Versehentlich eine Datei gelöscht? Oder das Dateisystem eines Laufwerks wurde beschädigt? Mit der freien Software PhotoRec lässt sich in vielen Fällen zumindest ein Großteil der Inhalte wiederherstellen – teils sogar vollständig. Dieser Beitrag zeigt, wie das schlanke Program genutzt werden kann. Und geht auf Aspekte ein, die du beachten musst, um weitere Schäden zu verhindern. Der Fokus liegt zwar auf PhotoRec. Doch im Beitrag schauen wir auch nach rechts & links, damit du entscheiden kannst, ob dies überhaupt das richtige Werkzeug ist. Oder andere Methoden besser geeignet sind.
Wie geht PhotoRec vor?
Ursprünglich wurde Photo Recovery (kurz PhotoRec) zum Wiederherstellen von Bildern für Digitalkameras entwickelt. Schnell unterstützte es weitere Formate, da das Prinzip mit auf alle Dateien funktioniert: Es ließt direkt den rohen Datenstrom, um darin nach Signaturen von bekannten Dateiformaten zu suchen. Eine Vielzahl ist hinterlegt.
Die Software ignoriert das Dateisystem, sodass Probleme im Dateisystem kein Hindernis darstellen. Allerdings hat das den Nachteil der fehlenden Metadateien. Mit PhotoRec lässt sich ein Laufwerk also nicht 1:1 mit Dateinamen/Verzeichnisstruktur wiederherstellen. Sondern sämtliche gefundenen Dateien (Filtern per Typ ist möglich) landen in einer künstlichen Struktur mit zufällig generierten Dateinamen, bei denen lediglich die Erweiterung erhalten bleibt. Es sollte daher als letzter Weg zum Einsatz kommen, wenn andere (nicht destruktive) Wege versagen.
Wichtig ist zu wissen: Beim Löschen von Dateien markiert das Dateisystem die Blöcke als frei – allerdings ohne diese zu löschen. Sie bleiben daher gespeichert, bis die Bereiche von neuen Dateien überschrieben werden. Sollten versehentlich Dateien gelöscht worden sein, unbedingt sämtliche Schreibvorgänge einstellen. Ist darauf das Betriebssystem installiert, am besten die Rettung von einem Live-System durchführen sowie lesend (ro) einhängen. PhotoRec greift nur lesend darauf zu. Außerdem benötigst du ein zweites Laufwerk für die Wiederherstellung, damit keine zu rettenden Daten überschrieben werden.
Wichtige Überlegungen vor der Nutzung
Nach einem Ausfall oder versehentlich gelöschten Daten mag der Schock zwar zunächst tief sitzen, das ist verständlich. Doch man sollte sich keineswegs zu panischen Reaktionen bewegen lassen. Die können den Schaden verschlimmern. Bevor irgend etwas gemacht wird – sei es die Wiederherstellung mit PhotoRec oder anderen Werkzeugen – sollte das betroffene Laufwerk offline genommen werden. Durch die weitere Nutzung können etwa noch vorhandene Dateien überschrieben werden.
Zuerst sollte man überlegen, ob es eine Sicherung gibt. Das ist die erste Wahl. Im besten Falle existiert sie, ist aktuell und funktioniert, da getestet. Vom Laufwerk muss daher gar nichts mehr gerettet werden. Oder nur ein Teil, etwa der Abstand zur letzten Sicherung. Abhängig davon ist zu entscheiden, wie man weiter vorgeht. Insbesondere wer gerade Lehrgeld für vernachlässigte Backups bezahlt, sollte Vorsichtig sein: Falsche Rettungsversuche können den Schaden vergrößern oder Dateien komplett zerstören. Im Falle eines sterbenden Laufwerks kann sich dies während der Rettung komplett verabschieden.
