Was ist toolstar®recoveryPRO?
toolstar®recoveryPRO ist eine erschwingliche Datenrettungssoftware von toolhouse für IT-Dienstleister und jeden, der mit verlorenen Daten zu tun hat. Mit toolstar®recoveryPRO lassen sich aus allen Windows-Dateisystemen gelöschte Dateien und Ordner wiederherstellen. Je nach logischer Beschädigung können auch ganze Verzeichnisstrukturen mit Dateien und Unterordnern wiederhergestellt werden. toolstar®recoveryPRO versucht unter allen Umständen immer alle Informationen zu erfassen. Dazu gehören neben den Datei- und Ordnernamen auch Meta-Daten wie zum Beispiel der Aufnahmeort eines Bildes oder Notizen sowie Attribute, die über den Windows-Explorer vom Eigentümer gesetzt wurden.
Was ist toolstar®driveREPAIR Modul?
Das toolstar®driveREPAIR-Modul ist ein optionales AddOn für toolstar®recoveryPRO, mit dem Sie gelöschte oder beschädigte Partitionstabellen wieder herstellen können. Sie haben die Möglichkeit alle bestehenden oder gefundenen Partitionen, die Ihnen toolstar®recoveryPRO anzeigt, in einen neuen MBR oder GPT-Eintrag zu schreiben. Mit dieser Funktion besteht die Möglichkeit defekte Windows-Installationen wieder bootfähig zu machen und eine Datenrettung zu vermeiden.
HINWEIS: toolstar®driveREPAIR arbeitet auf der defekten Platte und schreibt auch auf diese. Es werden Sicherungskopien des Bootsektors und der Partitionstabelle angelegt. Es wird jedoch trotzdem empfohlen vorher eine Sicherungskopie zu erstellen. Die Kopie muss unter allen Umständen eine 1:1 (Bit-Copy) der originalen Festplatte sein. Wir empfehlen dafür das Programm HDClone®toolstar-Edition.
Der Partitions-Scan mit toolstar®recoveryPRO
Der Partitions-Scan sucht in den bestehenden MBR– und GPT-Bereichen nach Partitionen und auch auf der gesamten Festplatte. Sollte eine Partition erkannt werden, wird Ihnen diese nach dem Scan in der Geräteübersicht dargestellt.
Im Bild links sehen Sie den Scan-Dialog mit allen Einstellungen. Ganz oben legen Sie fest, welcher Bereich der Festplatte durchsucht werden soll. Standardmäßig wird 100% durchsucht.
Danach können Sie festlegen, welche Dateisysteme gefunden werden sollen. Je nachdem werden gefundene Partitionen nach dem Scan in der Übersicht angezeigt oder nicht.
Beim Suchmodus haben Sie die Auswahl zwischen Normal (Durchsucht die ganze Festplatte von 0% -> 100%), Quick (Sucht nur an Stellen, an denen bekannterweise Partitionssignaturen liegen), Zylinder (Sucht nur an Zylindergrenzen) und rückwärts (durchsucht die Festplatte von 100% -> 0%).
Im nächsten Abschnitt können Sie festlegen, ob der RAW-File-Scan mitlaufen soll und wenn ja, für welche Dateitypen. Außerdem lässt sich festlegen, was die maximale RAW-File-Größe sein soll. Es kann vorkommen, dass nicht erkannt wird wann eine Datei aufhört. Die maximale Größe limitiert diesen Bereich. Sonst könnte es vorkommen, dass Sie ein Bild finden, das so groß wie die ganze Festplatte ist.
Der RAW-File-Scan mit toolstar®recoveryPRO
Beim RAW-File-Scan wird die ganze Festplatte von 0% – 100% nach Signaturen von bekannten Dateitypen durchsucht. Im Bild rechts finden Sie eine Aufstellung aller integrierten Dateitypen. Da der RAW-File-Scan außerhalb von Partitions- und Dateisystemgrenzen sucht, werden gefundene Dateien nach Dateitypen sortiert und es stehen keine Meta-Informationen oder Dateinamen zur Verfügung.
Der Vorteil des RAW-File-Scans besteht darin, dass Sie auch stark beschädigte Windows–Dateisysteme und unbekannte Dateisysteme (Linux, Mac, Solaris, proprietär, etc.) durchsuchen können. Damit lassen sich oft komplett verloren geglaubte Dateien wiederherstellen.
Die Optionen für die Dateitypen legen Sie im Scan-Dialog (siehe Bild oben) fest.
5 verschiedene Fallbeispiele
Daten wurden in einer intakten Partition gelöscht
Wenn Daten einfach gelöscht wurden (zu groß für den Papierkorb oder mit Shift+Löschen), dann können Sie diese einfach durch das Einlesen der jeweiligen Partition finden. Dazu machen Sie einfach einen Doppelklick auf die Partition. Nach dem Doppelklick wird die gesamte Partition vom Programm eingelesen und ein virtueller Baum erstellt, der alle bestehenden und gelöschten Dateien enthält. Diesen können Sie dann im nächsten Schritt filtern und durchsuchen. Je nachdem wie groß die Partition ist, dauert das Einlesen länger oder weniger lang. In den meisten Fällen beträgt die Zeit zwischen 3 und 6 Minuten.
