Chancen für Datenwiederherstellung: Die Dateisysteme von Windows

Der Erfolg der Datenrettung hängt stark von der Art des Dateisystems ab, das auf einem Speichergerät angewendet ist. Vorausgesetzt, dass die gesuchten Dateien nicht durch neue Informationen zerstört wurden und das Medium selbst funktionsfähig ist, lässt sich die Wahrscheinlichkeit, sie zurückzubekommen, leicht abschätzen, indem man sich bestimmte Besonderheiten des verwendeten Formats ansieht. Auf diese Weise können Sie bereits vor dem Start eines Datenwiederherstellungstools echte Erwartungen an das setzen, was erreicht werden kann.

Wenn Sie einen Computer haben, auf dem Windows ausgeführt wird, ist sein internes Laufwerk höchstwahrscheinlich mit NTFS formatiert. Tragbare Geräte wie USB-Sticks und Speicherkarten verwenden normalerweise FAT/FAT32 oder exFAT. Erfahrene Benutzer entscheiden sich manchmal für ReFS, aber dieses Dateisystem neuer Generation von Microsoft ist für Server gebräuchlicher, daher wird es in diesem Artikel nicht behandelt.

NTFS

NTFS speichert die Informationen über Dateien in einer speziellen Datenbank namens Masterdateitabelle (Master File Table, kurz MFT). Jede Datei hat mindestens einen Eintrag in der MFT, die alles darüber weiß, einschließlich Name, Größe und Speicherort auf dem Speichergerät. Einige sehr kleine Dateien werden auch komplett in der MFT gespeichert, während größere außerhalb platziert werden und dann der MFT-Eintrag auf den Speicherort des eigentlichen Dateiinhalts verweist.

Ein Verzeichnis in NTFS ist auch eine bestimmte Art von Datei, die anstelle von Daten die Namensliste für Dateien enthält, die zu diesem Verzeichnis gehören.

Eine andere spezielle Datei namens Bitmap verfolgt, welche der Blöcke belegt sind und welche frei sind und wiederverwendet werden können.

Löschung

Prozedur: Wenn eine Datei gelöscht wird, markiert NTFS den MFT-Eintrag, der sie beschreibt, als frei. Die Datenblöcke werden auch in der Bitmap als frei gekennzeichnet. Der Name der Datei wird aus dem Verzeichnis entfernt.

Wiederherstellung: Bis NTFS beschließt, diesen MFT-Eintrag wiederzuverwenden, bleiben Name, Größe und Speicherort der Datei dort. Diese Informationen sind mehr als ausreichend, um die Datei in ihrer ursprünglichen Form wiederzuerlangen. Die Erfolgsrate ist in diesem Fall ziemlich hoch. Wenn der MFT-Eintrag nicht mehr existiert, aber die Datenblöcke nicht überschrieben wurden, bleibt die Möglichkeit der Wiederherstellung bestehen. Da das Dateisystem jedoch keinen Hinweis mehr auf den Inhalt der Datei geben kann, muss ein Datenrettungstool es umgehen und den gesamten Speicher auf einer niedrigeren Ebene analysieren, um Dateien anhand der bekannten Besonderheiten verschiedener Dateiformate zu identifizieren und zu rekonstruieren. Diese Methode wird auch als RAW-Datenrettung bezeichnet. Der Hauptnachteil besteht darin, dass die Dateien ihre ursprünglichen Namen verlieren und wahrscheinlich in einige automatisch erstellte Verzeichnisse verschoben werden.

Formatierung

Prozedur: Die Formatierungsprozedur erstellt eine neue MFT-Tabelle. Sie überschreibt die ersten Einträge der aktuellen MFT-Tabelle. Die restlichen Einträge bleiben jedoch bestehen, bis sie für neue Dateien wiederverwendet werden.

Wiederherstellung: Die Informationen zu den ersten 256 Dateien sind in der MFT-Tabelle nicht verfügbar. Sie können nur mittels RAW-Datenrettung abgerufen werden. Die verbleibenden Dateien können erfolgreich mit ihren ursprünglichen Namen und Verzeichnissen wiederhergestellt werden.

FAT/FAT32

FAT/FAT32 weist den Inhalt von Dateien in Blöcken zu, die als Cluster bezeichnet werden. Es ist nicht immer möglich, nahe beieinander gefundene Cluster zu verwenden, was zu der Fragmentierung führt. Der Ort jedes Clusters, aus dem die gegebene Datei besteht, und ihre Sequenz werden in der Dateizuordnungstabelle (File Allocation Table, kurz FAT) aufgezeichnet. Diese Tabelle zeigt auch an, wann ein Cluster gerade nicht belegt ist und geschrieben werden kann.