Empfehlung zur Entscheidung & mögliche Alternativen
Eine Pauschale Empfehlung ist daher nicht möglich. Man sollte dies anhand der individuellen Situation abwägen: Wie viele Daten sind – nach Berücksichtigung aller Sicherungen – betroffen? Gibt es möglicherweise Kopien, die ich gerade nicht auf dem Schirm habe? Beispielsweise Papierbilder. Wie wichtig sind die fehlenden Daten? Möglicherweise kann professionelle Datenrettung zum entsprechenden Preis sinnvoll sein.
Wer es auf eigene Faust versuchen möchte, sollte Laufwerke nur lesend einhängen, da beim Schreiben noch mehr Datenverlust droht. Dabei auch auf das Betriebssystem achten, welches ggf. automatisch schreibend einhängt. Falls möglich, erstellt man sich vorher sogar eine Kopie des Datenträgers. Insbesondere bei (drohenden) Hardware-Defekten eine gute Idee. So kann man schnell die Daten runter bekommen und später in Ruhe wiederherstellen. Dafür ist ddrescue eine Empfehlung wert. Es versucht systematisch zuerst lesbare Blöcke zu retten, um sich später den problematischen zu widmen. Im Gegensatz zu Standard-Software steigt es bei Fehlern nicht sofort aus, sondern reagiert tolerant, um so viele Daten wie möglich zu retten.
In diesem Beitrag liegt der Fokus auf PhotoRec. Es ist die richtige Wahl, wenn versehentlich Dateien gelöscht worden sind. Oder das Dateisystem irreparabel beschädigt wurde. Das Laufwerk selbst ist intakt, weswegen Werkzeuge wie ddrescue nicht zum Einsatz kommen.
PhotoRec nutzen
Für viele GNU/Linux-Distributionen existieren fertige Pakete, die man aus der Paketverwaltung installieren kann. Entweder im bereits installierten Betriebssystem, oder einem Live-System. Ersteres würde ich nur verwenden, wenn es sich nicht um das Systemlaufwerk handelt – etwa eine externe SSD, ein USB-Stick, eine Speicherkarte usw. Und ihr sicherstellt, dass dies nicht automatisch eingehängt wird. Außerdem ist es in verschiedenen Rettungssystemen vorinstalliert. Als letzte Alternative lassen sich die Binärdateien von der offiziellen Webseite cgsecurity.org herunterladen.1
# Manjaro/Arch
sudo pamac install photorec
# Fedora
sudo dnf install photorecDaten mit PhotoRec retten
Es handelt sich um ein interaktives Konsolen-Programm, welches du als Root (etwa mit sudo) auf der Konsole starten musst. Weitere Argumente sind nicht erforderlich. Die Software führt dich durch die Schritte. Jedoch aus meiner Sicht für wenig oder unerfahrene etwas rudimentär und teils zu wenig intuitiv. Doch das sollte mit folgender Anleitung kein Hindernis sein. Vor dem Start solltet ihr alle nicht benötigten Wechseldatenträger (USB-Sticks, Speicherkarten usw). entfernen, das vermeidet Verwirrung.
sudo photorecNach dem Start listet es sämtliche erkannte Laufwerke auf. Die Kapazität wird in beiden Einheiten (Dezimal/Dual, also 1 KB entspricht entweder 1.000 Bytes oder 1.024 Bytes) angegeben – praktisch. Der belegte oder freie Speicher wird nicht angegeben. Das ist der Software aufgrund der Funktionsweise unbekannt. Navigiert an dieser Stelle mit den Pfeiltasten nach unten bzw. oben, bis der kleine Marker rechts auf das korrekte Laufwerk zeigt. Neben der Kapazität kann auch der Hersteller bzw. Typ helfen.
Die Optionen unten (hier Proceed/Quit) werden über die Pfeiltasten rechts/links angesteuert. Standardmäßig ist Proceed aktiv, also fortfahren. Mit [Enter] fährt man fort, sobald das gewünschte Laufwerk oben ausgewählt wurde.
