Fragen zu Dateisystemen und Kompatibilität
Probleme und Lösungen mit verlorenen Dateien
FAT 32 Probleme und Lösungen
NTFS Probleme und Lösungen
HFS/HFS+ Probleme und Lösungen
Wiederherstellung mittels eines VMware-Images
Im Papierkorb verschobene Dateien unter Windows®
Gelöschte Dateien im Papierkorb von Mac OS X
Verschlüsselte Dateien unter NTFS
Probleme und Lösungen mit verlorenen Dateien
Eine Datei, die anhand des Suchalgorithmus für Dateisignaturen gefunden wurde, wird als 'verloren' bezeichnet. Dateien diesen Typs befinden sich auf einem Laufwerk ohne Dateisysteminformation (erkannte Laufwerke werden als 'RawFS' gekennzeichnet) oder auf einem einzelnen Laufwerk nachdem 'Suche Daten' durchgeführt wurde (angezeigt unter 'Weitere Verlorene'). Typischerweise können diese Dateien nur wiederhergestellt werden, wenn sie in einem oder aufeinanderfolgenden Clustern gespeichert sind.
Falls die Dateigröße der verlorenen Datei nicht festgestellt werden konnte, erhält diese eine Standardgröße. Diese kann im Menü unter "Objekt/Optionen/Suchoptionen" angegeben werden. Diese Standardgröße kann u.U. zu gering sein. Dies erkennt man beispielsweise daran, daß ein erkanntes Bild an einer Stelle abgeschnitten ist. In diesem Fall ist die Datei zu klein und Sie können die Größe für jede einzelne Datei anpassen, indem Sie 'Eigenschaften' im Menü 'Objekt' anwählen. Es spielt i.d.R. keine Rolle, falls Sie eine Größe angeben, die oberhalb der richtigen Dateigröße liegt, da die meisten Dateformate ihre richtige Größe in der Datei ablegen.
Ein anderes Problem kann auftreten, falls die gefundene Datei ein OLE Storage Format verwendet, welches von vielen neueren Programmen, wie z.B. neueren Versionen von Microsoft Word, Excel, PowerPoint oder vielen anderen Softwareherstellern eingesetzt wird. In diesem Fall versucht EasyRecovery™ die korrekte Dateierweiterung zu ermitteln und die Datei umzubenennen (z.B. in .DOC, .XLS oder .PPT). Schlägt dies fehl, bleibt die Endung weiterhin '.MOF' .
Unter Windows® ab Version 2000 (und damit auch XP, Vista, Windows 7) wird bei jedem Löschen eines Verzeichniseintrags (Datei oder Verzeichnis) das höchstwertigste Wort des 32-bit Startclusters durch das Betriebssystem entfernt. Dadurch ist der korrekte Wert des Startclusters zur Zeit der Datenrettung nicht mehr bekannt. Ohne das genaue Wissen des Startclusters kann kein Datenrettungsprogramm erfolgreich eine gelöschte Datei wiederherstellen. Um dieses Problem zu umgehen, wurde für EasyRecovery™ eine spezielles Verfahren entwickelt: Abhängig von der Größe des Datenträgers ermittelt es in Frage kommende Startclusterwerte der gewählten Datei. Im Falle eines Ordners testet das Programm automatisch alle möglichen Kombinationen auf Gültigkeit (was zu einer leichten Zeitverzögerung beim Lesen der enthaltenen Dateien führt). Im Falle einer Datei weist es den Benutzer an, jede einzelne Kombination zu auf Gültigkeit zu testen.
Um zu entscheiden, ob die Datei korrekt wiederhergestellt wurde, sollten Sie diese mit einer passenden Software öffnen - falls die Software die Datei nicht öffnen kann, weisen Sie EasyRecovery™ an, mit der nächsten Kombination fortzufahren, bis der Test erfolgreich war.
Wenn die Clusteranzahl eines Laufwerks eine bestimmte Zahl überschreitet (abhängig von der Größe des Laufwerks), gibt es zu viele mögliche Kombinationen (> 256) und diese Feature wird auf diese Anzahl beschränkt.
Es wurde festgestellt, daß der NTFS Dateisystemtreiber versucht, den Festplattenspeicher, welcher von der MFT verwendet wird, zu optimieren, indem diese bei jedem Start des Computers angepaßt wird. Falls die MFT in ihrer Größe geändert wurde (insb. verkleinert wurde), ist es nicht mehr möglich, alle Dateien wiederherzustellen.
