Erstellen einer Karte der Datenentropie während des Datenträger-Imaging in UFS Explorer
Die Datenentropiezuordnung ist eine wertvolle mathematische Technik, die gelegentlich bei der Datenwiederherstellung und digitalen Forensik zum Einsatz kommt. Sie ermöglicht es Spezialisten, die Integrität und Struktur der abgebildeten Daten schnell zu beurteilen und beispielsweise beschädigte, verschlüsselte, komprimierte oder gelöschte Bereiche anhand ihrer Entropieeigenschaften zu identifizieren. In Verbindung mit einer Defektkarte helfen die Informationen zur Entropieverteilung auch dabei, die Auswirkungen defekter Sektoren auf datenhaltige Bereiche zu bestimmen und den Wiederherstellungsprozess entsprechend anzupassen.
Obwohl sie für Experten von großem Nutzen ist, ist die Funktion der Entropiezuordnung in Datenrettungslösungen selten anzutreffen. Benutzer müssen häufig eine Image-Datei exportieren und zusätzliche Tools verwenden, die die Entropie berechnen und ihre Variation auf einem Speichergerät visualisieren können. Die Professional- und Technician-Editionen von UFS Explorer überwinden diese Einschränkung, indem sie eine visuelle Karte der Datenentropie während des Datenträger-Imaging erzeugen. Auf diese Weise können Benutzer während des gesamten Abbildunbgsverfahrens Entropiemuster in Echtzeit überwachen, die resultierende Karte zur späteren Analyse speichern oder sie mit einer Blockzustandskarte vergleichen, um den Zustand der Daten besser zu verstehen.
Die Funktion ist in der Software über die Option "Speichern Sie eine Karte der Datenentropie" verfügbar, die sich auf der Registerkarte "Zusätzliche Daten speichern" unten im Disk-Imager-Dialogfeld befindet.
Hier ist ein mögliches Szenario, das ihre Funktionsweise veranschaulicht. Unser Techniker hat die Aufgabe, Dateien auf einer teilweise überschriebenen SSD wiederherzustellen. Der Kunde hat versehentlich eine Schnellformatierung auf diesem Laufwerk gestartet, die erwartungsgemäß den TRIM-Befehl aktiviert hat. Die SSD wurde jedoch schnell vom System getrennt. Daher besteht die Möglichkeit, dass TRIM nicht alle Blöcke verarbeiten konnte und einige noch wiederherstellbare Daten enthalten.
Bevor wir diese SSD an den Computer anschließen, müssen wir sicherstellen, dass das Speichergerät keine weiteren TRIM-Befehle erhält, die die verbleibenden Daten zerstören könnten. Dazu können wir entweder einen Schreibblocker verwenden oder TRIM direkt im Betriebssystem deaktivieren. Danach können wir fortfahren und das Disk-Image mit UFS Explorer erstellen.
Wir starten zunächst den Disk Imager für das Laufwerk über die Option "Diskettenabbilddatei speichern" in seinem Kontextmenü.
Im Konfigurationsdialog für die Imaging-Aufgabe wählen wir den Modus "Volle Bit-zu-Bit-Einsparung auf einmal", um eine einfache Disk-Image-Datei zu erstellen.
Danach müssen wir alle Parameter angeben, die für die Datenträgerabbildung erforderlich sind. Eine ausführliche Anleitung dazu finden Sie unter So erstellen Sie ein Image des Laufwerks.
Nachdem wir die notwendigen Einstellungen vorgenommen haben, navigieren wir zur Registrierkarte "Zusätzliche Daten speichern". Dort aktivieren wir die Option "Speichern Sie eine Karte der Datenentropie". Zusätzlich wählen wir ein hochpräzises Kartenformat, um eine genauere Analyse zu ermöglichen.
Die Karte wird als *.SDEF-Datei im Pfad gespeichert, der neben dem Parameter "Metadatenspeicherort" angegeben ist.
Anschließend können wir auf die Schaltfläche "Starten" klicken.
Während die Abbildung fortschreitet, berechnet die Software Entropiewerte und zeigt Bereiche mit hoher, niedriger und keiner Entropie auf einer farbigen Karte an, wobei:
Cyan steht für Null-Entropie. Solche Bereiche bestehen ausschließlich aus "Nullen", entweder weil nie Daten in sie geschrieben wurden oder weil sie mithilfe von dauerhaften Löschmethoden wie nach TRIM gelöscht wurden.
Hellgrün zeigt niedrige Entropie an. Diese ist typisch für unkomprimierte strukturierte Daten, wie Dateisystemmetadaten oder einfache Dokumenten.
Rot weist auf hohe Entropie hin. Dies ist charakteristisch für verschlüsselte, komprimierte oder chiffrierte Daten.
Wir können mit den pfeilartigen Schaltflächen durch die Karte navigieren oder einen beliebigen Block auswählen und ihn sofort im hexadezimalen Viewer öffnen.
Es ist auch möglich, diese Karte mit der Blockzustandskarte zu synchronisieren, um ein umfassenderes Bild zu erhalten.
Unsere Entropiekarte zeigt ein klares Muster: Wir können große Bereiche mit Null-Entropie sehen, in denen TRIM die Daten durch Überschreiben mit Nullen gelöscht hat. Es gibt jedoch auch Bereiche mit einer Entropie ungleich Null, was darauf hindeutet, dass einige Blöcke nicht von TRIM betroffen waren.
Wir können außerdem auf die Schaltfläche "Kartenstatistik anzeigen" klicken und die Anzahl der Blöcke nach Status vergleichen.
Anhand dieser Informationen lässt sich erkennen, dass sich ein erheblicher Teil der Daten noch in kritischen Bereichen des Speichers befindet. Daher werden wir unsere Wiederherstellungsbemühungen auf jene Bereiche mit Entropie ungleich Null konzentrieren.
Wenn wir später auf diese Karte zurückgreifen müssen, können wir die erstellte *.SDEF-Datei mit dem Tool "Verbinden Sie die Blockstatuskarte" ganz einfach auf die Disk-Image-Datei anwenden.
Letzte Aktualisierung: 15. April 2025