ADMIN

2021

09

2021-09-01T12:00:00

Clientmanagement und Support

PRAXIS

036

PowerShell

Recovery

Microsoft Windows File Recovery

Datenrettung auf Kommando

von Thomas Joos

Veröffentlicht in Ausgabe 09/2021 - PRAXIS

Mit "Windows File Recovery" bietet Microsoft ein kostenloses Werkzeug für die Befehlszeile an, mit dem sich gelöschte Dateien wiederherstellen lassen – auch dann, wenn sie sich nicht mehr im Papierkorb befinden. Das Tool eignet sich vor allem für Profis, die Aufgaben gerne in der Befehlszeile oder PowerShell durchführen.

Natürlich gibt es zahlreiche weitere Programme, die in der Lage sind, Daten in Windows 10 wiederherzustellen. Allerdings stammen diese von Drittherstellern, was die Verwendung in Unternehmensnetzwerken mitunter erschwert. Windows File Recovery (WinFR) ist ein Microsoft-Tool, das aus lediglich einer EXE-Datei besteht und daher Systeme nur minimal belastet. In vielen Fällen ist WinFR problemlos dazu in der Lage, Daten wiederherzustellen, ohne dass Zusatzwerkzeuge notwendig sind.
 Das Werkzeug steht über den App-Store zur Verfügung [1] und ist nutzbar ab Windows 10 in der Version 2004 (20H1). Nach der Installation können Sie über die Befehlszeile gelöschte Dateien schnell und einfach wiederherstellen. Sie benötigen hierfür eine Befehlszeilen- oder PowerShell-Sitzung mit erhöhten Rechten. Es gibt keine grafische Oberfläche für WinFR und das Tool ist komplett in englischer Sprache gehalten.
WinFR nutzt drei verschiedene Modi. Der Standardmodus verwendet eine MFT-Tabelle, um gelöschte Dateien zu finden. Dieses Vorgehen ist sinnvoll, wenn noch Dateisatzsegmente (File Record Segments, FRS) auf einem Datenträger vorhanden sind. Der Segment-Modus kommt zum Einsatz, um verschiedene NTFS-Segmente auf einem Datenträger zu durchsuchen anstatt die MFT-Tabelle. Segmente sind verschiedene Dateiattribute auf einem Datenträger, wie Name, Größe, Typ oder das Datum. Im Signaturmodus geht das Tool den Datenträger nach Signaturen verschiedener Dateitypen durch.
Natürlich gibt es zahlreiche weitere Programme, die in der Lage sind, Daten in Windows 10 wiederherzustellen. Allerdings stammen diese von Drittherstellern, was die Verwendung in Unternehmensnetzwerken mitunter erschwert. Windows File Recovery (WinFR) ist ein Microsoft-Tool, das aus lediglich einer EXE-Datei besteht und daher Systeme nur minimal belastet. In vielen Fällen ist WinFR problemlos dazu in der Lage, Daten wiederherzustellen, ohne dass Zusatzwerkzeuge notwendig sind.
 Das Werkzeug steht über den App-Store zur Verfügung [1] und ist nutzbar ab Windows 10 in der Version 2004 (20H1). Nach der Installation können Sie über die Befehlszeile gelöschte Dateien schnell und einfach wiederherstellen. Sie benötigen hierfür eine Befehlszeilen- oder PowerShell-Sitzung mit erhöhten Rechten. Es gibt keine grafische Oberfläche für WinFR und das Tool ist komplett in englischer Sprache gehalten.
WinFR nutzt drei verschiedene Modi. Der Standardmodus verwendet eine MFT-Tabelle, um gelöschte Dateien zu finden. Dieses Vorgehen ist sinnvoll, wenn noch Dateisatzsegmente (File Record Segments, FRS) auf einem Datenträger vorhanden sind. Der Segment-Modus kommt zum Einsatz, um verschiedene NTFS-Segmente auf einem Datenträger zu durchsuchen anstatt die MFT-Tabelle. Segmente sind verschiedene Dateiattribute auf einem Datenträger, wie Name, Größe, Typ oder das Datum. Im Signaturmodus geht das Tool den Datenträger nach Signaturen verschiedener Dateitypen durch.