HFS/HFS+ Probleme und Lösungen
Mac OS X verwendet HFS/HFS+ (Hierarchisches Dateisystem) um Daten auf der Festplatte zu speichern. Dieses Dateisystem unterscheidet sich sehr von FAT. Das MAC HFS/HFS+ Dateisystem verwendet Journaling um einen Datenverlust zu minimieren. Grundsätzlich basiert Journaling darauf, dass alle Änderungsoperationen an Dateien auf dem Volumen vor der Änderung in einer Journal-Datei gesichert werden. Normalerweise kann diese Journal-Datei benutzt werden um einen früheren Datenzustand auf dem Volume zu erreichen. Dennoch kann in bestimmten Fällen auch die Journal-Datei defekt sein und der frühere Datenzustand kann nicht vom System wiederhergestellt werden. Die vollständige Datenrettung von Pfaden und Dateinamen mit EasyRecovery™ ist auf HFS/HFS+ Volumes meist nicht mehr möglich, aber ein Rohdaten (RAW)-Scan kann immer noch die Dateien wiederherstellen. Wählen Sie daher RAW-Scan für Mac HFS/HFS+ Volumes beim wiederherstellen gelöschter Dateien aus.
Wiederherstellung mittels eines VMware-Images
EasyRecovery™
Enterprise unterstützt die Wiederherstellung von .vmdk-Dateien, die entweder im
Flat- oder Sparse-Format in lokalen, in einer Windows- oder Linux-Umgebung
gehosteten Dateisystemen (d. h. VMware Workstation, Fusion) gespeichert sind.
Alle „lokalen“ VMDK-Images werden unterstützt.
Hinweis:
In VMFS-Dateisystemen gespeicherte .vmdk-Dateien (d. h. VMware
vSphere-Lösungen für Rechenzentren) werden derzeit nicht unterstützt.
Bei
VMDK-Images handelt es sich um virtuelle Festplatten mit virtuellen
Betriebssystemen, die innerhalb eines Hostsystems – für gewöhnlich Windows oder
Linux – ausgeführt werden. Oft wird für jedes virtuelle System ein eigenes
VMDK-Image erzeugt, weshalb es für einen erfolgreichen Wiederherstellungsscan
entscheidend ist, dass das richtige VMDK-Image ausgewählt wird. Bitte laden Sie zum Scannen einer
.vmdk-Datei das gewünschte VMDK-Image und wählen Sie die entsprechende
Partition aus.
Beispiele
für die Erstellung mehrerer .vmdk-Dateien:
·
Erzeugung mehrerer .vmdk-Dateien, die „Snapshots” (oder „Delta-Dateien“)
genannt werden. Wenn Sie in VMware einen Snapshot erstellen, wird eine neue
.vmdk-Datei angelegt und die ursprüngliche .vmdk-Datei wird nicht angetastet.
Alle Änderungen gegenüber der ursprünglichen .vmdk-Datei werden an der neuen
.vmdk-Datei vorgenommen, wodurch die neue .vmdk-Datei an Größe zunimmt.
·
Erstellung mehrerer .vmdk-Dateien, sogenannter „Extents”. Die kompletten
Image-Daten können in mehrere .vmdk-Dateien unterteilt werden.
·
Wenn das Image auf mehr als einer .vdmk-Datei aufbaut, wird eine
weitere .vmdk-Datei angelegt, die als „Beschreibungsdatei“ bezeichnet wird.
Diese äußerst kleine Beschreibungsdatei enthält eine Beschreibung mit Verweisen
auf sämtliche .vmdk-Dateien, die zu dem jeweiligen Image gehören.
Szenarios:
·
Ist nur eine einzige .vmdk-Datei vorhanden (keine Snapshots oder
Extents), identifiziert EasyRecovery™ Enterprise die eingebettete
Beschreibungsdatei in dieser einzelnen Datei und kann sie dann verwenden.
·
Sofern mehrere .vmdk-Dateien existieren, muss der Kunde die Beschreibungsdatei
auswählen. Die entsprechende Snapshot-Beschreibungsdatei ist abhängig davon zu
wählen, auf welchen Zeitpunkt bezogen der Kunde die Daten wiederherstellen
möchte... je später der Snapshot (Wiederherstellungspunkt), desto jünger die
Daten.
Liegt mehr als eine .vmdk-Datei vor, wählen Sie
die kleine .vmdk-Datei (Beschreibungsdatei). Wählen Sie einen Snapshot
entsprechend dem Wiederherstellungspunkt (Zeitpunkt), auf den Sie die Daten
zurücksetzen wollen (bzw. wählen Sie bei mehreren für diesen Snapshot
vorhandenen .vmdk-Dateien die diesem Snapshot zugeordnete Beschreibungsdatei
aus). Je aktueller der Snapshot, desto vollständiger die Daten.
Im Papierkorb verschobene Dateien unter Windows®
Beim Verschieben einer Datei in den Papierkorb unter Windows NT-basierenden Betriebssystemen wird der Dateiname nicht mehr beibehalten. Die Dateien werden umbenannt in 'D Laufwerksbuchstabe der gelöschten Datei#'.
Wenn Sie eine Datei wiederherstellen möchten, die aus dem Papierkorb (Ordner 'RECYCLED') entfernt wurde, suchen Sie nach 'D' gefolgt vom Laufwerksbuchstaben der Originaldatei, gefolgt von einer Nummer. Beispielsweise könnte der Name einer Datei, die von Laufwerk E: gelöscht wurde, 'DE10.DOC' lauten; eine Datei, die von Laufwerk C: gelöscht wurde, könnte 'DC2.XLS' heißen. Die Dateiendung wird jedoch beibehalten sowie das Datum der gelöschten Datei. Dies trifft nicht auf Dateien zu, die von der Eingabeaufforderung oder innerhalb eines Programms gelöscht wurden. Diese behalten ihre Namen bei.
