Dateien für immer löschen... ?
-
Christoph schrieb:
Nur dass das tatsächlich funktioniert, davon habe ich nur im Kontext uralter Platten gelesen und keineswegs im Kontext heutiger oder gestriger Spurdichten.
Um mal ein weiteres Gegenargument neben den heute viel zu hohen Spurdichten zu bringen: Wieso sollte man gerade die "letzten" Daten auslesen können? Wie will man die von den vorletzten oder den vorvorletzten unterscheiden können?
Ich verfolgte bisher diverse Newsgroup- und Foren-Threads zu dem Thema, alle kamen letztendlich mehr oder weniger zum Schluss, dass diese Aussage heute vermutlich nicht mehr zutreffend ist.
Wenn Du Dich mal nicht täuscht. Lies Dir in dem Zusammenhang mal die lustige Anklageschrift der Staatsanwaltschaft gegen den Bockwurst-Betreiber durch (kann man auf seiner Blogseite runterladen). Dort steht drin, dass die Bullerei seine Platte nach 1x Formatieren und neuem WinXP auspielen nochmal umgegraben hat und gewisse Fragmente im Zusammenhang mit seinen Anti-Leech Accounts gefunden hat. Sicherlich läßt sich nicht mehr alles 100%ig restaurieren, aber zumindest gibt es Anhaltspunkte.
Wichtig bei solchen Lösch-Geschichten ist immer, dass nach dem Löschen ein gleichmäßiger Datenrauschteppich entsteht, so dass die Forensiker keine Auffälligkeiten/Peaks (Bytehäufigkeiten) finden und einen Anhaltspunkt haben, wo sie suchen sollen. Das macht einen guten Löschalgo (Gutmann, US DoD), und in diesem Zusammenhang auch einen guten Verschlüsselungsalgo, aus.
-
lad dir einfach DBAN runter! das macht die festplatte komplett leer.
-
F98 schrieb:
Christoph schrieb:
Nur dass das tatsächlich funktioniert, davon habe ich nur im Kontext uralter Platten gelesen und keineswegs im Kontext heutiger oder gestriger Spurdichten.
Um mal ein weiteres Gegenargument neben den heute viel zu hohen Spurdichten zu bringen: Wieso sollte man gerade die "letzten" Daten auslesen können? Wie will man die von den vorletzten oder den vorvorletzten unterscheiden können?
Ich verfolgte bisher diverse Newsgroup- und Foren-Threads zu dem Thema, alle kamen letztendlich mehr oder weniger zum Schluss, dass diese Aussage heute vermutlich nicht mehr zutreffend ist.
Wenn Du Dich mal nicht täuscht. Lies Dir in dem Zusammenhang mal die lustige Anklageschrift der Staatsanwaltschaft gegen den Bockwurst-Betreiber durch (kann man auf seiner Blogseite runterladen). Dort steht drin, dass die Bullerei seine Platte nach 1x Formatieren und neuem WinXP auspielen nochmal umgegraben hat und gewisse Fragmente im Zusammenhang mit seinen Anti-Leech Accounts gefunden hat. Sicherlich läßt sich nicht mehr alles 100%ig restaurieren, aber zumindest gibt es Anhaltspunkte.
Quelle?
Ich habe die (oder eine?) Anklageschrift gefunden, aber nichts über einen vollständig formatierten Datenträger darin gelesen.
Windows macht häufig nur Quickformat, gerade beim Neuinstallieren passiert das schnell. Dass die Behörden wegen so eines Tatbestands eine korrekt überschriebene Platte versuchen wiederherzustellen, kann ich mir einfach sehr schwer vorstellen.
Bedenk bitte auch, um welche irrsinnigen Datenmengen es bei heutigen Platten geht, wenn man die auf physikalischer (analoger) Ebene versucht auszulesen.
-
vollständiges formatieren = Quick-Format + Datenträgerüberprüfung
-
Christoph schrieb:
Quelle? Ich habe die (oder eine?) Anklageschrift gefunden, aber nichts über einen vollständig formatierten Datenträger darin gelesen.
Ich dachte Google hilft?
Nuja: http://blog.dark-born.eu/dbb/?p=92 (unten)
-
F98 schrieb:
Christoph schrieb:
Quelle? Ich habe die (oder eine?) Anklageschrift gefunden, aber nichts über einen vollständig formatierten Datenträger darin gelesen.
Nuja: http://blog.dark-born.eu/dbb/?p=92 (unten)
Genau diese Seite und Anklageschrift habe ich schon gelesen.
Ich les in der Anklageschrift nur von sichergestellten Datenträgern, aber nichts darüber, ob oder wie die formatiert wurden.
Meine Vermutung: Es wurde (womöglich unabsichtlich oder unbewusst) nur ein Quickformat durchgeführt.
-
Hm, wenn es so absolut unmöglich ist, die Daten einer vollständig formatierten HDD auch nur teilweise wieder herzustellen, bedeutet das, dass all die Recovery-Firmen Betrüger sind?!?
Die bauen die einzelnen Scheiben aus der HDD aus und legen sie in Lesegeräte, die ein zigfaches empfindlicher sind, als die Schreib-Lese-Köpfe. Ich würde mich nicht darauf verlassen, dass es unmöglich ist - nur schweineteuer.
-
Joe_M. schrieb:
Hm, wenn es so absolut unmöglich ist, die Daten einer vollständig formatierten HDD auch nur teilweise wieder herzustellen, bedeutet das, dass all die Recovery-Firmen Betrüger sind?!?
Nenn mir eine Recovery-Firma, die behauptet, von einmal komplett überschriebenen Platten Daten retten zu können.
Ich meine es war in de.comp.security.misc, wo festgestellt wurde, dass die Firmen vor vielen Jahren mal nach und nach aufgehört haben damit zu werben. Wenn es für eine Datenrettungs-Firma möglich wäre, selbst teuer, würden die IMHO ganz bestimmt auch heute noch damit werben.
-
Christoph schrieb:
Ich les in der Anklageschrift nur von sichergestellten Datenträgern, aber nichts darüber, ob oder wie die formatiert wurden.
Meine Vermutung: Es wurde (womöglich unabsichtlich oder unbewusst) nur ein Quickformat durchgeführt.Lies mal Seite 19 genau durch!
Zitat (Habs extra nochmal abgetippt, da das PDF aus Bildern besteht):
"Die Auswertung des Rechners hat zudem ergeben, dass die Festplatte am 26.01.2005 um 18:24 Uhr -also 1 Tag nach der Durchsuchung bei dem Angeschuldigten "XXXXXX" neu formatiert wurde. Danach wurde das Betriebssystem Windows XP neu aufgespielt.
Bei der Durchsuchung der Festplatte nach Fragmenten der vor der Formatierung gespeicherten Daten konnten mehr als 1000 Treffer für die Suchbegriffe "JaQue", "Maximus2" ..."Daraus ergeben sich folgende Schlüsse:
1. Die Polizei war schlampig, hat bei der 1. Durchsuchung nicht alles mitgenommen.
2. Der Typ war doof, hat noch einen Tag zum Platte Löschen Zeit gehabt und hat es nicht hinbekommen belastendes Material zu vernichten.
3. Es ist trotz 1x formatieren und WinXP aufspielen noch möglich vorherige Daten einzusehen
4. Die Ermittler haben anscheinend nur nach dem Auftreten best. Begriffe gesucht, direkte zusammenhängende Daten konnten anscheinend nicht rekonstr. werden.
-