Überschriebene Daten retten
Ich habe einige Artikel zum Thema Datenwiederherstellung bzw. Datenrettung auf meiner alten Webseite geschrieben. Die Artikel drehen sich in der Regel darum kostenlos gelöschte Dateien wiederherstellen zu können. Manche stellen auch kostenpflichtige Shareware zum Daten retten vor. Ich bekomme zu diesen Artikeln häufig Anfragen per Email. Ich habe die Antworten der letzten zwei Jahre ausgewertet und feststellen müssen, dass ich mich nie mit dem Thema “überschriebene Daten retten bzw. wiederherstellen” beschäftigt habe.
Wieso? Ganz einfach. Überschriebene Daten sind eine eine andere Problematik als gelöschte Dateien wiederherzustellen. Ich meine nicht aus dem Papierkorb Dateien wiederherstellen, sondern aus dem Verzeichnis (nach dem Papierkorb leeren) entfernte Daten.
Wenn Leser von überschriebenen Daten sprechen meinen sie in der Regel Dateien die mit sich selbst oder einer leeren Version überschrieben wurden. Das kann die Diplom- oder Examensarbeit sein, die kurz vor Abgabe unter dem gleichen Namen zwei Mal gespeichert wurde und nun nicht wieder auffindbar ist bzw. leer ist. Das kann aber auch ein Ordner mit Bildern sein, in dem die Bilder durch die Digitalkamera nummeriert wurden und man nun die Urlaubsbilder durch die Bilder vom letzten Ausflug überschrieben hat.
Was ist mit den überschriebenen Daten? Ich kann nur sagen: In der Regel nicht wiederherstellbar, außer Sie benutzen Windows Vista (Business) mit aktivierter automatischer Datensicherung oder eine alternative Datensicherungsmethode. Ich will in diesem Artikel deshalb Präventionsmaßnahmen vorstellen und letzte Versuche der Datenwiederherstellung besprechen.
Wieso ist eine gelöschte Datei zu retten und eine überschriebene in der Regel nicht? Wenn Sie, verehrter Leser, eine Datei löschen wird Sie in den Papierkorb verschoben, d.h die Datei ist mit Leichtigkeit wiederherzustellen. Wenn Sie den Papierkorb leeren wird die Datei nicht wirklich gelöscht sondern die Daten bzgl. der Datei werden aus dem Verzeichnis (vergleichbar einem Register oder einem Inhaltsverzeichnis) gelöscht und der Namen wird leicht verändert (je nach Windows Version). Faktisch ist die Datei weiterhin auf ihrer Festplatte vorhanden, aber die mit den Daten belegten Blöcke der Festplatte sind zum überschreiben freigegeben. Folglich ist es mit etwas Glück möglich bei wenig genutzten Rechnern noch nach Wochen Daten retten zu können. Grundsätzlich gilt, nach dem Erkennen des Datenverlustes den PC herunter fahren und mit einem anderen PC nach einer Datenrettungslösung zu suchen. Die Festplatte sollte so wenig wie möglich genutzt werden, weil jeder Schreibvorgang (das kann schon das Booten des PC sein) auf die Festplatte das Überschreiben ihrer zu rettenden Daten sein kann. Und genau hier ist der Unterschied zwischen gelöschten Daten und überschriebenen Daten zu finden. Sie haben selbst die Daten schon überschrieben bzw. den Computer dazu veranlasst die Daten zu überschreiben, d.h. die Datei wurde explizit Byte für Byte überschrieben!
Wie kann ich nun überschriebene Daten retten? Meines Wissens nach können Sie sie nicht retten(!), sondern versuchen die Daten in einer Sicherung zu finden bzw. daraus wiederherzustellen, alte Versionen zu finden auf Speicherkarten (SD, mircoSD etc.), USB-Sticks, gebrannten CDs / DVDs, einer externen Festplatte, auf anderen PCs auf denen Sie die Daten bearbeitet haben oder auf ihrer Festplatte bsp. im Windows TEMP-Ordner.
Wie kann man einen solchen Datenverlust vermeiden bzw. vorbeugen?
Eine Datei ist schnell überschrieben, vor allem wenn man es gerade eilig hat. Dieses Problem ist aber nicht neu. Unter Windows hat Microsoft unter Windows Vista Business, Enterprise und Ultimate (Übersicht der verschiedenen Funktionen) reagiert und hat die Schattenkopien eingeführt (dazu später). Unter allen anderen Windows Vista Versionen oder unter allen älteren Windows-Versionen, wie Windows XP und Windows 2000, hat die Heise Redaktion eine perfekte Lösung mit Rsync gestrickt. Wer wie ich viel unterwegs ist und keine zweite Festplatte zur Verfügung hat, aber zumeist einen Internetzugang der kann eine Online Backup Lösung nutzen.
