Windows File Recovery: Kostenloses Tool zur Wiederherstellung gelöschter Dateien

Auch NTFS führt Schreibvorgänge nach Möglichkeit am Stück aus, schon aus Performancegründen. Außerdem sind die Blöcke groß genug, um ihre Zugehörigkeit rekonstruieren zu können. Erst wenn Laufwerke durch ständiges Löschen und Überschreiben keine großen, freien Bereiche mehr aufweisen, werden die Daten fein fragmentiert. Auf so einem Laufwerk, es reicht schon normales schreiben und 1-2 Defrag-Durchfläufe, wäre die geschilderte "Read Only"-Nutzung aber sowieso nicht gegeben. Die ist nur auf reinen Archivlaufwerken zu befürchten. Insbesondere wenn ganze Datensammlungen am Stück kopiert wurden, beispielsweise beim Wechsel von einer Festplatte auf eine neue oder gar bei Erstellung eines Images eines defragmentierten Laufwerks. Da hat man einen einzigen, sequentiellen Schreibvorgang und solange niemand etwas löscht (was bei Langzeitarchiven nicht der Fall sein sollte), werden die Daten nie wieder bewegt.

Stellt sich noch die Frage, wie Datenschutzsensibel Daten sind, die von Kauf bis Entsorgung unverändert auf einem Laufwerk schlummern.
 
Ja es wird sequentiell geschrieben. Aber man hat ja nicht nur Images und unkomprimierte Videos auf der Platte, die am Stück mehrere duzend GB belegen.
Gerade im Office hat man eher viele kleine Dateien. Und die verteilt NTFS irgendwo auf der Platte.

Im Gegensatz dazu hält Ext die Daten eines Nutzers wenn möglich in einem Bereich der Partition. Womit sich auch Dateifragmente einem Nutzer relativ eindeutig einem Nutzer zuordnen lassen, wenn da andere Dateien daneben da sind, bei denen das möglich ist.
 
PCGH_Torsten schrieb:
@Mahoy:
Wenn man von einer unvollständigen Überschreibung ausgeht, wäre die "Einsung" statt reiner Nullung für nur einmal beschriebenen Laufwerken sinnvoll. Eine mit 00000000 ausgelieferte Festplatte, die einmalig mit 00101010 beschrieben wurde, nur erneut mit 00000000 zu überschreiben, bedeutet dass weiterhin nur das dritte, fünfte und siebte Bit jemals den Zustand 1 hatten. Wenn es davon überhaupt Rückstände gibt, zeichnen die sich dann vergleichsweise deutlich gegenüber den Nur-Nullern ab.
Zum Vergrößern anklicken....

Du hast recht, von einer unvollständigen Überschreibung ging ich allerdings explizit nicht aus. Ich weiß, dass manche Software auch einzelne Dateien "sicher" löschen kann bzw. anbieten, nur die "belegten" bzw. "freien" Sektoren zu überschreiben. Damit geht ein Risiko einher, das ich nicht eingehen würde, egal wie gering.

Ich habe vor Jahren selektives Überschreiben aus Neugier ausprobiert (Bereits ahnend, dass das nicht sinnvoll sein kann ...) und festgestellt, dass man damit noch nicht einmal sonderlich Zeit und WearDown spart, selbst wenn die Festplatte nur zu einem Drittel beschrieben ist. Das Ansteuern der zu überschreibenden Sektoren frisst die Einsparung durch nicht zu überschreibende Sektoren wieder auf.
Also lieber einmal komplett drüber bügeln. Auch wenn dann einzelne Inhalte des Datenträgers bekannt sein sollten, ist es ohne Kenntnis der zuvor bestehenden Topografie praktisch unmöglich, diese anhand von erkannten Zuständen einzelner Bits zu rekonstruieren.

Wenn man eine exakte Kopie einer Datei hat, die sich auf dem Datenträger befand, kann man natürlich eine Art Binärschablone der Kopie anfertigen, diese über die rekonstruierten Bits legen und somit tatsächlich diese Datei komplett rekonstruieren. Aber eben nur diese spezifische Datei - die man ohnehin schon besitzt.

