Windows File Recovery: Kostenloses Tool zur Wiederherstellung gelöschter Dateien

29
News Claus Ludewig Als bevorzugte Quelle auf Google hinzufügen
Windows File Recovery
Quelle: Microsoft / Montage: PCGH

Microsoft hat ein Tool entwickelt, mit dem Nutzer von Windows 10 versehentlich gelöschte Dateien wiederherstellen können. Das Windows File Recovery ist ein Werkzeug für die Kommandozeile, mit dem eigentlich gelöschte Dateien aus dem Papierkorb wieder nutzbar gemacht werden können.

Es sind nur wenige Klicks, doch dann ist die Datei gelöscht vom PC und nicht wiederzufinden. Manchmal passiert das unabsichtlich, der Ärger ist dann groß. Microsoft hat dafür das kostenlose Tool Windows File Recovery entwickelt. Mit diesem Werkzeug lassen sich aus dem Papierkorb gelöschte Dateien wiederherstellen, bei denen andere Reparaturversuche fehlgeschlagen haben. So sollen sich eigentlich vom PC gelöschte Daten retten lassen, wenn man diese von der lokalen Festplatte gelöscht hat. Der Download ist kostenfrei über den Microsoft Store möglich. Allerdings muss auf dem PC mindestens Windows 10 Build 19041 laufen, also mindestens Windows 10 Mai 2020 Update.

Rettung von gelöschten Daten nur auf neues Ziellaufwerk mit dem Tool Windows File Recovery

Nicht möglich ist es, Daten von einem Quelllaufwerk auf ein identisches Ziellaufwerk wiederherzustellen. Auch kann das Tool an seine Grenzen stoßen, wenn eine gelöschte Datei überschrieben wurde. Ist das der Fall, dann hilft auch Windows File Recovery nicht mehr und man muss sich professionelle Hilfe holen. Die geretteten Daten werden vom Tool immer auf ein anderes Laufwerk kopiert. Nutzer sollten also beispielsweise einen USB-Speicher oder eine SD-Karte benutzen, wenn sie nur eine Partition auf einem Laufwerk verwenden. Windows File Recovery kann Daten wie Jpeg-Bilder, Mpeg-Videos, PDFs, Dokumente, ZIP-Archive und mehr wiederherstellen. Neben dem Dateisystem NTFS kann es auch mit FAT, Exfat und Refs umgehen.

Bildergalerie

Der Windows File Recovery ist ein Kommandozeilen-Tool und richtet sich daher eher an geübte Anwender. So können etwa mit dem Befehl "winfr C:E: /n \Ordner\" die Dateien aus dem Verzeichnis Ordner aus Laufwerk C auf dem Laufwerk E wiederhergestellt werden. Das Tool legt immer ein eigenes Verzeichnis auf dem Ziellaufwerk mit dem Namensschema Recovery_Datum_Uhrzeit an.

Ebenfalls lesenswert: Microsoft bringt Bugfixes in PowerToys 0.18.2 für Windows 10

Fakten zu Windows File Recovery für Windows 10:

  • Microsoft hat das kostenlose Tool Windows File Recovery entwickelt. Mit diesem Werkzeug lassen sich aus dem Papierkorb gelöschte Dateien wiederherstellen.
  • Die geretteten Daten werden vom Tool immer auf ein anderes Laufwerk kopiert. Nutzer sollten also einen USB-Speicher oder eine SD-Karte benutzen, wenn sie nur eine Partition auf einem Laufwerk verwenden.
  • Windows File Recovery ist ein Kommandozeilen-Tool aus dem Microsoft Store und erfordert mindestens Windows 10 Build 19041, sprich das Windows 10 Mai 2020 Update.

Quellen: Microsoft (1), Microsoft (2), Dr. Windows

29

    • Kommentare (29)

      Zur Diskussion im Forum
      • Von PCGH_Torsten Kokü-Junkie (m/w)
        Wenn du Restmagentisierungen messen beziehungsweise das absolute Niveau der Magnetisierung bestimmen willst, brauchst du Zugriff auf die Rohdaten der Leseköpfe beziehungsweise musst direkt an die Platter ran. Dann ließt du auch die ECC-Abschnitte mir aus. Wer nur den fertig interpretierten Datenstrom des Controllers interpretiert, wird keine Spuren überschriebener Informationen bemerken.
        Zitieren
      • Von PCGH_Torsten Kokü-Junkie (m/w)
        Wenn du Restmagentisierungen messen beziehungsweise das absolute Niveau der Magnetisierung bestimmen willst, brauchst du Zugriff auf die Rohdaten der Leseköpfe beziehungsweise musst direkt an die Platter ran. Dann ließt du auch die ECC-Abschnitte mir aus. Wer nur den fertig interpretierten Datenstrom des Controllers interpretiert, wird keine Spuren überschriebener Informationen bemerken.
        Zitieren
      • Von DKK007 Trockeneisprofi (m/w)
        Zitat von PCGH_Torsten
        (Ausgenommen von dieser Betrachtung sind natürlich die Fehlerkorrekturbereiche, die sich bei jedem Schreibvorgang von nicht vollständig identischen Daten deutlich verändern.)
        Wobei man von diesen bei der Nutzung gar nichts mitbekommt und diese auch nicht einfach auslesen kann. Auch bei einem Datenträgerimage ließt man nur die Datenbereiche der Sektoren hintereinanderweg aus.

        [Ins Forum, um diesen Inhalt zu sehen]
        Sektorgroessen von Datentraegern – Thomas-Krenn-Wiki
        Zitieren
      • Von PCGH_Torsten Kokü-Junkie (m/w)
        Zitat von Mahoy
        Bei einer HDD werden werden Sektoren beschrieben, die mehrere Bytes enthalten. Bits werden mittels Registerverschiebungen über Offsets eines Bytes adressiert: Stell dir acht Perlen auf einer Schnur vor; abgesehen von den Perlen an den Enden kommst du an keine Perle heran, ohne nicht gleichzeitig andere Perle zu bewegen. Der Wert der Bitkette kann sich also nicht *nicht* ändern und damit kann auch kein Byte und somit kein Sektor unveränderlich bleiben.

        Verändere ich 00000000 zu 00101010, habe ich, je nachdem, ob Links-Shift/Big-Endian oder Links-Shift/Little-Endian bzw. Rechts-Shift/Big-Endian oder Rechts-Shift/Little-Endian, auch Bits "bewegt", deren Wert sich nicht verändert. Der magnetische Zustand hat sich somit auf jeden Fall geändert.

        Was man jetzt machen kann ist, über magnetoptische Verfahren zu sichten, wie stark ein Bit insgesamt magnetisiert oder nicht magnetisiert wurde. Da man das Ganze aber auf das komplette Byte umlegen muss, geht das große Raten los, weil es immer mehrere Möglichkeiten gibt, wie der augenblickliche Zustand erzeugt wurde. Eingrenzen kann ich das, wenn ich es mit weniger veränderten Bereichen vergleiche - wurde jedoch die Platte komplett beschrieben, entfällt diese Option.
        Festplaten sind zwar in Sektoren organisiert, arbeiten aber auf physischer Ebene bitspezifisch. Da werden keine Bits bewegt beziehungsweise alle Bits bewegen sich ständig, aber mitsamt ihrer Speicherorte, sodass letztere keine Zustandsänderungen durchlaufen.
        Wenn du 00101010 auf einen 00000000-Abschnitt schreibst, dann werden zwar auch die unveränderten Bits neugeschrieben, aber eben mit dem ohnehin vorhandenen Wert. Solange keine Zwischenschritte aus etwaigen Berechnungsvorgängen abgespeichert werden (und das verhindert bei einer HDD möglicherweise schon der Laufwerkseigene Cache, wenn die Zugriffszeit länger als die Berechnungszeit ist) bleiben ungeänderte Bits also statisch. Selbst ein Bit-Shift von 00101010 auf 10101000 würde nur das erste und das siebste Bit beeinflussen, den Rest 1:1 überschreiben. Wenn nach einer Nullung Restmagnetisierungen im Bereich der ehemaligen 1er verbleiben, ließen sich diese also Eindeutung zuordnen, wenn an der entsprechenden Stelle die nie eine Bitfolge mit zusätzlichen 1ern an anderer Stelle gespeichert war.

        (Ausgenommen von dieser Betrachtung sind natürlich die Fehlerkorrekturbereiche, die sich bei jedem Schreibvorgang von nicht vollständig identischen Daten deutlich verändern.)
        Zitieren
      • Von DKK007 Trockeneisprofi (m/w)
        Zitat von fotoman
        Im Gegensatz zu schlampigen Behörden in Deutschland achten solche Firmen daher auch darauf, dass die Verschrottung wirklich durchgeführt wird.
        Bzw. man führt halt selbst schon mal ein Überschreiben aller kritischen Daten durch, bevor die Platte den PC verlässt.

        Zitat von Mahoy
        Bei einer HDD werden werden Sektoren beschrieben, die mehrere Bytes enthalten. Bits werden mittels Registerverschiebungen über Offsets eines Bytes adressiert: Stell dir acht Perlen auf einer Schnur vor; abgesehen von den Perlen an den Enden kommst du an keine Perle heran, ohne nicht gleichzeitig andere Perle zu bewegen. Der Wert der Bitkette kann sich also nicht *nicht* ändern und damit kann auch kein Byte und somit kein Sektor unveränderlich bleiben.
        Es lassen sich nur ganze Sektoren, also 512 Byte lesen und schreiben.

        Zitat von Mahoy
        Oder übersehe ich da was? Bin schon etwas müde ...
        Irgendwas wir immer übersehen, und genau das muss man finden.
        Zitieren
      • Von Mahoy Volt-Modder(in)
        Zitat von DKK007
        Er meinte kein selektives Überschreiben, sondern dass sich am Wert eines Bits nichts ändert, wenn man den gleichen Wert dort hinschreibt (also eine 0 mit einer 0 oder eine 1 mit einer 1). Zumindest bei einer HDD.
        Bei einer HDD werden werden Sektoren beschrieben, die mehrere Bytes enthalten. Bits werden mittels Registerverschiebungen über Offsets eines Bytes adressiert: Stell dir acht Perlen auf einer Schnur vor; abgesehen von den Perlen an den Enden kommst du an keine Perle heran, ohne nicht gleichzeitig andere Perle zu bewegen. Der Wert der Bitkette kann sich also nicht *nicht* ändern und damit kann auch kein Byte und somit kein Sektor unveränderlich bleiben.

        Verändere ich 00000000 zu 00101010, habe ich, je nachdem, ob Links-Shift/Big-Endian oder Links-Shift/Little-Endian bzw. Rechts-Shift/Big-Endian oder Rechts-Shift/Little-Endian, auch Bits "bewegt", deren Wert sich nicht verändert. Der magnetische Zustand hat sich somit auf jeden Fall geändert.

        Was man jetzt machen kann ist, über magnetoptische Verfahren zu sichten, wie stark ein Bit insgesamt magnetisiert oder nicht magnetisiert wurde. Da man das Ganze aber auf das komplette Byte umlegen muss, geht das große Raten los, weil es immer mehrere Möglichkeiten gibt, wie der augenblickliche Zustand erzeugt wurde. Eingrenzen kann ich das, wenn ich es mit weniger veränderten Bereichen vergleiche - wurde jedoch die Platte komplett beschrieben, entfällt diese Option.

        Womit sich aber nachweisen lässt, dass eine Datei drauf war. Z.B. bei KiPo.
        Wobei man da zum Prüfen auch reicht, wenn man Fragmente eines Videos finden kann.Ich fänd's zwar gut, wenn das nennenswerten Erfolg hätte, aber es läuft leider auf den selben Catch hinaus: Entweder weiß ich schon, was auf der Platte drauf war und muss es gar so aufwändig nachweisen, oder ich führe Abgleiche mit belastendem Archivmaterial durch, was den Aufwand exponentiell erhöht und natürlich einen Haufen falsch-positive Ergebnisse liefert. Am erfolgversprechendsten dürfte es sei, wenn man einen ungelöschten Datenträger sichergestellt hat und anderen Verdächtigen nachweisen möchte, dass sie 1:1-Kopien davon gezogen haben.
        Aber auch das sollte leicht zu torpedieren sein: Einfach nach dem sicheren Löschen noch mal ein paar unverfängliche Daten draufkopieren, vorzugsweise mehrere von unterschiedlichen Quellen auf einmal, um die Fragmentierung zu erhöhen. Das sollte schon genügen, um jedes auf Bit-Ebene erkennbare Muster zu unterbrechen.

        Oder übersehe ich da was? Bin schon etwas müde ...
        Zitieren
      Direkt zum Diskussionsende
Hoch
  • Print / Abo
    Apps
    PCGH Magazin 07/2026 PC Games 06/2026 play5 07/2026 N-Zone 06/2026 Linux Magazin 06/2026 LinuxUser 06/2026 Raspberry Pi Geek 07/2026
    PC Games Hardware PC Games Linux Magazin Raspberry Pi Geek Computec Kiosk
Die Redaktion Datenschutz Artikel-Archiv Datenschutz-Optionen Mediadaten Impressum Utiq verwalten Abo kündigen AGB Inhalt melden Newsletter