Überschriebene Daten retten mittels “Vorgängerversionen” unter Windows Vista
Windows Vista (Business, Enterprise und Ultimate) erzeugt sogenannte Schattenkopien, d.h. es werden Dateien in einen Versteckten Order gespeichert sobald die Datei seit der letzten Sicherung verändert wurde.
Schattenkopien von Dateien und Ordnern, die Windows automatisch als Teil eines Wiederherstellungspunkts erstellt. Dabei kann es sich um Dateien auf Ihrem PC oder um freigegebene Dateien auf einem PC woanders im Netzwerk handeln.
Überschriebene Daten zu retten bzw. wiederherzustellen mit dieser Funktion ist ein Kinderspiel. Einfach einen Klick auf die überschriebene Datei machen und dann im Kontextmenü den Reiter “Vorgängerversionen” wählen. Sie können auch mehrere überschriebene Dateien, gleichzeitig wiederherstellen wenn Sie auf den Ordner klicken und “Vorgängerversionen” auswählen.
Sie können überschriebene Daten wiederherstellen, öffnen oder kopieren. Wenn Sie wiederherstellen wählen gehen wird die ursprüngliche Datei / werden die ursprünglichen Daten überschrieben (also die Datei auf die Sie den Rechtsklick gemacht haben). Sie sollten wenn es um wichtige Daten geht die Datei zunächst an einen anderen Ort kopieren und von dort aus weiter verarbeiten. Sie können später immer noch die andere Datei überschreiben oder löschen.
Nun werden manche Daten sehr oft geändert und deshalb tut Windows gut daran nicht jede Version zu speichern, ansonsten würde die Festplatte schnell überlaufen. Wie kann man nun beeinflussen, dass eine geänderte Datei als Schattenkopie abgelegt wird?
Was man unter Vorgängerversionen sieht sind auch Sicherungskopien von Dateien und Ordnern, die man über den Sicherungsassistenten erstellt hat. Leider können Sie den Sicherungsassistenten nicht für einzelne Ordner konfigurieren. Sie können jedoch durch den Assistenten erreichen, dass beispielsweise bestimmte Datentypen wie Word Dokumente regelmäßig, beispielsweise täglich, gesichert werden, so dass eine überschriebene Datei wiederherstellbar (Tagesversion) ist. Diese Vorgehensweise ist nicht gerade ressourcenschonend (wann war das Windows auch schon mal), aber einfach zu konfigurieren. Überschriebene Daten retten ist mit der Windows Vista Schattenkopie problemlos.
Sicherung durch Rsync unter Windows 2000, XP und Vista
Manchmal sind die kleinsten Lösungen die mächtigsten Lösungen. Die Heise Redaktion hat schon vor längerer Zeit ein Skript für die nach Windows portierte Version von Rsync veröffentlicht, was es ermöglicht individuelle Schattenkopien unter Windows zu erstellen. Zwar haben Sie nicht den Luxus überschriebene Daten retten zu können wie unter Windows Vista “Vorgängerversionen” (per Kontextmenü), aber alle Backups bleiben übersichtlich wie die Originale, weil sie wie Vollbackups erscheinen. Des Weiteren können Sie im Gegensatz zur Microsoftlösung Ihr Backup sehr genau zu differenzieren und so oft wie sie wollen oder manuell auszulösen. Das Zauberskript heißt rsyncBackup.vbs und wurde von Karsten Violka in der Computerzeitschrift c’t (2006, Heft 9, S.126-129) veröffentlicht. Ermöglicht werden die Vollbackups durch Hardlinks und inkrementelle Sicherungen.
Ein fiktives Rechenbeispiel: Ein 10 GB Ordner wird gesichert und zwar stündlich. Sie ändern Daten pro Stunde im Umfang von 1 GB und Ihre Partition ist 100 GB groß. Wenn Sie nun Vollbackups machen wird die Platte nach 9 Stunden voll sein (1 x Originaldaten + 9 x Vollbackup). Mit RsyncBackup werden stündlich nur die veränderten Daten gespeichert ( = 1 GB) und um ein Vollbackup zu haben Hardlinks zu den nicht überschriebenen Daten gesetzt. Sie haben also 81 Stunden Zeit bis Ihre Festplatte überläuft (1 x Originaldaten, 1 Vollbackup plus 80 x Rsync-Vollbackups (in Wahrheit inkrementelle Backups).
