coat of arms Wir sind Ukrainer, und wir sind stolz darauf! Wie kann man die Ukraine in diesen schwierigen Zeiten unterstützen?
Kostenloser Download Bestellen

Chancen für Datenwiederherstellung: Die Dateisysteme von macOS

Die Chancen, verlorene Dateien wiederherzustellen, werden hauptsächlich von der Art des Dateisystems beeinflusst, das vom Speicher zum Zeitpunkt der Löschung oder Formatierung verwendet wird. Dies liegt daran, dass seine Mechanismen bestimmen, welcher Teil der Informationen über sie auf dem Medium verbleibt und der Datenrettungssoftware zur Verfügung steht. Mit dem grundlegenden Verständnis, wie jedes Dateisystem diese Operationen ausführt, können Sie den tatsächlichen Grad der Wiederherstellbarkeit angemessen vorhersagen.

Apple-Computer mit macOS verwenden seit vielen Jahren HFS+. Sie kennen es vielleicht auch als Mac OS Extended. Das Dateisystem ist unter macOS 10.12 Sierra oder früher zu finden. Nach der Einführung des fortschrittlicheren APFS-Dateisystems wurde es jedoch zur Standardoption für neuere Mac-Modelle, beginnend mit macOS 10.13 High Sierra.

HFS+

HFS+ organisiert die Platzierung von Daten mithilfe einer Reihe spezieller Dateien. Sie werden jedoch nicht in der Form präsentiert, die wir gewohnt sind. Stattdessen sind sie als Baumstrukturen – die sogenannten B-Bäume – angeordnet. Das Konzept der Bäume mag ziemlich verwirrend sein, aber Sie sollten zumindest damit vertraut sein, um herauszufinden, wie die meisten modernen Dateisysteme funktionieren. Der Hauptunterschied zwischen Bäumen besteht darin, dass sie Informationen nicht sequentiell speichern. Sie werden auf mehreren Ebenen angeordnet, die miteinander verbunden sind, um eine Art Beziehung zu veranschaulichen.

Jede mit HFS+ formatierte Partition wird in gleich große Blöcke namens Zuordnungsblöcke (allocation blocks) aufgeteilt. Der Zustand jedes Zuordnungsblocks ist in der Zuordnungsdatei (Allocation File) gekennzeichnet. Diese Datei dient als Karte des verfügbaren Speicherplatzes für das gesamte Dateisystem.

Zuordnungsblöcke werden Dateien in ununterbrochenen Sequenzen zugewiesen, die Extents genannt werden. Jeder Extent ist durch die Position seines Startblocks und die Anzahl der darauffolgenden Blöcke gekennzeichnet. Extents sind auch wichtige Elemente, die häufig in verschiedenen modernen Dateisystemtypen anzutreffen sind.

Die Katalogdatei (Catalog File) ist eine zentrale Baumstruktur in HFS+. Sie legt die Beziehungen aller Dateien und Verzeichnisse fest, speichert ihre grundlegenden Eigenschaften, einschließlich Namen, und die Speicherorte von bis zu acht ersten Extents. Zusätzliche Extents werden, sofern vorhanden, in der Extents-Überlaufdatei (Extents Overflow File) aufbewahrt.

Bevor Änderungen an seinen Dienstdateien vorgenommen werden, zeichnet HFS+ diese zunächst in einer separaten Datei auf, die als Journal bekannt ist. Und erst danach führt es die eigentlichen Korrekturen durch. Die Größe des Journals ist jedoch festgelegt, sodass sein älterer Inhalt systematisch mit den Informationen über neuere Änderungen überschrieben wird.

Löschung

Prozedur: HFS+ baut die Katalogdatei sofort neu auf und zerstört dabei die Informationen über den Namen und die Extents der Datei. Die Zuordnungsdatei wird aktualisiert, um widerzuspiegeln, dass die entsprechenden Zuordnungsblöcke jetzt frei sind. Trotzdem bleiben die Extents selbst irgendwo auf dem Speicher. Überdies verbleiben die Aufzeichnungen zu diesen Aktualisierungen für einige Zeit im Journal.

