Was sind Datei-Header und Dateisignaturen?
Jede Datei auf einem Computer beginnt mit einer charakteristischen Bytefolge - dem sogenannten Header oder der Dateisignatur (auch Magic Bytes genannt). Diese wenigen Bytes am Anfang einer Datei verraten dem Betriebssystem und Anwendungsprogrammen, um welchen Dateityp es sich handelt, unabhängig von der Dateiendung.
Ein JPEG-Bild beginnt beispielsweise immer mit den Bytes FF D8 FF, ein PDF-Dokument mit 25 50 44 46 (was in ASCII dem Text %PDF entspricht), und eine ZIP-Datei startet mit 50 4B 03 04 (ASCII: PK). Diese Signaturen sind standardisiert und seit Jahrzehnten unverändert.
Neben dem Header haben viele Dateiformate auch einen Footer - eine definierte Bytefolge am Dateiende. JPEG-Bilder enden mit FF D9, PDF-Dateien mit %%EOF. Manche Formate haben keinen expliziten Footer, definieren aber ihre Länge im Header selbst.
| Dateityp | Header (Hex) | Header (ASCII) | Footer | Erkennbarkeit |
|---|---|---|---|---|
| JPEG | FF D8 FF E0/E1 | -- | FF D9 | Sehr gut |
| PNG | 89 50 4E 47 | .PNG | 49 45 4E 44 AE 42 60 82 | Sehr gut |
| 25 50 44 46 | 25 25 45 4F 46 (%%EOF) | Gut | ||
| ZIP/DOCX/XLSX | 50 4B 03 04 | PK.. | 50 4B 05 06 | Gut |
| MP4 | 00 00 00 xx 66 74 79 70 | ....ftyp | Kein fester Footer | Mittel |
| RAW (Canon CR2) | 49 49 2A 00 | II*. | Kein fester Footer | Mittel |
| SQLite (DB) | 53 51 4C 69 74 65 | SQLite | Kein fester Footer | Gut |
Diese Signaturen bilden die Grundlage für zwei verwandte, aber unterschiedliche Techniken: File Carving und Header-Reparatur.
Wie funktioniert File Carving?
File Carving ist ein Verfahren, das Dateien ohne Kenntnis des Dateisystems direkt vom Rohdatenträger extrahiert. Der Name ist Programm: Die Dateien werden regelrecht aus dem Datenstrom „herausgeschnitzt".
Der grundlegende Ablauf
- Sektor-für-Sektor-Scan: Das Carving-Tool liest den gesamten Datenträger sequentiell ein, typischerweise in 512-Byte- oder 4.096-Byte-Blöcken
- Signaturerkennung: An jeder Position wird geprüft, ob eine bekannte Dateisignatur vorliegt
- Größenbestimmung: Das Tool ermittelt die Dateigröße - entweder über den Footer, über Längenangaben im Header oder über heuristische Verfahren
- Extraktion: Die Bytes zwischen Header und ermitteltem Dateiende werden als eigenständige Datei extrahiert
- Validierung: Fortgeschrittene Tools prüfen die extrahierte Datei auf Integrität
Signaturbasiertes vs. strukturbasiertes Carving
Die einfachste Form ist das signaturbasierte Carving: Es sucht nach einem bekannten Header und extrahiert alles bis zum nächsten Footer oder bis zu einer maximalen Dateigröße. Tools wie PhotoRec arbeiten primär mit diesem Ansatz.
Strukturbasiertes Carving geht einen Schritt weiter: Es analysiert die interne Struktur einer Datei und kann so auch Dateien rekonstruieren, deren Header zwar gefunden wurde, deren Inhalt aber nicht zusammenhängend gespeichert ist. Professionelle Forensik-Tools wie X-Ways, Autopsy oder R-Studio nutzen strukturbasiertes Carving, um auch teilweise fragmentierte Dateien wiederherzustellen.
Wichtig: File Carving arbeitet rein auf Datenebene. Es benötigt kein funktionierendes Dateisystem - weder NTFS, noch ext4, noch FAT32. Genau deshalb ist es die Methode der letzten Instanz, wenn alle dateisystembasierten Wiederherstellungsversuche gescheitert sind.
Wann ist File Carving die einzige Option?
