Terughalen van verwijderde/gewiste bestanden (bestandsverwijdering herstellen)

Doel

In dit "incident response" artikel beschrijf ik twee methodes om verwijderde bestanden terug te halen.

De hier beschreven methodes zijn speciaal gericht op Windows 9x/NT 4 en hoger systemen (waaronder Windows XP, Windows Vista en Windows 7), maar een aantal stappen kunnen ook worden toegepast op andere besturingssystemen. Ook na het formatteren van een diskette of harddisk is het mogelijk om bestanden van de desbetreffende disk via de hier beschreven methodes te herstellen.

Nieuw is mijn herstellen van gewiste bestanden wizard.
Met de wizard krijgt u speciaal voor uw situatie een stappenplan om gegevens te herstellen. (Van harddisk, diskette, mp3-speler, cd-rom, dvd-rom, flash geheugen.)

Het herstellen van verwijderde e-mail berichten is sterk afhankelijk van het e-mail programma dat gebruikt wordt. Sommige programma's gebruiken een tekstbestand voor het opslaan van de berichten, andere binaire bestanden. Meestal is er per mailbox (in-box, out-box/sent, trash) een bestand. Wanneer deze bestanden corrupt raken is het bij tekst bestanden nog wel mogelijk om de inhoud te lezen, bij binaire bestanden wordt dat een stuk moeilijker. In ieder geval zijn de bestanden te lezen met een editor zoals VIM of PSPad. Belangrijk is wel dat het e-mail programma niet mag worden afgesloten. Meestal gaan de gegevens dan definitief verloren.

Waarschuwing! Ik denk dat het juist volgen van de hier beschreven methodes de kans erg vergroot op het terughalen van verwijderde bestanden. Echter ik neem geen enkele verantwoordelijkheid bij verlies van gegevens, dan wel beschadiging van systemen. Kortom de hier beschreven informatie is voor eigen risico!

Inleiding

Iedereen heeft weleens een moment gehad dat men net even te snel op Ja/Yes knop gedrukt heeft en weg is het bestand. De prullenbak biedt soms nog een mogelijkheid, maar als het echt belangrijk is, dan gaat natuurlijk alles mis. (Wet van Murphy).

De vraag is natuurlijk, is het bestand nu echt verwijderd? Hier kan niet meteen ja of nee op geantwoord worden en om dat te verduidelijken is het tijd voor wat theorie.

Hoe worden bestanden opgeslagen?

Voor het gemak gaan we uit van een harddisk (harde schijf), maar het principe geldt ook voor diskettes, usb drives en andere media die door de computer voor data opslag kan worden gebruikt.

Een harddisk of diskette is een data media en om daar bestanden op te slaan moet de disk eerst van een bestandsformaat worden voorzien. Dit doen we door middel van het commando 'Format'. De computer beschrijft de disk zodanig dat er een index aangemaakt met o.a. de hoeveelheid vrije ruimte, de bestandsnamen en waar de bestanden zich bevinden.

Het opslaan van data is wel wat ingewikkelder dan het bovenstaande en is zeker niet compleet. Wat wel belangrijk is, is de term index. Dit is belangrijk voor het terughalen van verwijderde gegevens.

Hoe worden bestanden verwijderd?

Bestanden worden niet direct verwijderd als daar opdracht voor gegeven wordt. Wat er eigenlijk gebeurt, is dat de verwijzing zoals die in de index staat opgegeven verwijderd wordt.

Vergelijk het met een oude bibliotheek kaarten bak (die dingen waar tien jaar geleden nog boeken in gezocht moesten worden). Dit is de index. Hier staan alle boeken in die de bibliotheek heeft. Nu is het verwijderen zoals de computer dat doet, als volgt te vergelijken. Het kaartje van een te verwijderen boek wordt uit de kaartenbak gehaald. In de biblotheek zal ook het boek worden verwijderd, maar dat hoeft de computer niet expliciet te doen. Want er komt vanzelf wel weer een bestand dat moet worden opgeslagen en het enige wat er dan moet worden opgevraagd is, waar is er nog vrije ruimte? Er wordt vanzelf weer een bestand op de plaats gezet waar net nog een ander bestand stond.

Hier zijn twee conclusies:

  1. hoewel het bestand niet meer toegankelijk is, kan het er nog wel zijn;
  2. veel schrijf activiteit naar de disk verkleind de kans op succesvol terughalen van verwijderde bestanden.

Wat te doen bij ongewenste bestandsverwijdering?

Er zijn twee methodes die direct bij bewustwoording gehanteerd kunnen worden.

Methode 1

ZOrg voor zo weinig mogelijk schrijf activiteit naar de desbetreffende disk. (de volgende substappen zijn ook voor ander besturingssystem bruikbaar) Voer de volgende stappen uit:

  1. raak niet in paniek;
  2. start geen nieuwe programma's;
  3. sluit geen programma's af, tenzij deze bezig zijn om gegevens weg te schrijven;
  4. stop verder met werken met de computer (dus ook niet websurfen);
  5. haal de kabels van modems en netwerkkaarten uit de computer;
  6. zet wifi kaarten uit;
  7. laat de computer aan staan.

Programma's die onder punt 2 vallen zijn:

  1. email programma's
  2. webbrowsers (ook al surf je niet, pagina's verversen zichzelf)
  3. download programma's
  4. chat programma's

Sluit deze zo snel mogelijk af. Andere programma's maken op vaste tijden backups. Meestal is er al weggeschreven naar een backup versie en zolang er in bijvoorbeeld het openstaande word document niet gewerkt wordt, is er geen reden om naar de backup te schrijven. Doe dan ook niks met openstaande documenten. Laat ze maar openstaan.

We zijn nu bijna aangeland op een stilpunt. De computer doet op dit moment weinig. Nu hebben we een beetje tijd, maar niet veel want hoe langer er gewacht wordt, des te kleiner wordt de kans op succesvol herstel van de bestandsverwijdering. De computer is namelijk continue bezig met het wegschrijven van gegevens en dat willen we nu juist voorkomen.

Methode 2

Deze methode is erg rigoreus en is alleen verstandig als datgene dat verloren dreigt te gaan belangrijker is dan het systeem en alles wat er op het systeem staat.

Hiermee bedoel ik dat alle openstaande documenten e.d. de kans lopen verloren te gaan wanneer de volgende methode gevolgd wordt. Het is dus een hele afweging om deze methode uit te voeren. Ik kan mij daarom maar een reden bedenken om deze methode uit te voeren. De data die verloren dreigt te gaan is zo belangrijk dat je er alles voor hebt. Een scriptie of een werkstuk waar je maanden op hebt zitten zwoegen valt onder deze categorie.

Doe het volgende:

  1. raak niet in paniek;
  2. vergewis je dat alles wat nu open staat als verloren kan worden beschouwd;
  3. controleer nogmaals of alles wat NU openstaat als verloren kan worden beschouwd;
  4. Ok, nu is het zaak om de computer zo snel mogelijk uit te zetten en wel door ofwel de resetknop in te drukken ofwel de stekker uit het stopcontact te halen.Wanneer de resetknop gebruikt wordt, de aan/uit knop bij het opstarten ingedrukt houden. Doe dit net zalang totdat de computer uit gaat. Dit duurt meestal drie seconden.

De computer is nu uit. Phew... en nu dan?

Opmerking 1: de meeste nieuwe pc's sluiten af bij het indrukken van de aan/uit knop. Dit is hetzelfde als afsluiten via Start-> afsluiten, ofwel er zal heel veel schrijfactiviteit plaatsvinden en dat willen we voorkomen. Dus stekker eruit of de resetknop indrukken.

Opmerking 2: het uitzetten op de hier boven beschreven manier leidt meestal tot instabiele systemen. De kans is vrij groot dat naast het verlies van het bestand ook nog een instabiel systeem ontstaat. Het is dan ook veel verstandiger om methode 1 uit te voeren.

Wat nu?

Nu is het zaak om het index kaartje terug te plaatsen. Dit doen we door een undelete programma. Vroeger kwam dit standaard mee met MS DOS. Helaas die tijd is voorbij en omdat Windows niet zo'n mogelijkheid heeft, moeten we onze heil elders zoeken.

We een programma nodig om voor ons verwijzing in de index kan herstellen. Ik heb zelf goede ervaringen met vier programma's. Restoration , pc inspector file recovery, Disk Investigator en Recuva. Recuva is op dit moment mijn favoriet. Update 16 november 2009: Een aantal bezoekers hebben aangegeven dat de laatste versie van pc inspector geen logische schijven herkent. Hierdoor is het programma voor veel mensen onbruikbaar geworden. Mijn advies is dan ook om in plaats daarvan voor Recuva te kiezen.

Alle vier de programma's zijn op het moment van schrijven gratis, dit kan in de toekomst veranderen.

Vervolg van methode 1

De computer staat nog aan, we kennen iemand die een internet verbinding heeft en we kunnen Restoration downloaden. Restoration past op een floppy en heeft daarom de voorkeur boven de andere twee. Deze worden geinstalleerd en dat betekent weer schrijf activiteit op de harddisk.

Restoration pakt zichzelf uit. Doe dit naar een floppydisk. Het hele proces kan even duren. Als het proces is afgerond, haal de floppydisk eruit en stop het in het systeem waar het de bestanden terug moet worden gezet. Ga met de explorer naar de floppy en start het programma restoration.exe. Er verschijnt een scherm

images/restoration.jpg

Kies de drive waar de bestanden zich bevinden in het vakje Drives. Wanneer de bestandsnaam bekend is, zet deze dan in het invoervak onder Drives. Druk vervolgens op de knop 'Search deleted files'. Afhankelijk van de disk omvang kan dit proces wel even duren.

In het linkerscherm komt een lijst met bestandsnamen van bestanden die verwijderd zijn, maar deze zijn eventueel nog te redden. Hopelijk staat het gewilde bestand in deze lijst. Na het zoeken van verwijderde bestanden, vraagt het programma om eventueel te scannen voor 'vacant cluters'. Laat dit in eerste instantie niet doen. Eerst kijken of het gewilde bestand gevonden is. Wanneer dit niet zo is, herhaal de eerdere procedure en kies vervolgens wel voor het scannen van 'vacant clusters'

Wanneer het bestand is gevonden, is het nodig om een kopie van het bestand elders naar toe te kopieeren. Zorg ervoor om het bestand niet op de disk te kopieeren waar het ook is verwijderd. Anders is de kans groot dat het met deze actie verwijderd wordt! 1. Selecteer het bestand; 2. Druk op de knop 'Restore by copying'; 3. Er veschijnt een save dialoog, kies een lokatie (floppy of andere harddisk, usbdisk om op te slaan. Dit is een belangrijke stap, want opslaan op dezelfde disk kan er nou net voorzorgen dat het bestand overschreven wordt!); 4. Druk op 'Save'; 5. Maak nogmaals een kopie van het bestand als backup.

Nu is het tijd om te kijken of het bestand gered is. Open het bestand en aanschouw het resultaat. Afhankelijk van hoeveel tijd er verstreken is, is het resultaat te verdelen in een bijna perfecte staat, tot aan vreemde en niet meer leesbare tekens. In het laatste geval is er teveel tijd verstreken en is er geen redding meer mogelijk. In het andere geval hebben we goed resultaat geboekt, en hopelijk hoeft dit niet meer te gebeuren.

Kortom wanneer er snel gehandeld wordt, is er nog veel te herstellen.