WinFR verfügt dazu über mehrere eingebaute Signaturen für gängige Dateitypen. Dieser Modus ist nicht geeignet, um kleine Dateien zu finden. Es ist das einzige Verfahren, das Laufwerke mit anderen Dateisystemen als NTFS unterstützt.
WinFR in der Praxis einsetzen
Nach dem Aufrufen von winfr.exe zeigt das Tool in der Befehlszeile die verschiedenen Optionen an. Im Grunde genommen ist die Syntax des Tools einfach, ermöglicht aber eine flexible Verwendung:
Winfr <Quelle> <Ziel> <Parameter> <Optionen>
Ein Beispiel für den Befehl ist:
winfr c: d:\restore /n C:\Users\thomas\Download\*.*
Bei diesem Befehl geben Sie an, dass Sie Daten vom C-Laufwerk wiederherstellen wollen, und zwar in das Verzeichnis "d:\ restore". Nach der Option "/n" legen Sie fest, welchen Ordner und welche Dateien Sie wiederherstellen möchten. In diesem Beispiel stellt der Befehl alle gelöschten Dateien aus dem Verzeichnis "C:\Users\ thomas\Download" wieder her.
Achten Sie darauf, dass es sich beim Quell- und Ziellaufwerk um unterschiedliche Laufwerke handelt. Verwenden Sie das gleiche Laufwerk, bricht der Vorgang mit einem Fehler ab. Nach dem Start des Befehls müssen Sie die Wiederherstellung noch mit "Y" bestätigen. Microsoft empfiehlt, am Ende der Pfadeingaben des zu scannenden Verzeichnisses noch einen Querstrich zu setzen (\), auch wenn dieser normalerweise nicht mehr notwendig ist.
Im ersten Schritt scannt WinFR das ausgewählte Verzeichnis, in der zweiten Phase stellt das Tool die Dateien auf Basis der eingegebenen Filter wieder her. Sie können an dieser Stelle auch mit Dateiendungen arbeiten oder genau definierten Dateinamen. Je offener der Filter gefasst ist, desto länger kann der Vorgang dauern. Es ist daher durchaus möglich, dass die Wiederherstellung mehrere Minuten dauert, was auch von der Größe der wiederherzustellenden Dateien abhängt. Wollen Sie den Vorgang abbrechen, verwenden Sie die Tastenkombination STRG+C.
WinFR kann Daten von Datenträgern mit NTFS, FAT, FAT32, exFAT und ReFS wiederherstellen. Das gilt auch für Dateien auf USB-Sticks, SSDs und SD-Karten. Möchten Sie zum Beispiel gelöschte Dateien auf einer SD-Karte (Laufwerk E:) anhand von JPEG- oder PNG-Signaturen auf Laufwerk K: wiederherstellen, nutzen Sie den folgenden Befehl:
winfr E: K: /x /y:JPG,PNG /n \DCIM\
Neben den erwähnten Optionen stellt WinFR noch weitere zur Verfügung:
- /r: Segmentmodus (nur NTFS, Wiederherstellung über Dateisatzsegmente)
- /n <Filter>: Filtersuche
- /x: Signaturmodus (Wiederherstellung anhand von Datei-Headern)
- /y:<Typ(en)>: Bestimmte Erweiterungsgruppen wiederherstellen (nur im Signaturmodus, kommagetrennt)
- /#: Zeigt Erweiterungsgruppen und Dateitypen im Signaturmodus an
- /!: Erweiterte Funktionen anzeigen
- /p:<Ordner>: Ziel des Wiederherstellungsprotokolls
- /a: Akzeptiert alle Benutzer-Eingabeaufforderungen
- /u: Nicht gelöschte Dateien wiederherstellen (nur im Standard-/Segmentmodus)
- /k: Systemdateien wiederherstellen (nur Standard-/Segmentmodus)
- /o:<a|n|b>: Überschreiben (a)lways, (n)ever oder keep (b)oth always (nur Standard-/Segmentmodus)
- /g: Dateien ohne primären Datenstrom wiederherstellen (Standard: false, nur Standard/Segmentmodus)
- /e: Ausschlussliste für Erweiterungen deaktivieren (nur Standard-/Segmentmodus)
- /e:<Erweiterung>: Bestimmte Erweiterung(en) deaktivieren (Standard-Erweiterungsliste entfällt) (nur Standard-/Segmentmodus)
- /s:<sectors>: Anzahl der Sektoren im Datenträger (nur Segment-/Signaturmodus)
- /b:<bytes>: Anzahl der Bytes im Cluster (nur Segment-/Signaturmodus)
- /f:<Sektor>: Erster zu scannender Sektor (nur Segment-/Signaturmodus)
Diese Optionen zeigen, dass WinFR durchaus auch von Profis sinnvoll einsetzbar ist, die Dateien wiederherstellen möchten, deren Wiederherstellung mit einfachen Mitteln nicht möglich ist.
Wollen Sie PDFs und Word-Dateien aus einzelnen Verzeichnissen auf einem USB-Stick mit dem Laufwerksbuchstaben E retten, verwenden Sie:
Winfr C: E: /regular /n *.pdf /n *.docx
Der reguläre Modus ist die standardmäßige Wiederherstellungsoption für nicht beschädigte NTFS-Laufwerke. Diesen nutzen Sie mit der Option "/regular". Zusätzlich steht der erweiterte Modus zur Verfügung. Mit der Option "/extensive" verwenden Sie diesen für eine gründliche Wiederherstellung, die für alle Dateisysteme geeignet ist.
Bild 2: Nach dem Scan sehen Sie, welche Dateien WinFR wiederherstellen konnte.
Alternativen zu WinFR
Die Stärke von WinFR liegt in der Einfachheit des Microsoft-Tools, das sich leicht in Windows integrieren lässt. Auch die umfangreichen Funktionen sind von Vorteil. Es gibt aber auch kostenlose Alternativen, die für die Wiederherstellung gelöschter Dateien sinnvoll sind.
Ein bekanntes Beispiel für die Datenrettung auf physischen Festplatten ist die Freeware "Recuva" [2]. Das Tool zeigt beim Starten einen Assistenten an, der Sie bei der Wiederherstellung unterstützt. Im ersten Schritt scannt Recuva den Datenträger nach gelöschten Dateien. Hat der Oberflächenscan kein Ergebnis geliefert, können Sie den Datenträger noch mit einem Tiefenscan durchsuchen. Dieser Scan nimmt unter Umständen mehrere Stunden in Anspruch. Nach dem Scannen zeigt das Tool die gelöschten Daten an, die wiederhergestellt werden können. Hier unterscheidet Recuva zwischen grün (leicht wiederherstellbar), gelb (teilweise defekt) oder rot (zerstört).
Ein weiteres kostenloses Tool zum Retten von Dateien ist "PC Inspector File Recovery" [3]. Das Tool bietet eine grafische Oberfläche zur Wiederherstellung von Dateien. PhotoRec [4] erfordert als nächste Alternative in unserer Übersicht keine Installation, Sie können das Werkzeug von einem USB-Stick aus starten. Der Umgang mit dem Tool ist etwas komplizierter als mit anderen. Dafür kann PhotoRec oft auch Dateien wiederherstellen, zu denen andere Programme nicht in der Lage sind.
Um Dateien mit PhotoRec zu retten, entpacken Sie das Download-Archiv und starten "photorec_win.exe". Wählen Sie die Festplatte aus, von der Sie Daten wiederherstellen wollen. Wählen Sie die Art der Partitionstabelle aus, auf der Sie nach Daten suchen wollen. Meistens ist "Intel" die richtige Wahl für Windows-Betriebssysteme. Nach der Auswahl der Partitionstabelle wählen Sie die Partition aus, auf der die Daten gespeichert waren, die Sie wiederherstellen wollen. Neben der Auswahl der Partition müssen Sie noch das Dateisystem bestätigen.
Link-Codes
[3] PC Inspector File Recovery: http://www.pcinspector.de/
Fazit
Um in Microsoft-Netzwerken die Rettung von gelöschten Daten zu ermöglich, ist WinFR eine interessante Alternative zu bekannten Tools in diesem Bereich. Es besteht aus einer einzelnen, ausführbaren Datei und bietet umfassende Möglichkeiten. So ist es zum Beispiel in Unternehmensnetzwerken durchaus sinnvoll, WinFR in Datenträger-Images zur Bereitstellung von Windows 10 zu integrieren.
Die zahlreichen Optionen zur Wiederherstellung verdeutlichen, dass es sich durchaus um ein professionelles Werkzeug handelt. Aber auch die Alternativen haben weiterhin eine Daseinsberechtigung. Allerdings eignen sich diese eher nicht für die Integration in Images, sondern mehr für die Wiederherstellung durch Profis, die die Tools auf einem USB-Stick mutzen können.
(dr)