Sprich, zwischen "Ich bin Privatmensch oder Gewerbe treibend und möchte die Festplatte zu verkaufen und dafür einmal komplett überschreiben!" und "Ich bin Mitarbeiter eines total streng geheimen Geheimdienstes und wahnsinnig paranoid, weshalb ich Datenträger einmal überschreibe und dann mehrmals durchbohre, bevor ich mit der Dampfwalze drüberfahre, die Reste verbrenne und die Schlacke zusammen mit Atommüll endlagere!" gibt es eigentlich keine sinnvollen Zwischenschritte. Und selbst der Geheimdienstler macht vermutlich mehr, als nötig wäre, hat aber immerhin Spaß dabei. :D
 
Er meinte kein selektives Überschreiben, sondern dass sich am Wert eines Bits nichts ändert, wenn man den gleichen Wert dort hinschreibt (also eine 0 mit einer 0 oder eine 1 mit einer 1). Zumindest bei einer HDD.

Bei einer SSD muss der gesamte Block vor dem neu beschreiben gelöscht werden.


Mahoy schrieb:
Wenn man eine exakte Kopie einer Datei hat, die sich auf dem Datenträger befand, kann man natürlich eine Art Binärschablone der Kopie anfertigen, diese über die rekonstruierten Bits legen und somit tatsächlich diese Datei komplett rekonstruieren. Aber eben nur diese spezifische Datei - die man ohnehin schon besitzt.
Zum Vergrößern anklicken....

Womit sich aber nachweisen lässt, dass eine Datei drauf war. Z.B. bei KiPo.
Wobei man da zum Prüfen auch reicht, wenn man Fragmente eines Videos finden kann.
 
XT1024 schrieb:
Anreize schaffen. Warum für (ver)alte(te) Versionen anbieten?
Zum Vergrößern anklicken....
Keine Ahnung, bisher hat MS dazu anscheinend noch nichts sinnvolles veröffentlicht. Bei den Sysinternals-Tools gab/gibt es jedenfalls keine vergleichbare Einschränkung.

Mahoy schrieb:
Das dürfte zumindest so weit sicher sein, wie man der vom Hersteller gelieferten Software zur sicheren Löschung vertrauen kann.
Zum Vergrößern anklicken....
Ich habe noch von keiner einzigen SSD/keinem Controller gelesen, der bei sowas die Speicherzellen überschreibt. Da wird einfach der bisher von der Firmware genutzte Schlüssel verworfen und ein neuer generiert. Jetzt muss man, entgegen MS, nur noch der Firmware vertrauen und schon ist der Speicher auch am Controller vorbei nicht mehr in vertretbarem Zeitaufwand zu entschlüsseln.

Nichts anderes machen self encrypting HDDs (z.B. einige Seagate Exos X):
Seagate schrieb:
A significant feature of SEDs is the ability to perform a cryptographic erase. This involves the host telling the drive to change the data encryption key for a particular band. Once changed, the data is no longer recoverable since it was written with one key and will be read using a different key.
Zum Vergrößern anklicken....

Mahoy schrieb:
"Ich bin Mitarbeiter eines total streng geheimen Geheimdienstes und wahnsinnig paranoid, weshalb ich Datenträger einmal überschreibe und dann mehrmals durchbohre, bevor ich mit der Dampfwalze drüberfahre, die Reste verbrenne und die Schlacke zusammen mit Atommüll endlagere!" gibt es eigentlich keine sinnvollen Zwischenschritte.
Zum Vergrößern anklicken....
Zwischenstufen scheint es keine zu geben? Aber eins stimmt, solchen Firmen sind in der Regel die paar mickrigen Euro egal, die sie auf dem Gebrauchtmarkt noch für ihre Datenträger bekommen könnten. Die werden einfach geschreddert und gut ist.

Schon für die geringe Strafe, die Buchbinder droht (ja, die Daten wurden dort anders verschlampt, könnten aber genauso gut von einem verschrotteten Rechner der Buchhaltung stammen), muss man recht viele ausgediente SSDs über einen Dienstleister verkaufen. Für die Finanzierung der 9,5 Mio Strafe bei 1%1 dürfte noch nicht einmal der komplette Austausch aller HDDs ihrer Cloud ausreichen.

Im Gegensatz zu schlampigen Behörden in Deutschland achten solche Firmen daher auch darauf, dass die Verschrottung wirklich durchgeführt wird.
 
DKK007 schrieb:
Er meinte kein selektives Überschreiben, sondern dass sich am Wert eines Bits nichts ändert, wenn man den gleichen Wert dort hinschreibt (also eine 0 mit einer 0 oder eine 1 mit einer 1). Zumindest bei einer HDD.
Zum Vergrößern anklicken....