Keine Zeit fürs Backup? Das vorgestellte Windows-Skript hält mit dem Werkzeug rsync vollautomatisch Schnappschüsse Ihrer Dateien fest, ohne dass Sie die Arbeit unterbrechen müssen. rsync kopiert bei jedem Lauf inkrementell nur die geänderten Dateien. Dank Hard-Links erscheint auf dem Ziellaufwerk aber jede Sicherung als Vollbackup.(Computerzeitschrift c’t, 2006, Heft 9, S.126)
Voraussetzungen für die Nutzung von Rsync-Backup ist eine Festplatte oder Partition mit NTFS-Dateisystem.
Einschränkungen: Rsync kopiert keine geöffneten Dateien, kopiert nur Pfade bis zu einer Länge von 260 Zeichen und kann nicht mit NTFS-Spezialitäten (Junctions, Streams, Sparse Files) umgehen.
Installation und Konfiguration des Skriptes:
Im rsyncBackup.vbs mit dem Editor öffnen und das Quell- und das Zielverzeichnis für Ihre Backups einfügen.
- sourceFolder = zu sichernde Ordner
- const DESTINATION = Zielverzeichnis
- logFile = Speicherort der Log-Datei
- excludeFiles = vom Backup auszuschließende Dateien
Für unterschiedliche Backups zu unterschiedlichen Zeitpunkten kopieren Sie das Skript, benennen es um, geben andere Pfade vor und verknüpfen es mit dem Taskmanger oder dem Startmenu. Wie sie wollen.
Anmerkung: Sie sollten den Backup-Ordner bei manchen Programmen (Windows Desktopsuche oder dem Google Desktop etc.), weil ansonsten die Dateien doppelt vorkommen bzw. der Indexvorgang stark verlängert wird.
Download: RsyncBackup für Windows
Viel Spaß beim Wiederherstellen überschriebener Dateien / Daten!
Kopfrechnen?? lol…gute Idee*g*
was ich eigentlich sagen wollte; Zitat: “Was ist mit den überschriebenen Daten? Ich kann nur sagen: In der Regel nicht wiederherstellbar, außer Sie benutzen Windows Vista (Business) mit aktivierter automatischer Datensicherung oder eine alternative Datensicherungsmethode.”
Bist Du dir da sicher? Hab gelesen, dass Daten zumindest teilweise widerhergestellt werden können, auch wenn Sie überschrieben wurden…dafür gibts ja dann diese “Shredder” mit denen man die gelöschte Datei x mal mit Zufallsdaten überschreibt…hier ein Resultat von einer etwa 2min Recherche:
” Der Markt hält eine Reihe spezieller Löschprogramme bereit, die das sichere Löschen von Daten ermöglichen. Hierbei werden spezielle Verfahren verwendet, die beispielsweise vom US-amerikanischen Verteidigungsministerium (Department of Defense, DoD) oder auch vom Bundesamt für Sicherheit in der Informationstechnik (BSI) vorgeschlagen wurden.
Einer der bekanntesten Algorithmen ist der erweiterte NISPOM (US DoD 5220.22-M ECE), der ein siebenmaliges Überschreiben definiert. Hierbei werden abwechselnd Zufallswerte, vordefinierte Werte und deren Komplement geschrieben.
Aus heutiger Sicht gilt die von Peter Gutmann entwickelte Methode als die sicherste, bei der die Daten bis zu 35 Mal überschrieben werden. Dabei werden alle bekannten Bitmuster, die zur Speicherung auf der Festplatte verwendet werden können, nacheinander geschrieben und somit das analoge Signal derart verrauscht, dass eine Rekonstruktion der Daten so gut wie unmöglich ist.”
# 1 22.9.08 21:35
Ich habe sowohl die Schredder-Programme als auch die Programme wecks Wiederherstellung von überschriebenen Daten testet.
Fakt ist es ist richtig, dass man überschriebene Daten wiederherstellen kann. Fakt ist auch dass ein häufiges Schreiben diesen Prozess erheblich erschwert.
Der Artikel ist kein Fachartikel sondern als Grundlagen-, Tipps- und Howto-Artikel gedacht, d.h. es geht um Leute wie Du und ich. Fakt ist dass Profis wahrscheinlich überschriebene Daten wiederherstellen können, wenn sie den nicht schon zu oft überschrieben wurden. Ob die alten Daten wirklich wieder in der gleichen Form wiederhergestellt werden können sehe ich aber als fraglich an.
In der Praxis nimmt man (nicht Profis) ein Recovery-Programm und legt los und genau diese Programme schaffen die Wiederherstellung von überschriebenen Dateien NICHT.
