Technischer Vorgang bei Datenwiederherstellung

[conspectumortis]

Hallo,

ich bin auf der Suche nach Internetseiten auf denen genau , bis sehr genau erklärt wird wie Datenwiederherstellung (data recovery) funktioniert.
Grundlegend mein ich damit den technischen Aspekt ,also Dateisystemabhängigkeit, Zugriff auf eine Datei auf der untersten Schicht (header , inodes ,Kruscht und Zeug), wie Daten gelesen werden und vorallem wie Daten (bits und bytes) als ganzes wiederhergestellt werden können.
Google usw. hilft ich weiss, aber in keinem Bericht wird nur Ansatzweise beschrieben wie das ganze auf der untersten Ebene funktioniert, sei es bei ext4 ,ntfs , btrfs usw.
Notfalls ,wenn keiner mir helfen kann müsste ich das Datasheet des jeweiligen Dateisystems durchlesen, verstehen und erklären,was sehr heftig ist.


Hoffe Ihr könnt mir helfen.

Gruß


P.S: Ich will das Rad nicht neu erfinden, sondern nur Dokumentationen zusammenkratzen und das Nötige herausfiltern.

 

[1668mib]

Die Daten können wiederhergestellt werden, weil sie nie weg waren... sie werden nur als "frei" markiert.
Auch die Tabellen, in denen steht, welche Zuordnungseinheiten zu welcher Datei gehören, werden nicht direkt gelöscht sondern sind i.d.R. auch noch da...

 

[conspectumortis]

ok

 

[doll-by-doll]

Info http://de.wikipedia.org/wiki/Datenwiederherstellung müßte helfen!
Mfg doll

 

[conspectumortis]

Danke,aber die wikipedia Seite bietet mir viel zu wenig Information.
Es wird nicht gezeigt wo sich in einem Datenblock die Nutzdaten befinden, die Metadaten , der Inode abgelegt ist und wie versucht wird das alles bei der Datenwiederherstellung (auch nach mehrmaligem Überschreiben einer Datei mit anderen Daten) zu handhaben.

Ich benötige detaillierte Informationen über den strukturellen Aufbau bsw. des ext4 Dateisytems und die dazugehörige(n) Darstellung/Ablauf wie ein recovery tool versucht diese Daten wiederherzustellen. Vorallem will ich grob wissen ab welchem Grad der Zerstörung einer beliebigen Datei (beliebige Formate), die Datei so stark zerstört ist ,dass sie zumindest nicht mehr vom Betriebssystem/Anwendung erkannt wird / genutzt werden kann, nachdem sie von einem recovery tool zum Teil wiederhergestellt ist. (<- diesen Teil will ich mit diversen recovery tools / Betriebssysteme / Dateisysteme selbst grob herausfinden und eine Art Statistik erstellen)

 

[1668mib]

Nimms mir nicht übel aber ich spreche dir irgendwie das dafür notwendige Verständnis ab, wenn ich lese, was du so schreibst...

Dass eine Datei zerstört ist, dazu kann es reichen, wenn ein einzelnes Bit gekippt ist... Ob eine Datei noch genutzt werden kann hängt davon ab, was wichtig in der Datei ist. Ein Text-Dokument, in dem statt ein X ein Y steht wird man ja wohl noch weiternutzen können... bei komprimierten Daten kann ein gekipptes Bit aber folgenschwere Probleme verursachen (auch wenn es da wiederum formatabhängige Gegenmaßnahmen geben kann)...

Und wenn es dir um ext4 geht, dann lies doch einfach mal nach, wie das ext4-Dateisystem arbeitet - völlig unabhängig von der Wiederherstellung. Den Wiederherstellungsspezialisten blieb ja auch nichts anderes übrig... und dann ist auch logisch, wie so ein Tool vorgeht...

Und nur mal so: Wenn man dir schon Arbeit abnehmen soll, dann wäre es irgendwo auch sinnvoll zu wissen, wofür man sich denn überhaupt die Mühe macht...

 

[Mueli]

Dir gesuchten Informationen wirst Du Dir auf allen möglichen Seiten zusammenklauben müssen, denn z. B. M$ hat NTFS schon mal nicht offen gelegt, die Informationen wurden per Reverse Engineering ermittelt, Informationen findet man man bei den Entwicklern, die den Support dieses Filesystems unter Linux programmiert haben. Allerdings findet man im Technet schon ein paar hilfreiche Dinge.
Das kippen eines Bit in einer Datei führt noch nicht zum Verlust, denn es wird in die Gaps (ein Sektor ist nicht nur 512 Byte groß und schwankt in der Größe auch noch zwischen den Herstellern) zwischen den Datenblöcken CRC-Code mitgeschrieben.

Gute Quellen sind die White-Papers bei den Herstellern und im Fall von Seagate auch die sogen. Family-Guides zu den Festplatten-Serien.
Eine sehr gute Quelle ist die Disk-Bibel 'SCSI-Bus und IDE-Schnittstelle' aus dem Addison-Wesley Verlag.

 

[1668mib]

@Mueli:
"dass sie zumindest nicht mehr vom Betriebssystem/Anwendung erkannt wird / genutzt werden kann" => im Worst Case reicht da ein Bit...Ändere doch mal in einer Win32-Datei die Adresse des Programmeinstiegspunkt um ein Bit... die Anwendung startet nicht mehr wirklich... Natürlich ist es nicht zwingen irreparabel. Und natürlich wird bei einer Dateiwiederherstellung eher das Vielfache einer Zuordnungseinheit (Sektorverbunds) Defekt sein als nur ein Bit. Ich wollte nur veranschaulichen, dass generelle Aussagen , ab wann wie vielen kaputten Zuonrdungseinheiten eine Datei nicht mehr zu benutzen ist, nicht machbar sind...

Und die Größe der Sektoren (die viel mehr vom Modell als vom Hersteller abhängt...) ändert ja nichts am Vorgehen. Und damit das Ganze komplett offtopic wird: Die Festplatten-internen CRCs können auch nur das verifizieren, was bei der Festplatte ankam. Wenn das SATA-Kabel nicht ganz in Ordnung ist oder Probleme mit dem Arbeitsspeicher auftreten, dann helfen auch keine Prüfsummen der Festplatte mehr...