PhotoRec sucht nach Partitionen auf dem Laufwerk und listet sie im folgenden auf. In diesem Beispiel handelt es sich um eine Ventoy-Installation. Daher existieren zwei Partitionen: #1 für die ISOs sowie Konfigurationsdateien von Ventoy selbst. Auf der kleinen Partition #2 liegt GRUB. Je nach Verwendung des Laufwerks kann dies variieren. Ist dort ein Betriebssystem installiert, verfügt es über mehrere Partitionen – etwa UEFI, Boot usw. Bei einer reinen Datenplatte wird es in der Regel eine einzige geben. Die Vorauswahl zu Partition #1 wäre hier korrekt. Alternativ kann man bei Unsicherheit ganz oben No partition auswählen, um das ganze Laufwerk zu durchsuchen.
Bevor wir hier nun mit [Enter]starten, solltest du überlegen: Sind Filter sinnvoll? Standardmäßig sind keine gesetzt. Je nach Situation kann das zu einer großen Menge an Datenmüll führen. In meinem Szenario ist lediglich das Dateisystem defekt – ich möchte also keine gelöschten Dateien wiederherstellen. Aufgrund der zu Beginn erklärten Funktionsweise wird PhotoRec das trotzdem tun. Er sucht im gewählten Speicherbereich nach lesbaren Daten, ob gelöscht oder nicht. Daher setze ich Filter durch navigieren mit der Pfeiltaste nach rechts zu File Opt im unteren Menü gefolgt von [Enter].
Es erscheint eine lange Liste von verschiedenen Dateitypen. Standardmäßig sind alle aktiv, mit der Taste s kannst du sie abwählen. Nun navigiere mit Pfeiltasten hoch/runter bzw. Bild durch die Liste. Mit der Leertaste lässt sich ein Eintrag aktivieren. Bist du fertig, speichere mit b, bestätige mit [Enter] und drücke erneut [Enter], um zurück zu gelangen.
In der Partitionsliste angekommen, wechselst du mit den Pfeiltasten nach links auf Search (Menüleiste unten) und drückst [Enter]. Die Software möchte wissen, ob es sich um ein unter GNU/Linux gängige ext* Dateisystem handelt. Oder andere, wie etwa NTFS/FAT von Windows. Wähle mit Pfeil hoch/runter eine der Optionen, bestätige wieder mit [Enter].
Im nächsten Schritt geht es um den Bereich, in dem das Programm nach Dateien suchen soll: Der erste Eintrag Free sucht ausschließlich in Speicherbereichen, die als frei Markiert wurden. Das ist die korrekte Wahl, wenn du Dateien versehentlich gelöscht hast. Dann markiert sie das Dateisystem als „frei“, bis die Bereiche von neuen Inhalten überschrieben werden. In meinem Szenario ist Whole die korrekte Wahl, um die gesamte Partition (bzw. das gesamte Laufwerk – je nach vorheriger Auswahl) zu scannen.
Bevor es los geht, wird ein Ziel für erfolgreich gerettete Dateien benötigt. Dies muss außerhalb des Quell-Laufwerks liegen! Ansonsten überschreibt ihr euch ggf. noch wiederherstellbare Inhalte. Eine verwirrende Besonderheit an dieser Stelle: Es genügt nicht, den Ordner mit Pfeil hoch/runter zu markieren. Sondern ihr müsst hinein navigieren (Pfeil rechts). Erst dann steht der komplette Pfad oben bei Directory, sodass mit C bestätigt werden kann.
Damit ist alles vorbereitet: PhotoRec beginnt, die gewählte Partition bzw. das Laufwerk nach wiederherstellbaren Dateien zu durchsuchen. Je nach Größe und Filter kann dies einige Zeit dauern. Selbst mit nur zwei Filtern waren auf einer 500 GB großen SSD ungefähr 7 Stunden nötig. Im unteren Bereich seht ihr in Echtzeit, wie viele Dateien pro Typ bereits gerettet werden können. Generische Formate wie txt liefern sehr viele Ergebnisse, weil diese auch in Archivdateien (hier ISOs) gefunden werden.