Nach dem Einlesen wird Ihnen der Verzeichnisbaum dargestellt. Alle Ordner, die gelöscht wurden oder in denen sich gelöschte Dateien befinden, werden mit einem roten “X” markiert. Jede Datei, die gelöscht wurde, wird ebenfalls damit markiert. Über die Filter rechts oben lässt sich die Darstellung anpassen.
Das ist hilfreich, um alle Daten wiederherzustellen, die gelöscht wurden. Denn oft will der Kunde nur Daten zurück, die gelöscht sind und keinen Mix aus gelöschten und bestehenden Dateien.
Sobald Sie alle wiederherzustellenden Ordner und Dateien identifiziert und markiert haben, können Sie über einen Klick auf “Dateien sichern” die markierten Elemente auf einer anderen Platte wiederherstellen.
Bei der Wiederherstellung achtet toolstar®recoveryPRO automatisch auf die Länge der Dateipfade und kürzt diese im Fall der Fälle. Es wird trotzdem empfohlen, dass die Wiederherstellung auf einer anderen Platte nach Möglichkeit im Root-Verzeichnis stattfindet. Also zum Beispiel unter E: und nicht unter E:/Kunden/Beispiel/Sicherung/2021/. Auch Netzlaufwerke sind ein mögliches Ziel.
Eine Partition wurde formatiert, aber nicht überschrieben
Es kann vorkommen, dass Partitionen aus Versehen formatiert werden. Für diesen Fall gibt es einen speziellen Scan “Formatierte Volumes / Verlorene Einträge”. Diesen Scan können Sie mit einem Rechtsklick auf die betroffene Partition ausführen. Damit wird gezielt in dieser Partition nach Dateitabellen gesucht, die nicht mit der momentanen Tabelle in Verbindung stehen. Oft lässt sich dadurch fast alles wiederherstellen, das vor der Formatierung vorhanden war. Also komplette Verzeichnisbäume mit Dateien.
Gerade bei diesem Vorfall ist es wichtig, dass die Festplatte nicht weiter verwendet wird. Grundsätzlich gilt bei der Datenrettung immer das Kredo: Wenn etwas passiert ist, sofort das Gerät ausschalten und nicht weiter verwenden. Durch die Verwendung werden im Laufe der Zeit immer mehr Daten überschrieben. Diese Daten sind dann unwiederbringlich verloren.
Eine Partition wurde gelöscht, aber nicht überschrieben
Wenn eine Partition vom Kunden gelöscht wurde, dann lässt sich diese durch den normalen Scan von toolstar®recoveryPRO finden. Die gefundene Partition wird Ihnen nach dem Scan in der Übersicht angezeigt. In dieser Übersicht können Sie einfach einen Doppelklick auf die Partition machen. Danach wird diese wie unter “Daten wurden in einer intakten Partition gelöscht” eingelesen. Mit dieser Methode können Sie dann alle Ordner, Unterordner und Dateien auf einer anderen Festplatte wiederherstellen.
Die zweite Option wäre es mit toolstar®driveREPAIR die gefundene Partition mit allen bestehenden Partitionen wieder in einen neuen MBR– oder GPT-Bereich einzubinden. Damit wäre die gelöschte Partition wieder ganz normal unter Windows zugreifbar. Vorausgesetzt die Daten innerhalb der Partition wurden nicht beschädigt.
Wenn Sie mit toolstar®driveREPAIR eine Window-Systempartition wie zum Beispiel C: wiederherstellen, kann es sein, dass die Bootfähigkeit wiederhergestellt wird. Damit lässt sich unter Umständen eine versehentlich gestartete Neuinstallation korrigieren. Außerdem erhält der Kunde nicht nur seine Daten zurück, sondern auch alle Einstellungen von Windows.
Der Scan findet keine Partitionen
Es kann vorkommen, dass auf einer Festplatte nur RAW-Files gefunden werden, aber keine einzige Partition angezeigt wird. Das kann daran liegen, dass die Festplatte nur eine einzige große Partition hatte und deren Signatur wurde vollständig überschrieben. In diesem Fall können Sie nur auf die gefunden RAW-Files zurückgreifen.
In den meisten Fällen werden jedoch Signaturen gefunden. Je nach Beschädigung und Alter können Sie diese einlesen oder auch nicht. Wenn zu viel überschrieben wurde, lässt sich eine Partition nicht mehr korrekt einlesen und die Dateiliste ist verloren.