File Carving kommt dann zum Einsatz, wenn die Dateisystem-Metadaten unwiederbringlich zerstört sind. Typische Szenarien:
Vollständige Formatierung
Nach einer vollständigen Formatierung wird das Dateisystem neu angelegt. Bei einer Schnellformatierung unter Windows (NTFS) wird lediglich die Master File Table neu initialisiert - die eigentlichen Daten bleiben zunächst erhalten. Bei einer vollständigen Formatierung werden zusätzlich alle Sektoren überschrieben, was File Carving erschwert oder unmöglich macht.
Zerstörtes Dateisystem
Wenn der Dateisystem-Header (Superblock bei ext4, Boot-Sektor bei NTFS) so schwer beschädigt ist, dass kein Tool die Struktur rekonstruieren kann, bleibt nur File Carving. Dies geschieht beispielsweise nach einem Headcrash bei Festplatten, bei dem die Schreib-Leseköpfe über die Magnetscheiben schleifen und Sektoren physisch zerstören.
Überschriebene Partitionstabelle
Wird die Partitionstabelle durch Malware, einen Bedienfehler oder einen Ransomware-Angriff zerstört, verliert das System die Information, wo die Partitionen beginnen und enden. Tools wie TestDisk versuchen zunächst, die Partitionstabelle zu rekonstruieren. Gelingt dies nicht, ist File Carving der nächste Schritt.
Professionelle Datenrettung benötigt?
Jetzt: Angebot für Datenrettung anfragen.
Wiederverwendete oder überschriebene Speichermedien
Professionelle Datenrettung benötigt?
Jetzt: Angebot für Datenrettung anfragen.
Bei USB-Sticks, SD-Karten und anderen Flash-Medien, die mehrfach formatiert und neu beschrieben wurden, sind die Dateisystem-Strukturen in der Regel nicht mehr rekonstruierbar. File Carving kann dennoch Dateien finden, die sich in nicht überschriebenen Bereichen befinden.
Wie können beschädigte Dateien durch Header-Reparatur wieder lesbar werden?
Während File Carving ganze Dateien vom Datenträger extrahiert, befasst sich die Header-Reparatur mit Dateien, die zwar vorhanden, aber durch einen beschädigten Header nicht mehr lesbar sind. Das passiert häufiger als man denkt:
- Partielles Überschreiben des Dateianfangs
- Bit-Fehler in den ersten Bytes (Bit Rot bei alternden Speichermedien)
- Unvollständige Schreibvorgänge nach einem Stromausfall
- Fehlerhafte Datenrettungssoftware, die den Header korrumpiert
JPEG-Header-Reparatur
JPEG ist das häufigste Format, das per Header-Reparatur gerettet wird. Die Struktur ist vergleichsweise einfach:
FF D8 FF E0 - SOI (Start of Image) + APP0 Marker (JFIF)
FF D8 FF E1 - SOI (Start of Image) + APP1 Marker (Exif)
Wenn die ersten Bytes einer JPEG-Datei beschädigt sind, aber der Rest der Datei intakt ist, genügt oft das Ersetzen der korrupten Bytes durch die korrekte Signatur. Mit einem Hex-Editor wie HxD (Windows), Hex Fiend (macOS) oder xxd (Linux) lässt sich dies manuell durchführen.
Schritt-für-Schritt:
- Datei im Hex-Editor öffnen
- Die ersten Bytes prüfen - stimmen sie nicht mit
FF D8 FF E0oderFF D8 FF E1überein, liegt ein Header-Schaden vor - Die korrekten Bytes einsetzen
- Datei speichern und mit einem Bildbetrachter testen
Achtung: Wenn nicht nur der SOI-Marker, sondern auch die nachfolgenden JPEG-Segmente (DQT, DHT, SOF) beschädigt sind, reicht eine einfache Header-Reparatur nicht aus. In diesem Fall muss ein kompatibles JPEG als Referenz dienen, um die fehlenden Segmente zu rekonstruieren.
PDF-Header-Reparatur
PDF-Dateien beginnen mit der Signatur %PDF-1.x (wobei x die Versionsnummer ist) und enden mit %%EOF. Die interne Struktur basiert auf einer Cross-Reference Table (xref), die als Inhaltsverzeichnis für alle Objekte in der Datei dient.
Bei PDF-Schäden ist die Header-Reparatur komplexer:
- Beschädigter Header: Kann durch Einsetzen der korrekten Signatur behoben werden
- Fehlende xref-Tabelle: Muss aus den im Dokument enthaltenen Objekten rekonstruiert werden
- Beschädigte Streams: Die eigentlichen Inhalte (Text, Bilder) in PDF-Objekten sind oft komprimiert (FlateDecode). Ist ein Stream beschädigt, lässt sich der betroffene Inhalt möglicherweise nicht retten
Tools wie qpdf --check oder mutool clean können bestimmte PDF-Strukturschäden automatisch reparieren. Für schwerwiegendere Fälle ist professionelle Unterstützung nötig.
DOCX/XLSX/PPTX - ZIP-basierte Office-Formate
Moderne Microsoft-Office-Formate sind im Kern ZIP-Archive, die XML-Dateien und eingebettete Medien enthalten. Das bedeutet: Die Reparatur eines DOCX ist eigentlich die Reparatur eines ZIP-Archivs.
Die ZIP-Signatur PK (50 4B 03 04) muss am Dateianfang stehen, und das Central Directory am Dateiende muss intakt sein. Ist nur der Header beschädigt, kann ein ZIP-Reparatur-Tool wie zip -FF (Linux) oder WinRAR (Reparatur-Funktion) die Struktur wiederherstellen.
Bei tiefergehenden Schäden kann man das ZIP-Archiv manuell entpacken und die darin enthaltenen XML-Dateien einzeln inspizieren. Oft ist nur ein Teil des Dokuments betroffen, und der Rest lässt sich retten.
Wo liegen die Grenzen des File Carving?
So leistungsfähig File Carving auch ist - es gibt klare Grenzen, die jeder kennen sollte, bevor er Hoffnungen auf eine vollständige Wiederherstellung setzt.
Fragmentierung: Das größte Problem
Wenn eine Datei nicht zusammenhängend, sondern in mehreren Fragmenten über den Datenträger verteilt gespeichert ist, wird Carving zum Glücksspiel. Signaturbasierte Tools finden zwar den Header, extrahieren dann aber nur den ersten zusammenhängenden Block - der Rest der Datei fehlt oder wird mit falschen Daten aufgefüllt.
Bei Festplatten liegt die Fragmentierungsrate je nach Nutzung zwischen 5 und 30 Prozent. Bei SSDs ist die logische Fragmentierung durch Wear Leveling und den SSD-Controller oft noch höher, auch wenn dies für die normale Nutzung keine Rolle spielt.
TRIM und Garbage Collection bei SSDs
Bei Solid-State-Drives kommt ein weiteres Problem hinzu: Der TRIM-Befehl weist den Controller an, als gelöscht markierte Blöcke physisch zu löschen. Nach TRIM enthalten diese Blöcke nur noch Nullen - kein Carving der Welt kann dort Daten finden.
Verschlüsselte Dateien und Datenträger
Wenn ein Datenträger mit BitLocker (Windows), FileVault (macOS) oder LUKS (Linux) verschlüsselt ist, sind die Rohdaten auf dem Medium zufällig verteilte Bytes ohne erkennbare Signaturen. File Carving kann auf einem verschlüsselten Datenträger grundsätzlich keine Dateien finden.
Komprimierte und proprietäre Formate
Manche Dateiformate speichern ihre Inhalte vollständig komprimiert, sodass keine erkennbaren internen Muster existieren. Andere verwenden proprietäre Strukturen ohne öffentlich dokumentierte Signaturen. In beiden Fällen ist Carving eingeschränkt oder unmöglich.
Wann sind professionelle Tools besser als Eigenversuche?
Kostenlose und quelloffene Tools
Für einen ersten Rettungsversuch stehen bewährte kostenlose Tools zur Verfügung:
- PhotoRec: Signaturbasiertes Carving für über 480 Dateiformate, arbeitet dateisystemunabhängig. Zusammen mit TestDisk bildet es ein mächtiges Open-Source-Duo.
- Scalpel: Konfigurierbares Carving-Tool, das benutzerdefinierte Signaturen unterstützt
- Foremost: Ursprünglich vom U.S. Air Force Office of Special Investigations entwickelt, robust und zuverlässig
Kommerzielle und professionelle Lösungen
Für komplexere Fälle - fragmentierte Dateien, beschädigte Dateisystemstrukturen, physische Medienschäden - setzen professionelle Datenretter auf:
- X-Ways Forensics: Strukturbasiertes Carving mit intelligenter Fragmentierungserkennung
- R-Studio: Kombination aus dateisystembasierter Wiederherstellung und Carving
- UFS Explorer: Unterstützt eine Vielzahl exotischer Dateisysteme und RAID-Konfigurationen
- PC-3000 Data Extractor: Forensik-Tool in Kombination mit Hardware-Controllern für die Arbeit mit physisch beschädigten Medien
Empfehlung: Starten Sie niemals einen Carving-Versuch direkt auf dem Originaldatenträger. Erstellen Sie immer zuerst ein bitgenaues Image (mitdd,ddrescueoder einem kommerziellen Imaging-Tool). So vermeiden Sie, dass fehlerhafte Leseversuche den Schaden verschlimmern - besonders bei Festplatten mit mechanischen Problemen.
Welche praktischen Tipps gibt es für die Header-Reparatur?
Wenn Sie eine beschädigte Datei selbst reparieren möchten, beachten Sie folgende Grundsätze:
- Kopie anlegen: Arbeiten Sie immer an einer Kopie, nie am Original
- Signatur identifizieren: Ermitteln Sie den erwarteten Header anhand der Dateiendung oder des vermuteten Formats
- Hex-Vergleich: Vergleichen Sie die ersten Bytes der beschädigten Datei mit einer intakten Datei gleichen Typs
- Minimale Änderungen: Ersetzen Sie nur die nachweislich falschen Bytes - jedes unnötig geänderte Byte kann weitere Schäden verursachen
- Validierung: Öffnen Sie die reparierte Datei mit einem Programm, das detaillierte Fehlermeldungen liefert, um den Reparaturerfolg zu verifizieren
Für Fotos existieren spezialisierte Reparatur-Tools wie Stellar Repair for Photo oder JPEG Repair Toolkit, die den Prozess automatisieren und auch Schäden in den internen JPEG-Segmenten beheben können.
Wann sollte man einen professionellen Datenretter hinzuziehen?
Eigenversuche sind sinnvoll, wenn das Dateisystem intakt ist und nur einzelne Dateien beschädigt sind. In folgenden Situationen sollten Sie jedoch einen seriösen Datenrettungsdienst kontaktieren:
- Der Datenträger macht physische Geräusche (Klackern, Schleifen, Piepen)
- Die Festplatte wird nicht mehr erkannt
- Es handelt sich um eine SSD oder ein eMMC-Gerät, bei dem kein Software-Zugriff mehr möglich ist
- Die Daten sind geschäftskritisch und eine zweite Chance gibt es nicht
- Mehrere hundert oder tausend Dateien müssen gecarved und validiert werden
Professionelle Labore verfügen über Reinraumtechnik, Hardware-Tools und jahrelange Erfahrung mit Firmware-Reparaturen und Chip-Off-Verfahren, die weit über die Möglichkeiten von Software-basiertem Carving hinausgehen.
Warum ist File Carving die letzte Verteidigungslinie der Datenrettung?
File Carving und Header-Reparatur sind unverzichtbare Techniken im Werkzeugkasten der Datenrettung. Sie greifen genau dort, wo das Dateisystem versagt hat und konventionelle Wiederherstellungsmethoden nicht mehr funktionieren. Die Erfolgschancen hängen dabei von drei Faktoren ab: der Qualität der Dateisignatur, dem Fragmentierungsgrad und dem physischen Zustand des Speichermediums.
Für einzelne beschädigte Fotos oder Dokumente ist ein Eigenversuch mit einem Hex-Editor oder PhotoRec durchaus erfolgversprechend. Bei komplexeren Szenarien - physische Schäden, verschlüsselte Datenträger oder geschäftskritische Daten - führt der Weg über einen erfahrenen Datenrettungsspezialisten, der die passende Kombination aus Carving, Dateisystem-Analyse und Hardware-Reparatur einsetzen kann.
Jetzt: Angebot für Datenrettung anfragen.
Professionelle Datenrettung benötigt?
Jetzt: Angebot für Datenrettung anfragen.