De andere twee programma's kunnen ook gebruikt worden, echter er moet gebruik gemaakt worden van een tweede computer. Daar moeten de programma's op geinstalleerd worden en vervolgens kunnen beide programma mappen ofwel op cd-rom gezet worden, of op een usb stick.

Helaas staat bij veel computer het automatisch afspelen van cd-roms standaard aan. Dit kan tot gevolg hebben dat er extra schrijf activiteit plaatsvind. Bij een usb stick, wordt meestal eerst een stuurprogramma (driver) geladen, wat op zich geen ramp is. Echter dit wordt ook gelogd en dat is wel weer schrijfactiviteit. Floppy's zijn wat dat betreft primitiever en heeft voor dit doel de voorkeur.

Vervolg van methode 2

Nadat de computer helemaal tot rust is gekomen, moeten we ons vervolg strategie bepalen. De computer opnieuw opstaten zal leiden tot overschrijven van vrijgegeven data. Doe dit dus niet.

De eerste vraag is hoeveel is de data waard en hoeveel moeite wil men doen. Het hebben van een tweede bijna identieke computer (d.w.z. een andere pc) geeft al veel mogelijkheden. Wanneer de andere computer nog ruimte heeft voor een andere harddisk, ga dan voor de volgende werkwijze.

Installeer een van de eerde genoemde programma's op de tweede computer. Sluit vervolgens deze computer af en haal de stekker eruit. Laat het geheel even afkoelen. Haal de harddisk uit het systeem waar het bestand op moet worden teruggevonden. Plaats de harddisk in het tweede systeem. Let op het volgende:

  1. het tweede systeem mag niet booten van de net geinstalleerde harddisk;
  2. wees er zeker van dat de kabels e.d. goed zitten en dat er niet van de net geinstalleerde harddisk gestart wordt.

Start de tweede computer en start vervolgens het geinstalleerde file restore programma. Ga nu verder zoals in het 'vervolg van methode 1'_ beschreven is.

Wanneer er geen tweede computer voor handen is, kan er worden uitgeweken naar:

  1. iemand met een computer en bereid zien te vinden om de stappen uit te voeren zoals hier eerder is beschreven;
  2. iemand met een computer een cd-rom met BartPE en Restoration aan te laten maken (windows XP cd-rom is noodzakelijk)
  3. het inschakelen van een bedrijf dat gespecialiseerd is, voor het terughalen van gegevens.

Met BartPE is het mogelijk Windows XP vanaf een cd-rom te starten. Hierdoor wordt er niks naar de harddisk geschreven en kan er met Restoration bestanden naar een andere disk worden gekopieerd. Wel is vereist dat het systeem vanaf cd-rom wil opstarten. Controleer dit eerst, via de handleiding, dan wel in het bios de boot sequence aan te passen.

Een uitgebreidere versie van BartPe is Ultimate Windows boot cdrom

Er is ook een linux variant van de Ultimate Boot cd , om verwarring te voorkomen: deze variant was er eerst.

Ik heb zelf deze cdroms nog niet uitgeprobeerd, maar ik ga ervan uit dat ze het doen.

Een specialistisch bedrijf inhuren kost geld. Sommige leveranciers doen dit werk ook, voor waarschijnlijk veel minder. Echter een specialist haalt waarschijnlijk meer terug, dan een leverancier. Bespreek altijd eerst de te volgen procedure met ze door, voordat er met het proces gestart wordt. Vraag altijd waar ze de data naar toe zullen kopieeren. Als er gezegd wordt dat het wordt teruggezet op dezelfde plaats, is het tijd om elders diensten af te nemen.

Succes.

Voor tips om data verlies te minimaliseren lees mijn artikel over systeem inrichting.

Links naar freeware programma's:

Restoration

pc inspector file recovery

Disk Investigator en Recuva

Er is ook een engelstalige versie van dit artikel! There is also an english version of this article!