Textbasierte Dateien in den wiederhergestellten Dateien wieder finden
Die Suche nach bestimmten Dateien wie ventoy.json brachte keine Ergebnisse. Das lag jedoch nicht an einer fehlgeschlagenen Wiederherstellung. Stattdessen setzt PhotoRec für jegliche textbasierte Dateien die Endung .txt, auch wenn diese im Original eine andere Erweiterung nutzten. Im Filter gibt es dafür eine Sammelposition. Was auf den ersten Blick verwirrt, ist auf den zweiten logisch: Die Software sucht binär nach Mustern von textbasierten Dateien. Diese sind auf dieser Ebene nicht weiter unterscheidbar, weil sie alle textbasiert sind.
Um sie zu finden, muss daher nach Fragmenten aus dem Inhalt gesucht werden. Im Beispiel von Ventoy ist das VTOY_ als Präfix für diverse Variablen wie z.B. VTOY_DEFAULT_MENU_MODE oder VTOY_WIN11_BYPASS_CHECK. Im Falle der Autounattend.xml zur automatischen Installation der Windows Testsysteme meiner Videos kommt HideOEMRegistrationScreen in allen Dateien vor.
Dafür genügt grep als Boardmittel:
linux-workspace ssd-restore $ grep -ir "VTOY_" .
./recup_dir.1158/f398359552.txt: { "VTOY_DEFAULT_MENU_MODE": "1" }
./recup_dir.1113/f182395136.txt: { "VTOY_DEFAULT_MENU_MODE": "1" },
./recup_dir.1113/f182395136.txt: { "VTOY_WIN11_BYPASS_CHECK": "0" },
[...]Schneller funktioniert es mit ripgrep (rg)2, weil es z.B. binäre Dateien überspringt. Unabhängig davon welches der beiden ihr einsetzt, denkt an eines: PhotoRec hat alle lesbaren Dateien auf dem Laufwerk wiederhergestellt. Darunter können sich also auch ältere Versionen befinden, die etwa gelöscht worden sind. Das war bei mir der Fall – etwa Sicherungskopien bei Tests. Ich habe daher alle Funde in einen Ordner kopiert. Anhand der Dateigröße ließen sich offensichtliche Fehltreffer aussortieren. Beim Rest schaffte colordiff durch Zeilenweise vergleichen Klarheit. Im folgenden Beispiel ist die erste Datei aktueller als die Zweite.
Bei den Autounattend.xml wird es komplexer. Wie man am obigen Ausschnitt sieht, habe ich für die Videos verschiedene angelegt: Vollautomatisierung, Teilautomatisierung bis in die OOBE und eine für die von MS abgewertete Home-Lizenz. Es kostet etwas Mühe und man sollte – zumindest bei textbasierten Dateien – deren Inhalt einigermaßen kennen, um hier die korrekten zu finden.
Fazit
Das erstmals 2002 erschienene PhotoRec entwickelte sich schnell zu einem universellen Werkzeug, um Dateien zu retten. Sowohl beim versehentlichen Löschen, als auch fehlerhaften Dateisystemen kann es oft viele bis alle Inhalte retten. Die Dateinamen gehen dabei verloren, teils zudem die Erweiterung. Das mag je nach Szenario mehr oder weniger Problematisch sein. Dafür liefert die freie Software hervorragende Ergebnisse beim Retten der Inhalte, wo Standard-Werkzeuge komplett versagen. Im Zweifel ist das am Wichtigsten. Insbesondere, wenn keine Sicherung vorliegt. Was ihr natürlich trotz allem tun solltet.
Denn: PhotoRec leistet in diesen Umständen zwar hervorragendes. Doch eine planmäßige Wiederherstellung ist die bessere Wahl. Zumal PhotoRec keine Wunder vollbringen kann. Ist der Datenträger etwa derart beschädigt, dass er nicht einmal mehr erkannt wird, sind sämtliche Daten verloren. Hier könnte höchstens noch ein Datenrettungslabor helfen. Mit entsprechenden Kosten, die schnell im unteren 4-Stelligen Bereich liegen.