Automatische Reparatur mit toolstar®driveREPAIR
Das toolstar®driveREPAIR-Modul überpüft gleich beim Start der Anwendung, ob auf einem der angeschlossenen Datenträger eine Partition als gelöscht markiert wurde und bietet eine Wiederherstellung an.
Im Pop-Up haben Sie dann die Möglichkeit, die gefundenen Partitionen auszuwählen. Die zur Auswahl gestellten Partitionen sind ein Mix aus bestehenden (nicht gelöschten) und gelöschten Partitionen. Mit diesen Partitionen können Sie dann einen komplett neuen MBR– oder GPT-Bereich aufbauen. Außerdem können Sie auswählen, welche der Partitionen als bootfähig markiert werden sollen.
Es wird zwar automatisch ein Backup des vorhandenen MBR– bzw. GPT-Bereichs erstellt, jedoch empfehlen wir die Wiederherstellung trotzdem nicht auf dem originalen Medium durchzuführen, sondern auf einer zuvor erstellten Sicherung.
Bei der automatischen Reparatur werden Ihnen nur im bestehenden MBR– bzw. GPT-Bereich gelöschte Partitionen angezeigt. Später im Programm können Sie jedoch auch gefundene gelöschte Partitionen wiederherstellen, die keine Referenz mehr zum bestehenden MBR– bzw. GPT-Bereich haben.
Unter Windows ist die bootfähige Partition nicht die EFI-Partition, sondern C:
Muster-Ablauf einer Datenrettung
Der Kunde wird gefragt, was passiert ist
Als Erstes sollten Sie Ihre Kunden fragen, was mit der Festplatte passiert ist. Oft lässt sich basierend auf der Antwort bereits feststellen, wie mit toolstar®recoveryPRO und ggf. toolstar®driveREPAIR gearbeitet werden muss. Als Referenz können Sie die Fallbeispiele wie oben beschrieben verwenden.
Die Festplatte wird auf physikalische Schäden geprüft
Als Nächstes sollte durch eigene Prüfung und mit der Antwort des Kunden aus Schritt 1 festgestellt werden, ob die Festplatte unter Umständen physikalisch beschädigt wurde. Je nach Diagnose muss beim Schritt des Kopierens besonders auf die Festplatte geachtet werden. Unter Umständen ist eine Kühlung durch Lüfter oder spezielle Kühlpads nötig.
Die Daten auf der eigenen Sicherungsplatte werden überschrieben/gelöscht
Danach sollten Sie, wenn noch nicht geschehen, die Daten auf Ihrer eigenen Sicherungsplatte mit einem Datenlöschprogramm überschreiben. Dafür reicht ein einfacher Durchlauf mit zum Beispiel NULLEN aus. Durch diesen Vorgang wird sichergestellt, dass keine Daten von einem vorherigen Fall mit dem aktuellen Datenrettungsfall vermischt werden. Das kann das Ergebnis verfälschen und führt zu einer gravierenden Verletzung des Datenschutzes.
BIT-Copy der Kundendaten anfertigen
Im nächsten Schritt sollten Sie die Festplatte des Kunden kopieren, damit die Originaldaten des Kunden nicht weiter beschädigt werden. Das ist in jedem Fall nötig und nicht nur dann, wenn die Festplatte physikalisch beschädigt ist. Sie müssen sicherstellen, dass Sie eine 1:1-Kopie (BIT-Copy) anfertigen. Nur dann werden auch gelöschte Daten kopiert und nicht nur die Dateien, die im Dateisystem gefunden werden. Wir empfehlen dafür HDClone. Es funktioniert aber auch jedes andere Kopierprogramm mit einer Bit-Copy-Funktion.
Datenrettung mit toolstar®recoveryPRO
Als nächstes können Sie die eigentliche Datenrettung mit toolstar®recoveryPRO durchführen. Zur Hilfe können Sie sich die Fallbeispiele von oben nehmen und die im Programm integrierte Hilfe. Selbstverständlich dürfen Sie auch jederzeit bei uns im Support unter 08441 5044-27 anrufen oder per E-Mail support@toolhouse.de nachfragen.
Die geretteten Daten werden an den Kunden ausgehändigt
Nach der Datenrettung können Sie die gesicherten Daten an den Kunden aushändigen. Je nachdem, was mit der Originalfestplatte des Kunden passiert ist (logischer oder physikalischer Defekt) wäre jetzt ein guter Zeitpunkt gleich eine neue Festplatte mit anzubieten. Selbstverständlich lässt sich dieses Gespräch auch bereits bei Punkt 1 “Gespräch mit dem Kunden” abklären.
Daten auf der eigenen Sicherungsplatte werden überschrieben/gelöscht
Direkt nach Abschluss des Auftrags sollten Sie, wie auch unter Punkt 3, die Daten auf der Festplatte komplett löschen. Das minimiert die Gefahr, dass Daten von verschiedenen Vorgängen durcheinander kommen.