Fazit: Ich kann im Konjunktiv schreiben, dass es möglicherweise machbar wäre oder ich kann sagen dass überschriebene Daten mit Standard-Wiederherstellungs-Soft nicht zu retten sind.
# 2 23.9.08 11:47
Also so weit ich das nun richtig verstanden haben sind “wirklich” überschriebene Daten nicht mehr rettbar. Zumindest nicht für den normalen User, der kann nur hoffen dass das Betriebsystem halt doch irgendwo noch Kopien oder temporäre Sicherungen hat die dann zur Rettung herhalten können. Also hilft im Normalfall wirklich nur sichern, sichern sichern und 3 Mal überlegen ob man etwas löscht.
Es ist also ganz schön zu erfahren, dass “zum Glück” doch die verschiedenen Betriebsystem nicht wirklich alles löschen oder ins Nirwana schicken.
Dass xod auf Spezialisten hinweist die auch überschrieben Daten noch auslesen können halt ich ja eher für ein Wunder der Technik. Da diese minimalen Spuren im Schreibmuster auf den Festplatten auslesen zu können ist daher wirklich entweder nur für Profispione machbar bzw. für den Normalanwender fast unbezahlbar. Und für extram sensible Daten die niemals mehr ausgelesen werden können sollten ist dann eben 7 maliges Überschreiben nötig – oder noch besser alte Festplatten wirklich physisch zu zerstören.
# 3 24.9.08 17:41
Hallo,
ich bin von Rsync sehr überzeugt und versuche das seit längerer Zeit, immer wieder mit kleinen Veränderungen, zum Laufen zu bekommen, aber aus irgendeinem Grund funktioniert das nicht.
Ich beschreibe mal kurz meine Situation.
[Ausführender Computer: Win XP Pro, älteres Modell]
Ursprünglich wollte ich Rsync nutzen um eingebundene Netzlaufwerke zu sichern, aber da gab es eine Fehlermeldung, an die ich mich leider nicht mehr erinnern kann. Dann habe ich Robocopy genutzt um auf einer externen Platte eine Eins-zu-eins-Kopie zu erstellen und wollte dann diese Kopie täglich mit Rsync sichern lassen, um im Falle des Überschreibens Dateien, vorzubeugen und eine ältere Version zu haben. Irgendwann hat Rsync auf eine zweite, größere Festplatte, auch mal einen Teilbestand kopiert, hat aber zwischendurch abgebrochen und am nächsten Tag auch nicht weitergemacht. Danach lief gar nichts mehr und weiß auch nicht, was ich noch versuchen könnte.
Die Festplatte des Computers, sowie auch beide externe Festplatten sind NTFS-formatiert.
Für Ratschläge jeglicher Art wäre ich sehr dankbar.
Freundliche Grüße
# 4 11.11.08 18:21
Hallo, ich bin ein Leie u. habe folgende Frage. habe in einemn Word Dokument wichtige Dinge geschrieben, dann immer die tägl. dazukomenden Erweiterungen als Änderungen ,vor dem Schließen gespeichert.
Nun ist folgendes passiert. Ich hatte weiter geschrieben, bin auf irgend eine Taste gekommen, so daß das Geschriebene markiert war,hatte dann wohl auf gelöscht gedrückt,das aktuell sichtbare Blatt war weiß.Habe dann das Dokument geschlossen und die Änderungen dann gespeichert. Nun wollte ich das Dokument wieder öffnen, die Datei mit dem dateinamen war ja da, nur war jetzt der gesamte Inhalt verschwunden. Gibt es eine Möglichkeit das Geschriebene wiederherzustellen ? Für eine Antwort wäre ich sehr dankbar
# 5 05.12.08 12:04
Für überschriebene Textdateien besteht noch eine kleine Chance,
weil man die Cluster ja noch direkt auslesen kann.
Hab mir gerade 60 % einer überschriebenen Textdatei wiederherstellen können. :)
salü
Disk Investigator 1.4
Systemsoftware > Dateimanagement > CD- & Disk-Utilities
Disk-Editor, der auch versteckte und gelöschte Dateien anzeigen kann
http://www.heise.de/software/download/disk_investigator/25771
http://www.theabsolute.net/sware
Disk Investigator helps you to discover all that is hidden on your computer hard disk. It can also help you to recover lost data. Display the true drive contents by bypassing the operating system and directly reading the raw drive sectors. View and search raw directories, files, clusters, and system sectors. Verify the effectiveness of file and disk wiping programs. Undelete previously deleted files.
# 6 27.2.09 02:11