Login
Login-Name Passwort


 
Newsletter
Di, 10. Mai 2011, 09:00

Gelöschte Dateien unter ext3/ext4 wiederherstellen

Schnell ist es passiert – ein unachtsames Löschkommando und die Arbeit von Tagen oder gar Monaten versinkt im Chaos. Eine Rettung auf ext3/ext4-Partitionen verspricht in diesem Fall das Tool »extundelete«, das hier nun kurz vorgestellt wird.

Wer versehentlich eine Datei gelöscht hat, weiß davon ein Lied zu singen. Kurz nach der Betätigung der Enter-Taste läuten die Alarmglocken. Doch in der Regel ist es zu spät, den Vorgang abzubrechen. Erschwerend kommt noch hinzu, dass laut dem offiziellen FAQ von ext3 der Löschvorgang ein endgültiges Kommando ist, das nicht mehr rückgängig gemacht werden kann. Hier irrt sich das FAQ aber, denn auch unter ext3 oder ext4 ist eine Rettung der Daten durchaus möglich.

Wie auch bei allen anderen unabsichtlich durchgeführten Änderungen am Dateisystem ist auch bei der Löschung einer Datei zügiges Handeln angesagt und jegliche schreibende Zugriffe auf die Partition zu unterlassen. Je später der Zugriff verhindert wird, desto geringer die Chancen, die Daten retten zu können. Ein schreibgeschützter Zugriff auf die Partition ist deshalb Pflicht:

# mount -o remount,ro /dev/PARTITION
oder

# mount -o remount,ro /MOUNTPOINT

Sind nun alle schreibenden Zugriffe auf die Partiton unterbunden, kann mit der Rettung der Daten begonnen werden. Neben einem manuellen Vorgehen mit dem Tool ext3grep, das allerdings Kenntnis der Funktionsweise des Dateisystems erfordert, eignet sich vor allem »extundelete« perfekt zur Rettung der Daten. Die Installation aus den Quellen zeigt sich recht genügsam und benötigt neben den Standardtools, wie einem Compiler, ebenso die Header-Daten von libext2fs. Der Rest ist Standard:

# ./configure
# make

Ist das Programm erstellt, geht es an die Rettung der Daten. Wird das Tool ohne einen Parameter für die Position der geretteten Daten gestartet, schreibt es automatisch in das Verzeichnis, in dem sich der Anwender befindet. Folglich ist es deshalb notwendig, wenigstens eine Partition oder ein Netzlaufwerk zu besitzen, das beschreibbar ist und auf dem die geretteten Daten abgelegt werden. Denn auch extundelete verändert nicht die Struktur der Festplatte, sondern kopiert die wiedergewonnenen Daten. Eine typische Rettung aller gelöschten Daten würde so aussehen:

# extundelete --restore-all /dev/sda5

WARNING: Extended attributes are not restored.
Loading filesystem metadata ... 160 groups loaded.
Loading journal descriptors ... 14 descriptors loaded.
Writing output to directory RECOVERED_FILES/
Searching for recoverable inodes in directory / ... 
1 recoverable inodes found.
Looking through the directory structure for deleted files ... 
Restored inode 12 to file RECOVERED_FILES/pllogo.png
0 recoverable inodes still lost.

In der Regel ist es allerdings nicht immer gewünscht, dass alle Dateien, wie in unserem Beispiel, wieder restauriert werden. In diesem Fall kann der Applikation auch ein Dateiname übergeben werden:

# extundelete --restore-file 'pllogo.png' /dev/PARTITION

Sollten mehrere Dateien gelöscht worden sein, ist es sinnvoller, mit dem Datum zu arbeiten. In diesem Fall restauriert das Tool alle, oder je nach Konfiguration nur bestimmte Dateien, die in das Zeitfenster passen. Hier ein Beispiel für die Rettung aller Dateien, die in den letzten 30 Minuten gelöscht wurden:

# extundelete --after $(date -d "-30 min" +%s) --restore-all /dev/PARTITION

Abschließend sei noch einmal darauf hingewiesen, dass eine Wiederherstellung von gelöschten Dateien nicht zwangsläufig von Erfolg gekrönt werden muss. Je länger eine Datei gelöscht war, desto geringer die Chancen, dass sie noch nicht überschrieben ist und noch gerettet werden kann.

Kommentare (Insgesamt: 24 || Alle anzeigen || Kommentieren )
Debian stellt es als Package bereit (Phili, Do, 26. Juni 2014)
Danke (Peter11, Fr, 20. Januar 2012)
Photorec und Testdisk könnten evtl. auch helfen (MH, Di, 27. September 2011)
je länger gelöscht ? (robi, So, 15. Mai 2011)
woher die uralte Library nehmen? (BerlinerOptimist, Mi, 11. Mai 2011)
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten