Wiederherstellung von gelöschten Dateien auf einem USB Stick mit Hilfe der Quantenphysik


Möglichkeiten der Datenrettung

 

Table of Contents

Technologie des Lesens und Speicherns

Verständnis Lese und Schreibzugriff

MOSFET ( metal oxide semiconductor field effect transistor) / Darstellung 1

MOSFET Schaltbild / Darstellung 2

Speichervorgang

Einzelschritte zur Wiederherstellung

Begriffserläuterungen

 

Wie die Quantenphysik bei der Wiederherstellung gelöschter Daten auf einem USB Stick behilflich ist.

– Eine wissenschaftliche Erklärung des Vorgangs –

Wir alle verwenden ihn tagtäglich. In diesem Beitrag wird erläutert, wie ein Flash Medium funktioniert und wie auf einem solchen eine Wiederherstellung von Daten erfolgreich durchgeführt werden kann und wie es um die Sicherheit der Sticks bestellt ist.

 

Techologie des Lesens und Speicherns

Zu unterscheiden gilt hier zunächst die Technologie des Speicherns und Lesen der Daten unter einem USB-Stick (Flash-EEPROM[1]-Speicher). Diese gewährleistet eine nichtflüchtige Speicherung bei gleichzeitig niedrigem Energieverbrauch und ist darüber hinaus sehr handlich. Bei einem Flash-EEPROM-Speicher werden die Informationen (Bits) in einer Speichereinheit (Speicherzelle) in Form von elektrischen Ladungen gespeichert. Bei einer HDD wird dies mittels Magnetismus erreicht. Die Speicherzellen der Sticks sind auch von Verschleiß betroffen. Hersteller neigen zur Aussage, dass gespeicherte Daten bis zu 10 Jahren gelesen – sowie max. bis 1 Mio. Schreibzyklen pro Speicherzelle garantiert werden können. EEPROMs können im Unterschied zu Flash-EEPROMs byteweise beschrieben und gelöscht werden.

Um zu verstehen, wie die genaue Abfolge des Lese- Schreibzugriffs abläuft, gehe ich nun detailliert vor, um Ihre Frage später genauer wiedergeben zu können, die für das Verständnis zur Wiedererlangung von gelöschten Daten von Vorteil sein kann: Bei einem Flash-EEPROM-Speicher werden Informationen (Bits) in einer Speichereinheit (Zelle) in Form von elektrischen Ladungen auf einem Floating-Gate[2] eines Metall-Isolator-Halbleiter-Feldeffekttransistors[3] (MISFET, engl. MOSFET (metal oxide semiconductor field effect transistor[4])) gespeichert.

 

Verständnis Lese und Schreibzugriff

Einfache grafische Darstellung eines MOSFET (metal oxide semiconductor field effect transistor).

Darstellung 1

grafische Darstellung eines MOSFET

Das Funktionsprinzip eines USB-Sticks beschreibt, das elektrische Ladungen so beeinflusst werden, dass Ladungsträger im darunter liegenden Gebiet zwischen Source- und Drain-Kontakt (der sogenannte Kanal – Inversion Layer) durch die elektrische Leitfähigkeit des Feldeffekttransistors beeinflusst werden.

Damit Informationen gezielt gespeichert werden können, müssen jedoch Ladungen auf das Floating-Gate gebracht und wieder entfernt werden können. Diese Änderung des Ladungszustands ist nur durch den quantenphysikalischen[5] Tunneleffekt[6] möglich, der es Elektronen erlaubt, den eigentlichen Nichtleiter zu passieren. Da dies jedoch nur durch große Unterschiede im elektrischen Potential über den Isolator erfolgen kann, bewirkt die elektrische Isolation des Floating-Gate, dass eingebrachte Ladungen nicht abfließen können und der Speichertransistor seine Informationen behalten kann.

 

Schaltbild zur obigen Beschreibung in grafischer Ansicht für den Grundtyp des MOSFET.

Darstellung 2

Schaltbild MOSFET

Schaltbild MOSFET / Grafische Darstellung teilweise GNU General Public License (GPL)

Speichervorgang

Die Speicherung von einzelnen Bits erfolgt über das Floating-Gate, das eigentliche Speicherelement des Flash-Feldeffekttransistors. Es liegt zwischen dem Steuer-Gate und der Source-Drain-Strecke und ist von dieser wie auch vom Steuer-Gate jeweils mittels einer Oxid-Schicht isoliert (siehe Darstellung 1). Im ungeladenen Zustand des Floating-Gate kann über das Steuer-Gate auf gesteuerten Transistor in der Source-Drain-Strecke ein Strom fließen. Werden über das Steuer-Gate durch Anlegen einer hohen positiven Spannung (10–18 V) Elektronen auf das Floating-Gate gebracht, so kann in der Source-Drain-Strecke auch bei auf gesteuertem Transistor kein Strom mehr fließen, da das negative Potential der Elektronen auf dem Floating-Gate der Spannung am Steuer-Gate entgegen wirkt und somit den Flash-Transistor geschlossen hält. Diese Methode nennt sich auch „Hot Electron Injection“.

Der ungeladene Zustand (Löschen durch Tunneln) wird erreicht, indem die Elektronen durch Anlegen einer hohen negativen Spannung über die Steuergate-Kanal-Strecke wieder aus dem Floating-Gate ausgetrieben werden. Ein Flash-Speicher besteht also aus einer bestimmten, von der Speichergröße abhängigen Anzahl einzelner Speicherelemente. Die Bytes können hier einzeln adressiert werden. Die entgegengesetzte Operation, das Löschen, ist aber nur in größeren Einheiten, den so genannten Sektoren[7] der Gesamtspeicherkapazität möglich. Dabei ist die logische Polarität nicht immer gleich die den Übergang zu 0 und 1 realisieren und umgekehrt. Das bedeutet, dass zum Wiederbeschreiben immer erst eine Löschoperation auf einem Sektor bei Flash-EEPROM-Speicher nötig ist, um den gewünschten Speicherinhalt herzustellen.

Im Umkehrschluss heißt das nun, das beim Löschen eines Verzeichnisses oder einer Datei auf einem  Flash-EEPROM-Speicher größere Blöcke entfernt werden, wo zuvor gelöschte Daten teils mehrfach überschrieben werden können, die die Wiederherstellung teils sehr schwierig gestalten kann. Bei einer HDD wird dieses Phänomen bereits durch 3-maliges löschen oder das Beschreiben mit 0 oder Zufallszahlen erreicht. Eine Festplatte löscht bei Datenlöschung jedoch nicht ganze Speicherbereiche oder größere Einheiten, sondern nur das Verzeichnis selbst, sodass versehentlich gelöschte Daten bei einmaligem Löschvorgang ohne größere Probleme wiederhergestellt werden können.

 

Warum FAT (File Allocation Table)32 auf einem USB-Stick?

FAT32 ist ein von Microsoft entwickeltes Dateisystem, das 1997 mit Windows 95B eingeführt wurde und die Vorgängerversion FAT16 ergänzt. FAT32 kann auch von Unix/Linux Systemen gelesen werden, sowie von allen gängigen Mobilen Geräten sowie Spiele-Konsolen.

FAT32 hat jedoch auch einige Einschränkungen, die Größe der zu speichernden Datei darf z.B. nicht größer 4 GiB sein, bzw. 1 Byte kleiner als 4 GiB. Ab 32 Gigabyte Speicher benötigt Fat32 32 Kilobyte für das Dateisystem, im Vergleich dazu benötigt NTFS 4 Kilobyte. Es gibt noch eine Reihe weiterer Einschränkungen, die jedoch die Fragestellung weit sprengen würde und daher nicht Bestandteil sein kann.

Es gibt jedoch wesentlich (für meine Begriffe) bessere Dateisysteme, als die, die von Microsoft stammen, zu nennen wäre da zum Beispiel das ext4 (ourth extended filesystem), ein Journaling-Dateisystem, das für den Linux-Kernel entwickelt wurde.

