Windows File Recovery: Kostenloses Tool zur Wiederherstellung gelöschter Dateien

PCGH-Redaktion

PCGH-Redaktion

Kommentar-System
Teammitglied
Jetzt ist Ihre Meinung gefragt zu Windows File Recovery: Kostenloses Tool zur Wiederherstellung gelöschter Dateien

Microsoft hat ein Tool entwickelt, mit dem Nutzer von Windows 10 versehentlich gelöschte Dateien wiederherstellen können. Das Windows File Recovery ist ein Werkzeug für die Kommandozeile, mit dem eigentlich gelöschte Dateien aus dem Papierkorb wieder nutzbar gemacht werden können.

Bitte beachten Sie: Der Kommentarbereich wird gemäß der Forenregeln moderiert. Allgemeine Fragen und Kritik zu Online-Artikeln von PC Games Hardware sind im Feedback-Unterforum zu veröffentlichen und nicht im Kommentarthread zu einer News. Dort werden sie ohne Nachfragen entfernt.

lastpost-right.png
Zurück zum Artikel: Windows File Recovery: Kostenloses Tool zur Wiederherstellung gelöschter Dateien
 
Naja, das Ding wird nichts anderes machen als die ganzen anderen Recovery-Tools auch (weil es auch einfach keine weiteren Möglichkeiten gibt ohne ein Labor zu haben). Der Vorteil ist also hier eigentlich nur, dass es kostenlos mitgeliefert wird - denn auch wenn das suggeriert werden soll: Nein, wenn jemand den Papierkorb seiner SSD gelöscht hat und ein paar Minuten vergangen sind bis die SSD/Windows die GarbageCollection und/oder TRIM gestartet hat rettet kein Tool der Welt mehr die gelöschten Daten.

Bei HDDs funktionierts dagegen - aber das machts auch mit allen anderen besseren Recovertools (die sogar ne GUI haben ;-)).
 
Auch kann das Tool an seine Grenzen stoßen, wenn eine gelöschte Datei überschrieben wurde. Ist das der Fall, dann hilft auch Windows File Recovery nicht mehr und man muss sich professionelle Hilfe holen.
Zum Vergrößern anklicken....
Wenn die Dateien überschrieben sind, dann ist da gar nichts mehr zu retten.

Dann kann man bestenfalls schauen, ob es im Cache oder der MFT noch Kopien, bzw. Vorschaubilder in der thumbs.db gibt.

Das Überschreiben kann auch automatisch durch TRIM geschehen, wo dann alle Bytes in einem Block auf 0 gesetzt werden.
 
DKK007 schrieb:
Wenn die Dateien überschrieben sind, dann ist da gar nichts mehr zu retten.
Zum Vergrößern anklicken....

Diese Aussage gilt aber lediglich für rein softwarebasiertes Recovery. Kann man den Datenträger physisch analysieren, lässt sich noch einiges an Daten wiederherstellen, selbst wenn logisch alles genullt wurde. Nicht umsonst wird das mehrfache Überschreiben mit Zufallsdaten empfohlen, bzw. je nach Schutzbedarf der Informationen auch vorgeschrieben.
 
Malkolm schrieb:
Diese Aussage gilt aber lediglich für rein softwarebasiertes Recovery. Kann man den Datenträger physisch analysieren, lässt sich noch einiges an Daten wiederherstellen, selbst wenn logisch alles genullt wurde.
Zum Vergrößern anklicken....
Dann viel Spaß sowas bei einer überschriebenen oder schon nur per Firmware "gelöschten" Speicherzelle einer SSD zu tun.

Mag aber sein, dass Geheimdienste entsprechend angepasste Controller für diverse, weit verbreitete SSD-Modelle besitzen und damit an der normalen Firmware vorbei (aber nicht "vorbei genug", um die u.U. genutzte HW-Verschlüsselung nicht zu beeinträchtigen) Speicherzellen auslesen zu können.

Ich fände es eher interessant, warum das Tool erst ab dem Mai-Update von WIndows 10 2004 funktioneren soll. Hat MS dort etwas eingebaut, das sie auf ihrer Seite nicht erwähnen? Und wenn sie etwas geändert haben, betrifft das dann alle Recovery-Tools oder nur speziell daran angepasste?
 
Sicheres Loeschen: Einmal ueberschreiben genuegt | heise online

Ist ja auch irgendwie logisch. Einen auf Materialebene veränderten, physischen Zustand kann man nur weiter verändern, nicht aber auf einen unbekannten (!) früheren Stand zurückversetzen. Das hätte nichts mehr mit besserer Wiederherstellungstechnologie zu tun, sondern mit Zeitreisen.