Jede Datei in FAT/FAT32 gehört zu einem Verzeichnis, in dem sie ihren eigenen Eintrag hat. Solcher Eintrag speichert seinen Namen, seine Größe und seinen Anfangscluster. Wenn der Name lang ist, kann neben dem Haupteintrag ein zusätzlicher Eintrag dafür erstellt werden.

Verzeichnisse selbst sind spezielle Dateien. Das Hauptverzeichnis wird Root-Verzeichnis genannt und befindet sich normalerweise irgendwo am Anfang einer Partition.

Löschung

Prozedur: FAT/FAT32 löscht aus der Dateizuordnungstabelle die Informationen darüber, aus welchen Clustern die Datei besteht. Der Verzeichniseintrag mit ihrem Namen, ihrer Größe und ihrem Startcluster wird als gelöscht markiert. Das erste Zeichen im Namen wird ersetzt.

Wiederherstellung: Sofern der Verzeichniseintrag noch vorhanden ist, ist es möglich, den ersten Cluster und die Größe der Datei zu finden. Die Reihenfolge der Cluster geht jedoch verloren. Wenn sie nebeneinander liegen, wird die Datei erfolgreich wiederhergestellt. Im Falle einer umfassenden Fragmentierung wird die Datenrettung jedoch unvollständig sein, da es schwierig ist, die Standorte der folgenden Cluster vorherzusagen.

Formatierung

Prozedur: Die in der Dateizuordnungstabelle enthaltenen Informationen werden vernichtet. Das Root-Verzeichnis wird gelöscht. Der Inhalt von Dateien bleibt jedoch unberührt.

Wiederherstellung: Ebenso können Dateien, die in aufeinanderfolgenden Clustern gespeichert sind, mit hoher Wahrscheinlichkeit wiederhergestellt werden. Fragmentierte haben jedoch keine große Chance, rekonstruiert zu werden.

exFAT

exFAT ist ein Nachfolger von FAT/FAT32, der darauf zugeschnitten ist, einige seiner Einschränkungen zu überwinden. Es organisiert Daten auf die gleiche Weise, jedoch mit einigen wichtigen Unterschieden. Anstelle aller Cluster beschreibt die Dateizuordnungstabelle nur diejenigen, die zu fragmentierten Dateien gehören. In der Zwischenzeit zeigt eine separate Struktur namens Zuordnungs-Bitmap (Allocation Bitmap) den Status jedes Clusters an – ob er belegt ist oder für neue Dateien verwendet werden kann. Diese Praktik ermöglicht es, den Inhalt von Dateien zusammenhängender zu platzieren und somit die Fragmentierung zu reduzieren.

Löschung

Prozedur: exFAT markiert die entsprechenden Cluster in der Zuordnungs-Bitmap als freigegeben. Der Verzeichniseintrag wird auch als inaktiv gekennzeichnet. Bei einer fragmentierten Datei bleibt die Reihenfolge ihrer Cluster in der Dateizuordnungstabelle erhalten.

Wiederherstellung: Eine nicht fragmentierte Datei kann leicht wiederhergestellt werden, indem die Informationen über ihren Startcluster und ihre Größe, die im Verzeichniseintrag verbleiben, verwendet werden. Eine fragmentierte Datei kann unter Verwendung der in der Dateizuordnungstabelle verfügbaren Sequenz von Clustern rekonstruiert werden. Daher wird die Wiederherstellung gelöschter Dateien, einschließlich fragmentierter, im Vergleich zu FAT/FAT32 viel genauer.

Formatierung

Prozedur: exFAT löscht die Informationen über den Inhalt fragmentierter Dateien, die in der Dateizuordnungstabelle gespeichert sind. Es löscht auch das Root-Verzeichnis.

Wiederherstellung: Aufgrund eines geringeren Fragmentierungsgrads können die meisten Dateien mit der Methode der RAW-Datenrettung vollständig wiederhergestellt werden. Da jedoch die Informationen zu den Fragmenten fehlen, kann es vorkommen, dass ein bestimmter Teil der Dateien unvollständig und somit beschädigt erscheint.

Lesen Sie weiter, um die Chancen der Datenrettung von anderen Dateisystemen zu erfahren: