DATA RECOVERY
|
Übersicht
|
Einführung |
Mehr... |
Links |
RFCs |
Books
|
TECHNIK |
Allgemeines zum Data-Recovery Projekt
Details zur Daten-Wiederherstellung
|
Allgemeines zum Data-Recovery Projekt
|
Details über die recht komplizierte Verfahrensweise, überschriebene Daten wieder herzustellen,
sind ausserordentlich rar. Die wenigen Dokumente, die im Internet zu diesem Thema zu finden sind,
befassen sich meist nur sehr oberflächlich mit den technischen Details und sind letztendlich auch
nur wenig aufschlussreich. So genannte Data-Recovery-Firmen beherrschen die hohe Kunst, selbst
scheinbar hoffnungslos verlorene Daten wieder zum Vorschein zu bringen. Wenn überhaupt werden diese
Leistungen nur noch von Geheimdiensten übertroffen.
Die PM-Cooperation will mit diesem Info-Dokument den interessierten Geistern, egal ob Laie oder
IT-Experte, einen aufklärenden Einblick ermöglichen und aufzeigen, was passiert, wenn Daten auf
ein magnetisches Medium, wie z.B. einer Festplatte, geschrieben werden und wie selbst
vermeintlich effektiv gelöschte Datensätze wieder zum Vorschein kommen können.
|
Details zur Daten-Wiederherstellung
|
Mit der Ausrichtung von magnetischen Teilchen lassen sich auf magnetischen Medien klar zwei
Zustände unterscheiden, die somit für die Speicherung von binären Informationen sehr gut geeignet
sind. Eine positive oder negative Magnetisierung gibt auf diese Weise den Wert für eine Null oder
eine Eins an. Auf einer Festplatte folgen wir einer Spur von sich abwechselnden magnetischen
Ausrichtungen, wie in der vereinfachten Darstellung in Abb. 1 gezeigt wird.
|
(+) 1 0 0 1
__ __
| | |
------------ ...
|__|__|
(-) [Abb. 1]
|
|
Doch dies ist nur ein einfaches Modell, dass zum grundlegenden Verständnis der Vorgehensweise bei
der Speicherung der binären Informationen dient. Ein Modell, dass aber gleichzeitig die
Möglichkeit der Wiederherstellung von überschriebenen Daten unmöglich erscheinen lässt. Das dem
aber nicht so ist, muss ein komplexeres Modell aufzeigen.
Die so genannte Koerzitivkraft (gemessen in Oersted, Oe) ist eine magnetische Materialeigenschaft
und wird definiert als der Betrag des magnetischen Feldes, der gebraucht wird, um die
magnetische Induktion des Materials auf 0 zu bringen. Das heisst, je höher die Koerzitivkraft ist,
desto schwieriger ist es, Daten von einem Medium zu löschen. Das Modell, das in Abb. 1 verwendet
wurde, gibt nur ein Bild davon, wie Binär-Informationen als magnetische Ausrichtungen dargestellt
werden. Doch gibt es keine Auskunft über die Stärke der Magnetisierung auf dem Medium an.
Übertragen wir nun die Stärke der Magnetisierung in ein Modell, ergeben sich für uns neue
Sichtweisen und Erkenntnisse. Die Werte für die wirkenden Kräfte, die hier verwendet werden,
sind rein theoretisch, entsprechenden aber genau den phsikalischen Prinzipien beim
Schreibvorgang.
Der erste Schreibvorgang erreicht auf der jeweiligen Stelle in der Spur vielleicht beispielsweise
einen Sättigungsgrad von 8 und "entspannt" sich, nachdem der Magnetkopf weiterfährt, an dieser
Stelle auf 2, wie in Abbildung 2 gezeigt. Die Speicherung dieser Information ergibt ein relativ
glattes Bild.
|
(+)
_ 1 0 0 1
_ __ __
_ | | | |
| | | |
- ------------- ...
_ | | |
_ |__|__|
_
(-) [Abb. 2]
|
|
Weil die Schreibimpulse relativ kurz sind, erreicht das magnetische Medium praktisch
nie das Maximum der magnetischen Feldstärke, was den Effekt hat, dass an der Stelle, an der schon
vorher ein Bit mit dem Wert 1 gespeichert war, durch Überschreiben mit einem Bit gleichen Wertes
die Feldstärke sich zwar nicht verdoppelt, aber einen geringfügig höheren Gesamtwert annimmt, wie
Abbildung 3 deutlich macht.
|
(+) (1)(0)(0)(1) - (:) ursprüngliche Daten
_ 1 1 0 1 - (|) neue, überschreibende Daten 1 1 0 1
_ __ __ __ __
_ |__| | | | | | |
_ ::::--| :::: | |--| | |
:::: | :::: | | | | |
- Oe ------------- ... ------------- ...
_ ::::::: | |
_ ::::::: | |
_ |__| |__|
_
(-) [Abb. 3] [Abb. 4]
|
|
Die jeweiligen Bits auf der Spur weisen variierende, unterschiedliche Feldstärkewerte auf,
die jedoch in Ihrer Ausrichtung immer eindeutig sind, so dass positive und negative Werte klar
detektierbar sind. Dieses Modell zeigt uns aber nun, das magnetische Restanteile der
vorhergehnden Schreibvorgänge bleiben, die entsprechend ausgewertet werden können, wenn man über
das entsprechende Equipment verfügt, das sensibel genug ist, die Unterschiede der magnetische
Remanenz zu messen. Abbildung 4 zeigt zur Veranschaulichung nochmal die neuen Werte nach der
Überschreibung ohne die Markierungen der alten Daten.
Der höhere Sättigungsgrad an der ersten Stelle, der hier den Wert 3 angenommen hat, weisst auf
eine vorangegangene Magnetisierung gleicher Aussrichtung. Hier wurde ein Bit mit dem Wert 1 mit
einem Bit überschrieben, dass ebenfalls den Wert 1 trug. Die leicht schwächere magnetische
Ausrichtung an zweiter Stelle weisst hier auf eine vorangegangene Magnetisierung in
entgegengesetzter Richtung. Basierend auf dieser Technik können Datensätze theoretisch über
mehrere Schreibzyklen hinweg noch detektiert werden.
Es tritt aber noch eine zweite Form der Remanenz in Erscheinung, die verwertbare
Spuren für die Daten-Wiederherstellung hinterlässt. Abbildung 5 zeigt den Ausschnitt einer
Datenspur auf der Festplatte, in der der Magnetkopf die einzelnen Bits geschrieben hat. Auch in
der vergrösserten Ansicht kann man sich die Bereiche der einzelnen Magnetisierungen, idealerweise
zentriert, in der Spur vorstellen. Für das Verstehen des Schreib-/Lesevorganges reicht diese
Sichtweise aus.
|
Magnetkopf (mitte) Magnetkopf
----------------- |
--------Ž--------
--------Ž-------- |+|-|+|(Ž)
Spur- |+|-|-(Ž) <- Spur- |+|-|+|(Ž) <-
--------Ž-------- Drehrichtung |+|-|+|(Ž) Drehrichtung
|+|-|-|+|+|+|-| der Festplatte --------Ž-------- der Festplatte
-----------------
[Abb. 5] [Abb. 6]
|
|
Da der magnetische Schreib-/Lesekopf nicht immer exakt derselben Spur folgt, sei es
durch Alterungserscheinung oder durch thermischen Einwirkungen, kommt es vor, dass
Informationen leicht versetzt von der idealen Datenspur geschrieben werden (Abb. 7).
|
Magnetkopf
|
Ž
|+|-|-(Ž)
-|+|-|-(Ž)-------
|+|-|-(Ž)
Spur- Ž <-
Drehrichtung
----------------- der Festplatte
[Abb. 7]
|
|
Nachfolgende Schreibvorgänge können diesen Bereich unberührt lassen und einen schmalen
Spurstreifen mit alten Datenbits hinterlassen, wie in Abbildung 8 dargestellt. Ein Streifen, der
übrigens selbst bei versetztem Magnetkopf in diesen Bereich hinein für ein einwandfreies Lesen
der regulären Daten unproblematisch ist, da der Magnetkopf bei Schreib- oder Lesevorgängen
grundsätzlich näher auf der Idealspur liegt und somit die Intensität der magnetische Ausrichtung
der neuen Datenbits gegenüber den alten Datenbits dominiert.
|
|+|-|-|+|+|+|-| \ alte -------------- _ Bereich mit
-|+|-|-|Ž|+|+|-|- / Datenbits -------------- alten Datenbits
|-|+|+(Ž)+|+|-|
Spur- |-|+|+(Ž) <- Idealspur
|-|+|+(Ž) Drehrichtung
--------Ž-------- der Festplatte --------------
--------------
[Abb. 8] [Abb. 9]
|
|
Die Abtastung der beiden nebenliegenden Spurstreifen entlang der Idealspur (Abb. 9) können dabei
über weite Strecken verwertbare Daten hervor bringen. Durch die Messung der unterschiedlichen
Feldstärken in der Spur und der Verwertung der Informationen neben der Idealspur kann durch
Kombination dieser Verfahrensweisen eine Wiederherstellung überschriebener Daten über mehrere
Schreibzyklen hinweg ermöglicht werden. Verbindliche Angaben darüber, über wieviel Schreibzyklen
eine Datenrekonstruktion möglich ist, kann nicht gemacht werden. Doch wird hier von bis zu
zehn und mehr Schreibvorgängen gesprochen, bei dem eine Rekonstruktion als noch möglich
angesehen wird.
Trotz vermeintlich irreperabler Beschädigungen bleiben doch oftmals mehr Informationen
für Daten-Wiederherstellung-Techniken auf den entsprechenden Speichermedien lesbar, als manch
einer sich vorstellen und wünschen mag. Oftmals versucht man durch physikalische Einwirkungen
auf den Datenträger einzuwirken, um eine Daten-Rekonstruktion unmöglich zu machen. Tatsächlich
ist die physikalische Zerstörung des Speichermediums, die einzige Alternative zur sicheren
Datenbeseitigung. Es nutzt aber nichts die Festplatte mit Wasser oder Kaffee zu begiessen. Auch
den ganzen Rechner ins Meer zu werfen, macht hier keinen grossen Unterschied, da die magnetische
Datenremanenz dadurch unbeeinflusst bleibt.
Das Bearbeiten einer Festplatte mit einem Vorschlaghammer, gilt nicht als physikalische
Zerstörung, sondern ist halt nur eine massive physikalische Beschädigung. Um derart beschädigte
Festplatten zu lesen werden Spezial-Leseköpfe verwendet, die nicht mit der Geschwindigkeit einer
üblichen Festplatte über die Spuren fahren, sondern gemächlich und auf diese Weise sorgfältig
nach allen verbliebenen Spuren suchen können.
Die Magnetic Force Microscopy (MFM) ist beispielsweise eine Technik, um Magnetisierungsmuster
mit hoher Auflösung und minimaler Muster-Vorbereitung abzubilden. Diese Technik stammt von der
Scanning Probe Microscopy (SPM) ab und benutzt eine sehr feine magnetische Spitze, die an einem
flexiblen, freitragenden Arm nahe an der zu analysierenden Oberfläche angebracht ist, wo es mit
dem ausgehenden Feld, das vom Muster ausgeht, interagiert. Ein Bild, von dem Feld auf der
Oberfläche, wird durch Bewegung der Spitze über der Oberfläche geformt und durch Messungen
der Stärke (oder des Stärkegrades), als eine Funktion einer Position festgelegt. Die Stärke der
Interaktion wird durch Beobachtung der Position des Armes über einen optischen Interferometer
oder Tunnel-Sensoren gemessen.
Eine andere Variante basiert auf einem patentieren Laserverfahren, die auch über physikalische
Verformungen hinweg ihren korrekten Weg auf der Spur beibehält. Grundlage für dieses Verfahren
ist eine spezielle Wechselwirkung zwischen Licht und magnetischem Feld. Dabei macht man sich eine
Eigenschaft des Lichtes zu nutze, die sich Polarisation nennt und vom menschlichen Auge nicht
wahrgenommen werden kann. Es gilt dabei, dass linear polarisiertes Licht, das auf eine
magnetisierte Reflektionsfläche trifft, in seiner Polarisationsebene gedreht wird. Proportional
zur Richtung des Magnetfeldes ist die Drehung Polarisationsebene.
Wie in Abbildung 10 zu sehen, wird ein Laserstrahl auf die Festplatte bzw. auf den jeweiligen
Zylinder gerichtet, der durch die Ausrichtung der Elementarmagnete parallel zur Einfallsrichtung
des Laserlichts mit veränderter Polarisationsebene reflektiert wird. Diese unterschiedliche
Polarisation gibt Auskunft über die vorliegende magnetische Ausrichtung und damit über die
gespeicherten binären Informationen. Nach diesem Prinzip werden auch magneto-optische
Disketten (MO-Disks) ausgelesen.
|
1 0 1 _
---------------------------- \
magnetische __ | | | | A A A A | | | | \_ Festplatte
Ausrichtung V V V V | | | | V V V V / (Zylinder)
----------------------------_/
| | | | <- Drehrichtung
V V V V _____
A A A A \________ Reflektiertes Laserlicht mit
| | | | geänderter Polarisationsebene
|LASER|
[Abb. 10]
|
|
Anmerkung: Keine der von PM kontaktierten Data-Recovery-Firmen war auch nur im geringsten dazu
bereit allgemeine Informationen zu den verwendeten Daten-Wiederherstellungstechniken zu geben
oder überhaupt, auf welche Art auch immer, auf unsere Anfragen zu antworten. Aufgrund solcher
Erfahrungen verzichtet PM auf die Sites führender Data-Recovery-Firmen zu verweisen. Gerade
wegen dieser arroganten Firmenpolitik, die Öffentlichkeit weiterhin in Unwissenheit zu belassen,
wird PM die Forschungsarbeiten im Bereich der Data-Recovery weiter fortführen und Tools
entwickeln, die dem Anwender zuhause die Möglichkeit zur Hand gibt, sich selber an einfachen
Daten-Wiederherstellung-Verfahren zu versuchen, bevor auf kostenpflichtige Dienste zugegriffen
werden muss.
Dieses Info-Dokument wurde von der Parallel Minds Cooperation in reger Zusammenarbeit mit
Elektroingenieuren und Systemadministratoren zusammengestellt.
|
Bericht von : [ CONVEX ]
|
Überarbeitet von : Patrizier
|
|
|