Bei SSDs wäre womöglich zu beachten, dass Bereiche von "außen" gar nicht adressierbar sind. Der Controller beschreibt sie zwar (als Cache oder Reserve etc.), aber man kann sie mit Hausmitteln nicht gezielt ansteuern, also auch nicht gezielt überschreiben bzw. ausnullen. Hier könnte jemand mit mehr Kenntnis über die Controller-Logic und entsprechenden Zugriff sicherlich noch fündig werden.
Aber auch das lässt sich bestimmt umgehen, indem man die SSD nach Außerdienststellung eine Weile mit toten Daten beschäftigt.
 
Nur im MS Store und da treibt sich die Zielgruppe für Befehlszeilenprogramme herum?


store.rg-adguard.net ftw... 11 MB download uns was ist drin? Für 4 Plattformen je ein 800 KB Programm, das nach kurzem Test mutmaßlich auch so funktioniert.

wuselsurfer schrieb:
Wohl eher DOS-File Recovery.
Zum Vergrößern anklicken....
Ja, DOS.
Streich das lieber bevor das jemand mit einer ATI 5700 XT liest aber ich schweife ab...


fotoman schrieb:
Ich fände es eher interessant, warum das Tool erst ab dem Mai-Update von WIndows 10 2004 funktioneren soll
Zum Vergrößern anklicken....
Anreize schaffen. Warum für (ver)alte(te) Versionen anbieten? :ka:

Mahoy schrieb:
Aber auch das lässt sich bestimmt umgehen, indem man die SSD nach Außerdienststellung eine Weile mit toten Daten beschäftigt.
Zum Vergrößern anklicken....
Oder stumpf einmal komplett vollschreiben, fertig?
fsutil file CreateNew
 
Mahoy schrieb:
Sicheres Loeschen: Einmal ueberschreiben genuegt | heise online

Ist ja auch irgendwie logisch. Einen auf Materialebene veränderten, physischen Zustand kann man nur weiter verändern, nicht aber auf einen unbekannten (!) früheren Stand zurückversetzen. Das hätte nichts mehr mit besserer Wiederherstellungstechnologie zu tun, sondern mit Zeitreisen.
Zum Vergrößern anklicken....

Ich würde alle Bits einmal mit 1 und einmal mit 0 überschreiben, dann weiß man, das jedes Bit einmal von 1 auf 0 geändert wurde.


Mahoy schrieb:
Das hilft nichts, da fsutil auf den vom Datenträger an das Betriebssystem als *verfügbar* gemeldeten Speicherplatz beschränkt ist. Vom Controller bzw. der Firmware des Datenträgers verwaltete Reservezellen und etwaige nicht flüchtige Caches werden damit logischerweise nicht überschrieben.
Zum Vergrößern anklicken....

Man kann aber einfach mit dd alles überschreiben.
[FONT=&quot]dd bs=1M status=progress if=/dev/zero of=/dev/sdX [/FONT]

Die SSDs haben aber meistens ein SecureErase, was das automatisch macht, bzw. bei Hardwareverschlüsselung einfach den alten Schlüssel verwirft.
 
DKK007 schrieb:
Ich würde alle Bits einmal mit 1 und einmal mit 0 überschreiben, dann weiß man, das jedes Bit einmal von 1 auf 0 geändert wurde.
Zum Vergrößern anklicken....

Dem Bit ist es gänzlich wurscht, ob es von 0 auf 1, von 1 auf 0, von 0 auf 0 oder von 1 auf 1 überschreiben wurde.
Entscheidend ist, *dass* es überschrieben wurde und niemand mehr sagen kann, welchen Zustand es vorher hatte. :)

Man kann aber einfach mit dd alles überschreiben.
[FONT="]dd bs=1M status=progress if=/dev/zero of=/dev/sdX [/FONT]
Zum Vergrößern anklicken....

Das ist dasselbe in grün. *Jede* Software, die auf Betriebssystemebene ausgeführt wird, kann nur den Speicherplatz adressieren, der dem Betriebssystem auch als beschreibbar gemeldet wird.

Die SSDs haben aber meistens ein SecureErase, was das automatisch macht, bzw. bei Hardwareverschlüsselung einfach den alten Schlüssel verwirft.
Zum Vergrößern anklicken....

Das dürfte zumindest so weit sicher sein, wie man der vom Hersteller gelieferten Software zur sicheren Löschung vertrauen kann. Die beste Sicherheit ist aber in der Tat Vollverschlüsselung. Da bleiben dann zwar ggf. trotzdem zusammenhängende Daten irgendwo erhalten, aber mit denen kann ohne Schlüssel niemand etwas anfangen - außer ggf. sehr, sehr viel Zeit in ihre Entschlüsselung investieren, was bei Fragmenten aber kaum lohnt.
 
Mahoy schrieb:
Dem Bit ist es gänzlich wurscht, ob es von 0 auf 1, von 1 auf 0, von 0 auf 0 oder von 1 auf 1 überschreiben wurde.
Entscheidend ist, *dass* es überschrieben wurde und niemand mehr sagen kann, welchen Zustand es vorher hatte. :)
Zum Vergrößern anklicken....

Das ist aber in Hardware durchaus möglich, dass dort der Vorzustand noch nachwirkt.
Wenn alle Bits von 1 auf 0 geändert wurden, wäre aber auch in dem Fall der Vorzustand immer 1.
 
DKK007 schrieb:
Das ist aber in Hardware durchaus möglich, dass dort der Vorzustand noch nachwirkt.
Wenn alle Bits von 1 auf 0 geändert wurden, wäre aber auch in dem Fall der Vorzustand immer 1.
Zum Vergrößern anklicken....

Oberflächenphysisch kann man eventuell auch den Vor-Vor-Vor-...-Vor-Zustand eines Bits noch herausfinden. Allerdings muss man acht logisch (im technischen Sinne) zusammenhängende Vorzustände korrekt erkennen, um überhaupt erst ein Byte zu haben. Das ist bereits irrsinnig unwahrscheinlich - und selbst wenn man es schafft, weiß man immer noch nicht, wo das Byte hingehört und was noch dazugehört.

Das ist sozusagen eine Mischung aus Hangman und Scrabble, gespielt mit verbundenen Augen und für eine Sprache, die man nicht kennt.
 
Ja deswegen macht es auch keinen Sinn mehr als einen Vorzustand zu ermitteln. Inbesondere da sich nicht aus den Bits ermitteln lässt, wann die geändert wurden oder nicht.

z.B.
Bit0: 1->0->1->1->0
Bit1: 1->0->0->1->0

Es erfolgte zwar in beiden Fällen ein Wechsel von 0 auf 1, aber halt bei Bit0 schon eher.
 
DKK007 schrieb:
[/FONT]Es erfolgte zwar in beiden Fällen ein Wechsel von 0 auf 1, aber halt bei Bit0 schon eher.
Zum Vergrößern anklicken....

Ich verstehe allerdings immer noch nicht, was du *zweckmäßig* damit erreichen willst, den Zustand zweimal zu ändern.

Wenn ich einen sicher gelöschten Datenträger in die Hände bekomme, sind darauf *alle* Bits entweder 0 oder 1, je nachdem, mit was die Sektoren überschrieben wurden.
Ich weiß nicht, ob sie vorher 0 oder 1 waren und habe selbst mit ausgebuffter Oberflächenanalyse nur eine verschwindend geringe Chance, auch nur ein Byte korrekt zu rekonstruieren, was mir dann immer noch nicht weiterhilft.

Das Ganze zweimal zu überschreiben bringt keinerlei zusätzliche Sicherheit. Man verschwendet nur Zeit, Energie und generiert unnötige Abnutzung. :ka:
 
@Mahoy:
Wenn man von einer unvollständigen Überschreibung ausgeht, wäre die "Einsung" statt reiner Nullung für nur einmal beschriebenen Laufwerken sinnvoll. Eine mit 00000000 ausgelieferte Festplatte, die einmalig mit 00101010 beschrieben wurde, nur erneut mit 00000000 zu überschreiben, bedeutet dass weiterhin nur das dritte, fünfte und siebte Bit jemals den Zustand 1 hatten. Wenn es davon überhaupt Rückstände gibt, zeichnen die sich dann vergleichsweise deutlich gegenüber den Nur-Nullern ab.
 
Und gerade NTFS verteilt die Daten quer über die Platte, so dass sich da nicht vorhersagen lässt, wo etwas gelöschtes im normalen Betrieb überschrieben wird oder auch nicht.
Bei fast voller Platte ist natürlich ein Überschreiben deutlich wahrscheinlicher, als bei fast leerer Platte. Letztere stellt dann den von Thorsten beschriebenen Zustand dar.
 
Einloggen o. Registrieren zum Antworten.

Ähnliche Themen

PCGH-Redaktion
News Windows 10: Update KB5033372 bringt Datei-Explorer von 2019 zurück
Antworten
4
Aufrufe
726
Sk3ptizist
Sk3ptizist
PCGH-Redaktion
News Für Windows 10 und 11: Microsoft bringt KI-Tool für die Foto-App
Antworten
1
Aufrufe
455
kingkoolkris
K
PCGH-Redaktion
News Technische Referenz jetzt kostenlos online
Antworten
0
Aufrufe
23
PCGH-Redaktion
PCGH-Redaktion
PCGH-Redaktion
News Windows 11: Papierkorb per KI leeren als neues Killerfeature?
2
Antworten
32
Aufrufe
1K
Dguv3
Dguv3
PCGH-Redaktion
News Tool umgeht Zwang für digitale Treiber-Signatur unter Vista-x64
Antworten
0
Aufrufe
26
PCGH-Redaktion
PCGH-Redaktion
Oben Unten
Zurück