunden ist:

cp /boot/vmlinuz-2.6.24 \
/boot/System.map-2.6.24 /media/sda3/boot
cp -a /lib/modules/2.6.24 \
/media/sda3/lib/modules

Sollten Sie bereits zuvor Kernel 2.6.24 verwendet haben, überschreiben Sie die Dateien besser nicht, sondern benennen die alten Dateien und das Verzeichnis lib/modules/2.6.24 auf der Linux-Partition zunächst um und kopieren dann den Knoppix-Kernel. Als Nächstes müssen Sie noch die Bootloader-Konfiguration anpassen. In diesem Beispiel liegt sie in /media/sda3/boot/grub/menu.lst. Dort fügen Sie folgende Zeilen am Ende an:

title Knoppix-Kernel
root (hd0,2)
kernel /boot/vmlinuz-2.6.24 root=/dev/sda3

Beim nächsten Systemstart wählen Sie den gerade angelegten Eintrag im Grub-Menü aus. Ihr installiertes System startet dann mit dem Knoppix-Kernel.

Partitionstabelle restaurieren

Wurde versehentlich der Anfang der Festplatte überschrieben, ist wahrscheinlich neben dem Bootloader auch die Partitionstabelle verloren gegangen und muss wiederhergestellt werden. Ein vorausschauender Benutzer besitzt neben einem Backup der Daten auch eine Kopie des MBR, der auch die Partitionstabelle enthält, oder einen Ausdruck der Partitionstabelle.

Die Partitionstabelle aus einem gesicherten MBR schreiben Sie mit folgender Befehlszeile wieder auf die Festplatte /dev/sda zurück:

dd if=/media/sdb1/mbr of=/dev/sda bs=1 \
count=64 skip=446 seek=446

Das funktioniert allerdings nur, falls die Fehler die primären Partitionen betrafen – haben Sie versehentlich eine erweiterte Partition gelöscht, hilft Ihnen die MBR-Kopie nichts. Besser ist deshalb ein Ausdruck der Partitionstabelle, der auch die erweiterten Partitionen umfasst.

Haben Sie einen Ausdruck, starten Sie unter Knoppix das Programm fdisk und legen dort die Partitionen wieder an. Wichtig ist, dass Sie für Anfang und Ende jeder Partition die früher verwendeten Werte angeben. Idealerweise sollten Sie auch die ursprüngliche Reihenfolge einhalten, damit die Betriebssysteme später problemlos ihre Partitionen wiederfinden.

Haben Sie die Eingaben abgeschlossen, verlassen Sie fdisk mit dem Kommando w und speichern so die Partitionstabelle. Da fdisk ausschließlich partitioniert und nicht die Partitionen initialisiert, bleiben die Daten der Partitionen unberührt – nachdem Sie den Bootloader wie beschrieben wieder eingerichtet haben, können Sie die Betriebssysteme der Festplatte wieder wie gewohnt starten.

Ohne Anhaltspunkte zur Partitionierung können Sie das Programm gpart (nicht zu verwechseln mit gparted) bemühen: Es durchsucht die Festplatte nach typischen Signaturen von Dateisystemen und versucht so, eine neue Partitionstabelle aufzubauen. Je nach Vorgeschichte der Festplatte meldet gpart deutlich mehr und einander überlappende Partitionen, als man zuletzt benutzt hat. Hier hilft nur die menschliche Intelligenz: Sie müssen dann von Fall zu Fall entscheiden, ob es sich um einen längst veralteten oder um einen plausiblen Partitionsfund handelt.

Ein Weg zur neuen Partitionstabelle ist, zunächst eine Sicherheitskopie des vorhandenen MBR anzulegen, dann gpart interaktiv zu starten und die Ergebnisse in eine Datei schreiben zu lassen:

dd if=/dev/sda of=mbr bs=512 count=1
gpart -i -W mbr-neu /dev/sda

Im Idealfall braucht gpart nur wenige Sekunden, um die Partitionierung zu ermitteln und stellt nur wenige Ja-Nein-Fragen. Sie können statt gpart auch das Programm testdisk verwenden, das mit einer rudimentären Oberfläche aufwartet, jedoch etwas komplexer zu bedienen ist als der interaktive Modus von gpart.