 

Einzelschritte zur Wiederherstellung

Hierfür gibt es verschiedene Software Tools, auch Freeware, die sich eignet, um verloren gegangenes wiederherzustellen. Zu nennen wäre da zum Beispiel:

Freeware Recuva, Freeware PC Inspector, O&O DiskRecovery oder ZAR. Für Wiederherstellungszwecke ist es ratsam, mehrere Tools zu probieren, da nicht jedes mit gleichen Methoden arbeitet und die verschiedenen Tools auch jeweils anders für bestimmte Wiederherstellungsaufgaben ausgelegt sind. Es lassen sich auf jeden Fall gelöschte Daten und Verzeichnisse auf einem USB-Stick   wiederherstellen, jedoch können bei bestimmten Dateitypen weitere Maßnahmen erforderlich sein.

Ich habe nun als Experiment 2 verschiedene USB-Sticks verwendet und diese mit den o.g. Tools nach gelöschten Daten durchsucht. Auch habe ich Dateien zum Zweck des Experimentes gelöscht. Auf gar keinen Fall sollte man, wenn Dateien gelöscht wurden, den Stick wieder neu beschreiben, oder weiter löschen, oder gar formatieren, da dann  weitere Bereiche überschrieben werden können und so das wiederherstellen erschwerend hinzukommt, gar bis unmöglich macht. Überschriebene Daten sind dann nur unter großem Aufwand zu retten. Wichtig noch zu wissen ist, je mehr freier Speicherplatz sich auf einem USB-Stick befindet, umso größer die Chance, das Dateien wiederhergestellt werden können, da mehr freie Sektoren zu Verfügung stehen.

Ich benutze das Programm Recuva, welches auch gut für Portable Medien geeignet ist. Zu Beginn durchsuche ich den gesamten Stick nach allen Dateien und Verzeichnissen. Mir wird nach Scan, ohne Tiefenscan mehrere Daten und Verzeichnisse angeboten, die ich gerade gelöscht hatte und die, die  bereits seit längerem gelöscht waren. Darunter auch Word Dateien, Bilder und einfache Textdateien. Recuva zeigt auch den Zustand der gelöschten Dateien an, so zum Beispiel eine kürzlich gelöschte Datei als „Exzellent“ (*xlsx, txt) und ebenfalls eine kürzlich gelöschte Datei (*.exe) als „kritisch“.

Ich markierte zunächst die *txt Datei und stellte diese wieder her. Für den Speicherort ist es wichtig, nicht das zu wiederherstellende Medium zu nutzen, da Gefahr besteht, das so weitere Daten verloren gehen können. Ich wählte dafür einen Ort auf meiner HDD. Die Textdatei ließ sich ohne weiteres öffnen und der Text darin war ohne Verluste wiederhergestellt. Als nächstes nahm ich die Word Datei und stellte diese wieder her. Musste jedoch feststellen, dass die Datei mit Word sich nicht öffnen ließ und als defekt deklariert war.

Für solche Fälle gibt es zum Beispiel „Repair my Word“. Repair my Word ist in der Lage, beschädigte Word-Dateien zu reparieren und den Inhalt wiederherzustellen. Diese werden im RTF-Format abgespeichert. Eine andere Word Datei ließ sich ohne Probleme wieder öffnen, obwohl diese als „unwiederherstellbar“ deklariert war. Die Excel-Datei, die als „Exzellent“ dargestellt wurde, war defekt. Einige Bilddateien ließen sich ohne Probleme wieder öffnen, andere dagegen nicht. Man sollte für solch einen Prozess wie bereits beschrieben, mehrere Versuche mit verschiedenen Programmen durchführen, um das bestmögliche Ergebnis zu erhalten. Die Programme, die ich testete, konnten nur die Dateien wiederherstellen, nicht jedoch die Verzeichnisse, in denen sie lagen. Verzeichnisse sind demnach so nicht wiederherzustellen und bei größeren Mengen Daten kann also due Struktur verloren gehen, was aber als das kleinere Übel zu betrachten ist.

Aber auch Recovery Tools stoßen an Ihre Grenzen, wenn es darum geht, bereits überschriebe Daten wiederherzustellen. In diesem Fall ist die Wichtigkeit abzuwägen, wenn es darum geht, eine Professionelle Datenrettung in Anspruch zu nehmen.

