← Zurück zum Blog

Gelöschte Dateien auf NTFS über die MFT wiederherstellen

· 4 Min. Lesezeit

Kurze Antwort: Gelöschte Dateien auf NTFS lassen sich in der Regel wiederherstellen, solange ihr MFT-Eintragsslot nicht wiederverwendet und ihre Daten-Cluster nicht überschrieben wurden. Bei kleinen Dateien liegt der Inhalt oft im MFT-Eintrag selbst und überlebt sogar dann, wenn die Cluster verloren sind. Der zuverlässige Workflow lautet: das Volume nicht mehr nutzen, ein Image erstellen und dann entweder die MFT mit einem Forensik-Parser auswerten oder das Image nach FILE-Signaturen carven.

Warum Löschen nicht löscht

Wenn Windows eine Datei von einem NTFS-Volume löscht, geschehen drei Dinge — und eines nicht:

  1. Das In-Use-Flag im MFT-Eintrag der Datei wird gelöscht.
  2. Die Cluster mit den Daten der Datei werden in $Bitmap als frei markiert.
  3. Der Indexeintrag des übergeordneten Verzeichnisses wird entfernt.

Was nicht geschieht: Nichts überschreibt den Eintrag oder die Cluster tatsächlich. Sie werden nur als verfügbar für die nächste Allokation markiert. Solange nichts anderes sie beansprucht, ist die Datei wiederherstellbar. Siehe was beim Löschen einer NTFS-Datei überlebt für die Felder im Detail.

Schritt 1: keine Schreibvorgänge mehr auf das Volume

Jeder Schreibvorgang auf dem Volume riskiert, den Slot des gelöschten Eintrags oder dessen Daten-Cluster wiederzuverwenden. Wenn die Datei wichtig ist:

  • Beenden Sie die Anwendung, die sie angefasst hat.
  • Wenn die Datei auf dem Systemlaufwerk lag und das System noch läuft, schreibt das Betriebssystem selbst ständig. Fahren Sie das System herunter oder booten Sie von externem Medium.
  • Bei einem externen Laufwerk: sofort aushängen.

Schritt 2: Image des Datenträgers erstellen

Arbeiten Sie an einer Kopie, niemals am Original. Die üblichen Optionen:

  • FTK Imager — kostenlos, GUI, erzeugt .dd- oder .E01-Images. Hasht die Quelle während des Lesens.
  • dd unter Linux/macOS — bit-genauer Kopiervorgang. dd if=/dev/sdX of=disk.img bs=4M conv=noerror,sync status=progress.
  • ddrescue — langsamer, toleriert aber Lesefehler bei defekten Datenträgern.

Hashen Sie das Image (SHA-256) unmittelbar nach der Akquise. Alle weiteren Schritte arbeiten gegen das Image.

Schritt 3: Wiederherstellung mit einem von drei Ansätzen

MFT-Replay — parsen Sie $MFT (aus dem Image extrahieren oder direkt darin lesen) mit einem Werkzeug, das gelöschte Einträge auflistet. Name, Zeitstempel und (bei kleinen Dateien) Daten der gelöschten Datei sind aus dem Eintrag selbst rekonstruierbar.

  • MFTECmd listet gelöschte Einträge und markiert residente Daten.
  • Der Browser-Parser dieser Seite filtert gelöschte Einträge mit einem Klick und erlaubt den CSV-Export ihrer Metadaten.

Dateisystem-bewusste Recovery-Tools — diese lesen das Live-Dateisystem (oder Image) und präsentieren gelöschte Dateien zur selektiven Wiederherstellung:

  • R-Studio — kommerziell, die Wahl der Analysten für NTFS. Bewältigt komplexe Schäden.
  • TestDisk + PhotoRec — kostenlos, ausgereift, gut bei Partitionsschäden und Signatur-Carving.
  • Recuva — Endkundenklasse, aber okay für einzelne Dateien auf einem Laufwerk.

Signatur-Carving — ist die MFT verloren, scannen scalpel, foremost oder PhotoRec das rohe Image nach bekannten Dateisignaturen (JPEG FF D8 FF, PNG 89 50 4E 47, ZIP 50 4B 03 04 usw.) und setzen wieder zusammen, was sie finden. Gecarvte Dateien verlieren ihre Namen und Zeitstempel — die lebten in der MFT —, aber die Bytes selbst kommen zurück.

Was wirklich unrettbar ist

  • Überschriebene Cluster. Moderne HDDs bieten keinen realistischen Weg, einmal überschriebene Daten zurückzuholen. Die in älterer Forensik-Literatur beschworene „Restmagnetisierung" gilt für Laufwerke dieses Jahrzehnts nicht.
  • Per TRIM zurückgeforderte SSD-Blöcke. Sobald der SSD-Controller einen Block per TRIM freigegeben hat, wird der zugrundeliegende Flash bei der Garbage Collection genullt. Die Daten sind weg, und zwar schnell.
  • Verschlüsselte Volumes ohne Schlüssel. BitLocker-, VeraCrypt- oder LUKS-verschlüsselte NTFS-Volumes sind ohne Wiederherstellungsschlüssel nicht rekonstruierbar — der Klartext hat die Platte nie berührt.

Wann die MFT-Wiederherstellung die einzige Option ist

War die Datei eine kleine Textdatei, eine kleine JSON-Konfiguration oder ein kleines Skript, lagen die Daten wahrscheinlich resident — inline im MFT-Eintrag statt in separaten Clustern. Selbst wenn $Bitmap Dutzende Male überschrieben wurde, liegen die residenten Bytes weiterhin im Eintrag, bis der Slot wiederverwendet wird. Siehe residente Daten.

Für solche Dateien ist der Browser-Parser oft der schnellste Weg: legen Sie die exportierte $MFT ab, filtern Sie nach gelöschten Einträgen, suchen Sie nach Einträgen mit residentem $DATA und kopieren Sie die Bytes wieder heraus.

Häufig gestellte Fragen

Wie lange bleiben gelöschte Dateien auf NTFS wiederherstellbar?

Bis der MFT-Slot wiederverwendet und die Daten-Cluster überschrieben sind. Auf einem stark genutzten System sind das Stunden. Auf einem ruhenden System können es Monate sein. Es gibt keine feste Zeitvorgabe.

Macht das Leeren des Papierkorbs die Wiederherstellung schwieriger?

Nein. Der Papierkorb ist nur ein verstecktes Verzeichnis ($Recycle.Bin) auf jedem Volume. „Leeren" löscht die Dateien normal — dieselben Wiederherstellungsverfahren gelten.

Kann ich Dateien wiederherstellen, die mit del /F oder Umschalt+Entf gelöscht wurden?

Ja — diese umgehen den Papierkorb, löschen aber auf dieselbe Weise. Der MFT-Eintrag bleibt bis zur Wiederverwendung erhalten.

Kann ich Dateien von einem formatierten NTFS-Laufwerk wiederherstellen?

Ein Schnellformat schreibt nur den Boot-Sektor und eine frische $MFT neu. Die meisten alten Daten-Cluster sind intakt, ebenso viele frühere MFT-Einträge (NTFS verwendet denselben Startoffset). Signatur-Carving holt viel zurück. Ein vollständiges Format nullt das Volume — diese Daten sind weg.

Verwandte Artikel

Externe Ressourcen