Wiederherstellung: Das Journal kann eine Kopie der Katalogdateistrukturen enthalten, die die gelöschte Datei beschreiben. Die Chancen hängen davon ab, wie aktiv das Betriebssystem nach dem Löschen verwendet wurde. Wenn diese Informationen überschrieben wurden, die Extents jedoch noch vorhanden sind, gibt es eine andere Möglichkeit, die Datei wiederzugewinnen. In diesem Fall muss die Datenrettungssoftware jedoch das Dateisystem vorbeikommen und den Speicher auf einer tieferen Ebene analysieren, die Datei basierend auf den bekannten Besonderheiten ihres Formats finden und zusammensetzen. Diese Methode wird auch RAW-Datenrettung genannt. Ihre Hauptschwäche besteht darin, dass die Datei ohne ihren korrekten Namen abgerufen wird und ihr ursprüngliches Verzeichnis verliert. Außerdem liefert diese Methode nur unter der Bedingung positive Ergebnisse, dass HFS+ zufällig den Inhalt der Datei in angrenzenden Extents gespeichert hat.

Formatierung

Prozedur: Die Katalogdatei wird zurückgesetzt, wodurch die Informationen über die vorherigen Dateien verloren gehen. Der Inhalt von Dateien und das Journal bleiben dabei unberührt.

Wiederherstellung: Zuerst kann das Journal analysiert werden, um alles abzurufen, was in seinen Aufzeichnungen übrig ist. Der Rest der Dateien kann mithilfe der RAW-Datenrettung wiederhergestellt werden. Ebenso können positive Ergebnisse nur für Dateien erzielt werden, die benachbarte Extents belegen.

APFS

Im Gegensatz zu HFS+ und den meisten anderen Dateisystemtypen befindet sich APFS im Container statt in einer Partition. Dieser Container kann gleichzeitig mehrere Dateisysteme enthalten, die sich den verfügbaren Speicherplatz teilen. Der Zustand jedes Blocks im Container wird in der Bitmap angezeigt. Der Rest der Strukturen wird jedoch von jedem Dateisystem einzeln verwaltet.

Genau wie HFS+ ordnet APFS Dateien Blöcke in fortlaufender Reihe namens Extents zu, die jeweils durch den Startblock und die Anzahl der Blöcke in der Sequenz gekennzeichnet sind. Alle Extents sind als Baumstruktur organisiert - der bereits erwähnte B-Baum.

Die Hierarchie von Dateien und Verzeichnissen wird zusammen mit den sie beschreibenden Informationen ebenfalls in Form eines B-Baums gespeichert.

Ein charakteristisches Merkmal von APFS ist, dass es seine Strukturen niemals vor Ort ändert. Es erstellt immer eine Kopie an einem neuen Ort und nimmt die erforderlichen Änderungen daran vor, während die ursprüngliche Struktur auf dem Speicher verbleibt. Danach werden andere Strukturen aktualisiert, um auf diese modifizierte Kopie zu zeigen.

Löschung

Prozedur: APFS reorganisiert den B-Baum als Reaktion auf das Löschen und löscht die Informationen über die Datei.

Wiederherstellung: Es ist möglich, ältere Kopien zu finden und sie für die Rekonstruktion zu verwenden. Aber da APFS für Solid-State-Laufwerke gedacht ist, wird der Inhalt der Datei wahrscheinlich durch die TRIM-Operation gelöscht, was keine Möglichkeiten zur Datenwiederherstellung lässt.

Lesen Sie weiter, um die Chancen der Datenrettung von anderen Dateisystemen zu erfahren:

< Zurück zur Kategorieansicht
War dieser Artikel hilfreich? Teilen Sie es: