Er meinte kein selektives Überschreiben, sondern dass sich am Wert eines Bits nichts ändert, wenn man den gleichen Wert dort hinschreibt (also eine 0 mit einer 0 oder eine 1 mit einer 1). Zumindest bei einer HDD.
Bei einer HDD werden werden Sektoren beschrieben, die mehrere Bytes enthalten. Bits werden mittels Registerverschiebungen über Offsets eines Bytes adressiert: Stell dir acht Perlen auf einer Schnur vor; abgesehen von den Perlen an den Enden kommst du an keine Perle heran, ohne nicht gleichzeitig andere Perle zu bewegen. Der Wert der Bitkette kann sich also nicht *nicht* ändern und damit kann auch kein Byte und somit kein Sektor unveränderlich bleiben.
Verändere ich 00000000 zu 00101010, habe ich, je nachdem, ob Links-Shift/Big-Endian oder Links-Shift/Little-Endian bzw. Rechts-Shift/Big-Endian oder Rechts-Shift/Little-Endian, auch Bits "bewegt", deren Wert sich nicht verändert. Der magnetische Zustand hat sich somit auf jeden Fall geändert.
Was man jetzt machen kann ist, über magnetoptische Verfahren zu sichten, wie stark ein Bit insgesamt magnetisiert oder nicht magnetisiert wurde. Da man das Ganze aber auf das komplette Byte umlegen muss, geht das große Raten los, weil es immer mehrere Möglichkeiten gibt, wie der augenblickliche Zustand erzeugt wurde. Eingrenzen kann ich das, wenn ich es mit weniger veränderten Bereichen vergleiche - wurde jedoch die Platte komplett beschrieben, entfällt diese Option.
[quoote]Womit sich aber nachweisen lässt, dass eine Datei drauf war. Z.B. bei KiPo.
Wobei man da zum Prüfen auch reicht, wenn man Fragmente eines Videos finden kann.[/QUOTE]
Ich fänd's zwar gut, wenn das nennenswerten Erfolg hätte, aber es läuft leider auf den selben Catch hinaus: Entweder weiß ich schon, was auf der Platte drauf war und muss es gar so aufwändig nachweisen, oder ich führe Abgleiche mit belastendem Archivmaterial durch, was den Aufwand exponentiell erhöht und natürlich einen Haufen falsch-positive Ergebnisse liefert. Am erfolgversprechendsten dürfte es sei, wenn man einen ungelöschten Datenträger sichergestellt hat und anderen Verdächtigen nachweisen möchte, dass sie 1:1-Kopien davon gezogen haben.
Aber auch das sollte leicht zu torpedieren sein: Einfach nach dem sicheren Löschen noch mal ein paar unverfängliche Daten draufkopieren, vorzugsweise mehrere von unterschiedlichen Quellen auf einmal, um die Fragmentierung zu erhöhen. Das sollte schon genügen, um jedes auf Bit-Ebene erkennbare Muster zu unterbrechen.
Oder übersehe ich da was? Bin schon etwas müde ...