Gpart und testdisk erkennen auch erweiterte Partitionen, allerdings ordnen beide Programme die Partitionen immer in ihrer Reihenfolge auf der Festplatte den Partitionseinträgen zu. So kann es zu Verschiebungen in den Partitionsnummern gegenüber der ursprünglichen Partitionierung kommen. Wie mit dem Parameter -W mbr-neu angegeben schreibt gpart das Ergebnis jedoch zunächst in die Datei mbr-neu und nicht in den MBR der Festplatte. Sind Sie zufrieden und gab es lediglich primäre und keine erweiterten Partitionen, übertragen Sie die Partitionstabelle mit folgendem Befehl in den MBR:

dd if=mbr-neu of=/dev/sda bs=1 \
count=64 skip=446 seek=446

Wollen Sie auch erweiterte Partitionen wiederherstellen, müssen Sie gpart erlauben, die Daten direkt auf die Festplatte zu schreiben. Dazu verwenden Sie den Parameter -W /dev/sda anstelle von -W mbr-neu. Bei testdisk ist dies nicht nötig, da das Programm stets mit der Original-Partitionstabelle arbeitet.

Dateisystem retten

Knoppix bietet verschiedene Programme, um Dateisysteme bei Defekten zu reparieren. Datenrettung auf eigene Faust ist stets ein überaus riskantes Unterfangen – mit etwas Glück ist nach wenigen Minuten alles wieder in Ordnung und Sie können weiterarbeiten, mit ein wenig Pech zerstören Sie aber unwiderruflich Ihre kostbaren Daten und nicht mal ein professionelles Datenrettungsunternehmen kann Ihnen noch weiterhelfen. So ist ein Rettungsversuch schon nach einmaligem Überschreiben laut Holger Engelland vom Datenrettungsunternehmen Kroll-Ontrack wirtschaftlich nicht mehr zu vertreten. Daher ist ein Backup der Dateisysteme wie vorangegangen beschrieben unabdingbar, bevor Sie irgendwelche Veränderungen am Dateisystem vornehmen.

Für NTFS-Partitionen eignet sich zwar grundsätzlich das Programm ntfsfix, allerdings ist NTFS ein proprietäres, nicht komplett offengelegtes Dateisystem, sodass die Möglichkeiten von ntfsfix beschränkt sind. Besser versuchen Sie es nach Anlegen einer Sicherheitskopie erst einmal mit den Bordmitteln von Windows, dem Befehl chkdsk.

Bei den heute seltenen Reiser-Dateisystemen können Sie per reiserfsck versuchen, das Dateisystem wiederherzustellen. In der Praxis sind die Erfolgsaussichten jedoch durchwachsen, gelegentlich sind nach einem versuchten reiserfsck sämtliche Dateien und Verzeichnisse verschwunden.

Besser stehen die Chancen beim Standard-Dateisystem Ext3, einer Weiterentwicklung des ebenfalls weit verbreiteten Ext2. Sollte der Anfang des Dateisystems versehentlich überschrieben worden sein, kann Linux wegen des nun fehlenden Superblocks wahrscheinlich nicht mehr auf das Dateisystem zugreifen. Es gibt jedoch etliche Kopien des Superblocks, die über das ganze Dateisystem verstreut sind. Ihre Position ist nicht immer gleich, da die beim Erzeugen per mke2fs verwendeten Parameter Einfluss darauf haben. Ideal wäre also eine Liste mit den Superblocks, die mke2fs beim Anlegen des Dateisystems ausgegeben hat. Da diese üblicherweise niemand notiert, hilft vielleicht ein erneuter Aufruf von mke2fs weiter, der das Anlegen eines neuen Dateisystems simuliert und dabei die Liste der Superblocks ausgibt:

mke2fs -n /dev/sda1

Anschließend rufen Sie e2fsck mit dem Parameter -b und der Blocknummer einer der Superblock-Kopien auf:

e2fsck -y -b 32768 /dev/sda1

Keine Angst, sollte der angegebene Block kein Superblock sein, bricht e2fsck mit einer entsprechenden Fehlermeldung ab. So lassen sich zur Not sogar per Skript in einer Schleife alle Blöcke nacheinander ausprobieren, bis schließlich der richtige Superblock gefunden ist:

for ((i=32000;i<33000;i++)); do
e2fsck -y -b $i /dev/sda1
if [ "$?" -le "4" ]; then
break
fi
done