Bei einer HDD werden werden Sektoren beschrieben, die mehrere Bytes enthalten. Bits werden mittels Registerverschiebungen über Offsets eines Bytes adressiert: Stell dir acht Perlen auf einer Schnur vor; abgesehen von den Perlen an den Enden kommst du an keine Perle heran, ohne nicht gleichzeitig andere Perle zu bewegen. Der Wert der Bitkette kann sich also nicht *nicht* ändern und damit kann auch kein Byte und somit kein Sektor unveränderlich bleiben.

Verändere ich 00000000 zu 00101010, habe ich, je nachdem, ob Links-Shift/Big-Endian oder Links-Shift/Little-Endian bzw. Rechts-Shift/Big-Endian oder Rechts-Shift/Little-Endian, auch Bits "bewegt", deren Wert sich nicht verändert. Der magnetische Zustand hat sich somit auf jeden Fall geändert.

Was man jetzt machen kann ist, über magnetoptische Verfahren zu sichten, wie stark ein Bit insgesamt magnetisiert oder nicht magnetisiert wurde. Da man das Ganze aber auf das komplette Byte umlegen muss, geht das große Raten los, weil es immer mehrere Möglichkeiten gibt, wie der augenblickliche Zustand erzeugt wurde. Eingrenzen kann ich das, wenn ich es mit weniger veränderten Bereichen vergleiche - wurde jedoch die Platte komplett beschrieben, entfällt diese Option.

[quoote]Womit sich aber nachweisen lässt, dass eine Datei drauf war. Z.B. bei KiPo.
Wobei man da zum Prüfen auch reicht, wenn man Fragmente eines Videos finden kann.[/QUOTE]

Ich fänd's zwar gut, wenn das nennenswerten Erfolg hätte, aber es läuft leider auf den selben Catch hinaus: Entweder weiß ich schon, was auf der Platte drauf war und muss es gar so aufwändig nachweisen, oder ich führe Abgleiche mit belastendem Archivmaterial durch, was den Aufwand exponentiell erhöht und natürlich einen Haufen falsch-positive Ergebnisse liefert. Am erfolgversprechendsten dürfte es sei, wenn man einen ungelöschten Datenträger sichergestellt hat und anderen Verdächtigen nachweisen möchte, dass sie 1:1-Kopien davon gezogen haben.
Aber auch das sollte leicht zu torpedieren sein: Einfach nach dem sicheren Löschen noch mal ein paar unverfängliche Daten draufkopieren, vorzugsweise mehrere von unterschiedlichen Quellen auf einmal, um die Fragmentierung zu erhöhen. Das sollte schon genügen, um jedes auf Bit-Ebene erkennbare Muster zu unterbrechen.

Oder übersehe ich da was? Bin schon etwas müde ...
 
fotoman schrieb:
Im Gegensatz zu schlampigen Behörden in Deutschland achten solche Firmen daher auch darauf, dass die Verschrottung wirklich durchgeführt wird.
Zum Vergrößern anklicken....

Bzw. man führt halt selbst schon mal ein Überschreiben aller kritischen Daten durch, bevor die Platte den PC verlässt.

Mahoy schrieb:
Bei einer HDD werden werden Sektoren beschrieben, die mehrere Bytes enthalten. Bits werden mittels Registerverschiebungen über Offsets eines Bytes adressiert: Stell dir acht Perlen auf einer Schnur vor; abgesehen von den Perlen an den Enden kommst du an keine Perle heran, ohne nicht gleichzeitig andere Perle zu bewegen. Der Wert der Bitkette kann sich also nicht *nicht* ändern und damit kann auch kein Byte und somit kein Sektor unveränderlich bleiben.
Zum Vergrößern anklicken....

Es lassen sich nur ganze Sektoren, also 512 Byte lesen und schreiben.

Mahoy schrieb:
Oder übersehe ich da was? Bin schon etwas müde ...
Zum Vergrößern anklicken....

Irgendwas wir immer übersehen, und genau das muss man finden. ;)
 
Mahoy schrieb:
Bei einer HDD werden werden Sektoren beschrieben, die mehrere Bytes enthalten. Bits werden mittels Registerverschiebungen über Offsets eines Bytes adressiert: Stell dir acht Perlen auf einer Schnur vor; abgesehen von den Perlen an den Enden kommst du an keine Perle heran, ohne nicht gleichzeitig andere Perle zu bewegen. Der Wert der Bitkette kann sich also nicht *nicht* ändern und damit kann auch kein Byte und somit kein Sektor unveränderlich bleiben.