Gelöschte Dateien im Papierkorb von Mac OS X
Wenn eine Datei unter Mac OS X gelöscht wird, schiebt sie das Betriebssystem in den Papierkorb. Beim Leeren des Papierkorb, werden die Dateien komplett vom HFS+ Dateisystem gelöscht. Der einzige Weg diese Dateien wiederherzustellen ist die Suche nach den Rohdaten mit den RAW-Scan, welcher nach Dateisignaturen sucht. Aus diesem Grund sollten Sie sich vergewissern, dass bei der Suche nach gelöschten Daten auf einem Mac HFS/HFS+ Volumes, die RAW-Scan Suchmethode immer mit ausgewählt ist.
Verschlüsselte Dateien unter NTFS
Zum Sichern von verschlüsselten Dateien stellen Sie sicher, daß Sie ein Windows® NT-basierendes Betriebssystem verwenden, welches Verschlüsselung unterstützt (Windows® 2000/XP) und speichern Sie die wiederherzustellenden Daten auf einem NTFS-Laufwerk. Andernfalls ist eine Entschlüsselung der Dateien nicht möglich und die Dateien werden zunächst verschlüsselt gespeichert und erhalten die Endung '.$efs'. Dateien mit dieser Endung können zu einem späteren Zeitpunkt auf einem NTFS Laufwerk mit Hilfe des EasyRecovery™ Zusatztools 'efsimport.exe' importiert werden.
Falls Sie eine verschlüsselte Datei eines Benutzers wiederhergestellt haben, dessen Benutzerkonto nicht mehr erreichbar ist, oder dessen privater Sicherheitsschlüssel für die Dateisystem-Verschlüsselung verloren gegangen ist (z.B. aufgrund eines Systemabsturzes), kann Ihnen eine der folgenden Lösungen weiterhelfen, die Daten wieder zu erhalten:
- Benutzen Sie die Windows® NT-Zertifikateverwaltung, um das Zertifikat des Benutzer zu importieren und die Datei zu lesen. Dies setzt voraus, daß das Zertifikat des Benutzers zuvor exportiert wurde.
- Stellen Sie die Datei als Recovery Agent wieder her (verschlüsselte Dateien werden mit dem Schlüssel des Benutzers und eines Recovery Agents verschlüsselt; ein Recovery Agent ist eine Person, dessen Benutzerkonto als Recovery Agent konfiguriert worden ist).
Der Recovery Agent kann sich an dem Computer mit der verschlüsselten anmelden und sein Recovery Zertifikat und seinen privaten Schlüssel laden und die Datenrettung am Computer vornehmen.
ANMERKUNG: Bei kleinen Firmen oder bei Heimanwendern, wo es keinen Recovery Agent gibt, kann die Datenrettung direkt mit Hilfe des lokalen Administrator-Kontos auf dem Computer vorgenommen werden. Diese Konto ist standardmäßig als Recovery Agent eingerichtet.
- Führen Sie ein Backup Ihrer verschlüsselten Dateien durch (speichern Sie die Daten mit Microsoft Backup in eine .bkf Datei) und senden Sie diese .bkf Datei dem Recovery Agent. Der Recovery Agent sollte die Dateien auf einem sicheren System wiederherstellen, entschlüsseln und dem Benutzer wieder zurücksenden.
Schauen Sie im Benutzerhandbuch ihres Windows® Betriebsystems, um weitere Informationen über das Entschlüsseln von verschlüsselten Dateien zu erfahren, die auf NTFS Laufwerken gespeichert wurden (encryption recovery).
EasyRecovery™ ist kompatibel mit allen Windows® und Mac OS X Dateisystemen. Es können einige Probleme auftreten, wenn EasyRecovery™ den Datenträger anspricht und einige Antivirus-Tools könnten einen Fehler anzeigen. Um dies zu vermeiden, deinstallieren Sie alle Antivirus-Tools bevor Sie EasyRecovery™ ausführen.
EasyRecovery™ ist kompatibel mit ISO9660 und EXT2/3 Dateisystemen sowie Laufwerken ohne Dateisystem (Rohdaten/RAW).
EasyRecovery™ kann keine Daten von physikalisch defekten Laufwerken oder Geräten wiederherstellen. Diese Datenrettungsfälle müssen in unser Labor geschickt werden. In diesem Fall nehmen Sie bitte Kontakt mit uns auf.
EasyRecovery™ ist ein
Warenzeichen von Kroll Ontrack Inc.
Microsoft und Windows sind eingetragene Warenzeichen der Microsoft Corporation.
Alle anderen Marken sind das Eigentum ihrer jeweiligen Inhaber.