Wenn alle Stricke reißen und kein Superblock mehr auffindbar ist, kann man per mke2fs -S /dev/sda1 lediglich die Superblocks neu schreiben lassen – die übrigen Dateisysteminformationen bleiben davon unberührt. Allerdings gibt es keine Garantie, dass die Superblocks genau an die Positionen wie zuvor geschrieben werden anstatt wertvolle Daten zu überschreiben. Zur Not haben Sie ja noch die Kopie der Partition für weitere Versuche.

Gelöschte Dateien

Bei Ext3-Dateisystemen lassen sich, anders als zum Beispiel auf Ext2-, FAT- und NTFS-Dateisystemen, gelöschte Dateien nicht wiederherstellen. Während Ext2 bei einer gelöschten Datei lediglich im zugehörigen Inode die Deletion Time setzt und die im Inode genannten Datenblöcke als frei markiert, löscht Ext3 zusätzlich die Blocknummern der Datenblöcke. Es gibt also bei Ext3 nach dem Löschen keinen Hinweis mehr darauf, welche Datenblöcke zur Datei gehörten. Das macht es zwar leichter, ein Ext3-Dateisystem nach einem Crash wieder in einen konsistenten Zustand zu bringen, führt aber auch dazu, dass die für Ext2 geschriebenen Programme wie zum Beispiel e2undel zum Wiederherstellen gelöschter Dateien bei Ext3 nicht mehr funktionieren.

Das Forensik-Programm foremost kann helfen, zumindest einige Dateien anhand ihres typischen Aufbaus wiederzufinden. Wer zum Beispiel seine Fotosammlung verloren hat und das Dateisystem nicht mehr mounten kann, sollte folgenden Befehl versuchen:

foremost -t jpg -i linux.img

Foremost unterstützt allerdings nur einige Dateitypen wie Bilder, Videos, Office-Dokumente sowie Zip- und RAR-Archive. Eine freie Mustersuche erlaubt foremost nicht, die gefundenen Dateien speichert das Programm im Verzeichnis output. Liefert Ihnen foremost nicht die gewünschten Daten, ist grep das letzte Mittel, um wenigstens noch Fragmente Ihrer Daten aufzuspüren. Das nachfolgende Beispiel durchsucht das Partitions-Image nach dem Begriff Elektrotechnik:

grep -oba Elektrotechnik linux.img

Grep gibt vor jeder Fundstelle die Position in Bytes an. Mittels dd können Sie dann einen Abschnitt der Datei herauskopieren und dann in einem binär-festen Editor wie Emacs oder vi weiterbearbeiten. Das folgende Beispiel kopiert ein 1 Megabyte großes Stück (bs=1M) des Image ab Position 2048 MByte:

dd if=linux.img of=part bs=1M count=1 \
seek=2048 skip=2048

Auf diese Weise können Sie vielleicht noch einzelne Abschnitte einer in LaTeX geschriebenen Diplomarbeit retten, ein vollständiges Office-Dokument werden Sie auf diese Weise jedoch kaum wiederherstellen können – im Fall eines Falles lässt sich aber ein Text leichter neu formatieren, als ihn komplett neu verfassen zu müssen. Die beste Vorsorge ist und bleibt jedoch eine vernünftige Datensicherung: Wer jederzeit auf das Backup vom Vortag zurückgreifen kann, spart sich eine zeitraubende und im Zweifel teure Datenrettung und verliert lediglich einige wenige Arbeitsstunden. (mid)

Bild 1 von 5

Datenrettung mit Knoppix (5 Bilder)