 

Zusammenfassung der Einzelschritte:

USB-Stick scannen, auch gegeben falls in der Tiefe scannen, Zeit lassen, keine weiteren Operationen auf dem Datenträger in Form von löschen oder beschreiben vornehmen, da die Möglichkeiten um Dateien wiederherstellen zu können, limitiert ist, da sie ja zum Überschreiben frei gegeben wurden. Mehrere Tools zur Wiederherstellung nutzen, die wiederherzustellenden Dateien nicht auf dem betreffenden Medium herstellen, sondern ein anderes Medium benutzen, z.B. eine HDD o.ä. Auch sollte abgewägt werden, inwiefern die Wirtschaftliche Notwendigkeit gegeben ist, die Daten wiederherzustellen oder ob es lohnt diese neu zu beschaffen oder zu erstellen.

Zum Schluss: Der Umkehrschluss zur Wiederherstellung von Daten stellt auch die sichere Vernichtung dieser dar. Mit diesen Tools ist es also möglich, festzustellen, ob und wie gut sich Daten wiederherstellen lassen. Zum Beispiel bei Veräußerung einer HDD. Es genügt in diesem Fall die gesamte Platte ein bis zweimal mit 0 und 1 zu überschreiben.

In einem Dokument des IT-Grundschutzkatalogs des Bundesamtes für Sicherheit in der Informationstechnik (BSI) heißt es: „Angreifer müssen nicht immer komplizierte technische Attacken austüfteln, um über Schwachstellen in IT-Systemen an Informationen zu gelangen. Viel einfacher und erfolgreicher kann die Informationsgewinnung aus der Mülltonne sein.“

Ein USB-Stick, der nicht mehr benötigt wird, sollte mechanisch vernichtet werden. Ebenso DVD und CD´s. Hier ist der wirtschaftlich verwertbare Nutzen nicht gegeben.

Dieser Artikel kann auch als Methode für Datenrettunge genutzt werden.

 

Dieser Artikel stammt aus November 2012 / Autor Markus Opfer-Rodrigues

 


[1]Ein EEPROM (Electrically Erasable Programmable Read-Only Memory) ist ein nichtflüchtiger, elektronischer Speicherbaustein, dessen gespeicherte Information elektrisch gelöscht werden können. Er ist verwandt mit anderen löschbaren Speichern, wie dem durch UV-Licht löschbaren EPROMs und dem ebenfalls elektrisch löschbaren Flash-Speicher eines USB-Sticks.

[2] Ein Floating-Gate-Transistor ist ein spezieller Transistor, der in nichtflüchtigen Speichern zur permanenten Informationsspeicherung eingesetzt wird.

[3] Der Metall-Oxid-Halbleiter-Feldeffekttransistor und gehört zu den Feldeffekttransistoren mit isoliertem Gate.

[4] Bei Feldeffekttransistoren gibt es drei Elektroden, diese sind Source, Drain und Gate. Die Source ist die Quelle für die Ladungsträger und entspricht dem Emitter eines Transistors, Drain ist die Abflusselektrode und entspricht dem Kollektor, das Gate ist die Steuerelektrode und entspricht der Basis.

[5] Die Quantenphysik ist eine physikalische Theorie zur Beschreibung der Materie, ihrer Eigenschaften und Gesetzmäßigkeiten. Sie erlaubt im Gegensatz zu den Theorien der klassischen Physik eine präzise Berechnung der physikalischen Eigenschaften von Materie auch im mikroskopischen bis hin zum subatomaren Größenbereich.

[6] Ein Tunneleffekt ist in der Physik eine veranschaulichende Bezeichnung dafür, dass ein atomares Teilchen eine Potentialbarriere von endlicher Höhe auch dann überwinden kann, wenn seine Energie geringer als die Höhe der Barriere ist.

[7] Ein Sektor ist eine Maßeinheit der Speicherkapazität eines Mediums. Aus ihr werden die Größen der Kapazitäten berechnet. Sektoren werden auch Datenblöcke genannt. Der Datenblock ist dabei eine begrenzte, festgelegte Anzahl von Bits oder Bytes.