Verändere ich 00000000 zu 00101010, habe ich, je nachdem, ob Links-Shift/Big-Endian oder Links-Shift/Little-Endian bzw. Rechts-Shift/Big-Endian oder Rechts-Shift/Little-Endian, auch Bits "bewegt", deren Wert sich nicht verändert. Der magnetische Zustand hat sich somit auf jeden Fall geändert.

Was man jetzt machen kann ist, über magnetoptische Verfahren zu sichten, wie stark ein Bit insgesamt magnetisiert oder nicht magnetisiert wurde. Da man das Ganze aber auf das komplette Byte umlegen muss, geht das große Raten los, weil es immer mehrere Möglichkeiten gibt, wie der augenblickliche Zustand erzeugt wurde. Eingrenzen kann ich das, wenn ich es mit weniger veränderten Bereichen vergleiche - wurde jedoch die Platte komplett beschrieben, entfällt diese Option.
Zum Vergrößern anklicken....

Festplaten sind zwar in Sektoren organisiert, arbeiten aber auf physischer Ebene bitspezifisch. Da werden keine Bits bewegt beziehungsweise alle Bits bewegen sich ständig, aber mitsamt ihrer Speicherorte, sodass letztere keine Zustandsänderungen durchlaufen. :-)
Wenn du 00101010 auf einen 00000000-Abschnitt schreibst, dann werden zwar auch die unveränderten Bits neugeschrieben, aber eben mit dem ohnehin vorhandenen Wert. Solange keine Zwischenschritte aus etwaigen Berechnungsvorgängen abgespeichert werden (und das verhindert bei einer HDD möglicherweise schon der Laufwerkseigene Cache, wenn die Zugriffszeit länger als die Berechnungszeit ist) bleiben ungeänderte Bits also statisch. Selbst ein Bit-Shift von 00101010 auf 10101000 würde nur das erste und das siebste Bit beeinflussen, den Rest 1:1 überschreiben. Wenn nach einer Nullung Restmagnetisierungen im Bereich der ehemaligen 1er verbleiben, ließen sich diese also Eindeutung zuordnen, wenn an der entsprechenden Stelle die nie eine Bitfolge mit zusätzlichen 1ern an anderer Stelle gespeichert war.

(Ausgenommen von dieser Betrachtung sind natürlich die Fehlerkorrekturbereiche, die sich bei jedem Schreibvorgang von nicht vollständig identischen Daten deutlich verändern.)
 
PCGH_Torsten schrieb:
(Ausgenommen von dieser Betrachtung sind natürlich die Fehlerkorrekturbereiche, die sich bei jedem Schreibvorgang von nicht vollständig identischen Daten deutlich verändern.)
Zum Vergrößern anklicken....

Wobei man von diesen bei der Nutzung gar nichts mitbekommt und diese auch nicht einfach auslesen kann. Auch bei einem Datenträgerimage ließt man nur die Datenbereiche der Sektoren hintereinanderweg aus.

Afdia1.jpg
Sektorgroessen von Datentraegern – Thomas-Krenn-Wiki
 
Zuletzt bearbeitet:
Wenn du Restmagentisierungen messen beziehungsweise das absolute Niveau der Magnetisierung bestimmen willst, brauchst du Zugriff auf die Rohdaten der Leseköpfe beziehungsweise musst direkt an die Platter ran. Dann ließt du auch die ECC-Abschnitte mir aus. Wer nur den fertig interpretierten Datenstrom des Controllers interpretiert, wird keine Spuren überschriebener Informationen bemerken.
 
Einloggen o. Registrieren zum Antworten.

Ähnliche Themen

PCGH-Redaktion
News Windows 10: Update KB5033372 bringt Datei-Explorer von 2019 zurück
Antworten
4
Aufrufe
739
Sk3ptizist
Sk3ptizist
PCGH-Redaktion
News Für Windows 10 und 11: Microsoft bringt KI-Tool für die Foto-App
Antworten
1
Aufrufe
486
kingkoolkris
K
PCGH-Redaktion
News Technische Referenz jetzt kostenlos online
Antworten
0
Aufrufe
28
PCGH-Redaktion
PCGH-Redaktion
PCGH-Redaktion
News Windows 11: Papierkorb per KI leeren als neues Killerfeature?
2
Antworten
32
Aufrufe
1K
Dguv3
Dguv3
PCGH-Redaktion
News Tool umgeht Zwang für digitale Treiber-Signatur unter Vista-x64
Antworten
0
Aufrufe
34
PCGH-Redaktion
PCGH-Redaktion
Oben Unten
Zurück