Kurz ein altes Thema hochgeholt. Sicherheitsexperte Marko Rogge hat 2019 einen kleinen Forensik-Leitfaden mit Hinweisen zum Finden von gesendeten, kopierten und gelöschten Daten erstellt. Das Ganze bezieht sich auf eine Windows-Umgebung und der Leitfaden ist als Waschzettel zu verstehen, was man bei Cybervorfällen tun kann und beachten sollte. Leider bricht der Link auf Google Drive immer wieder. Ich habe von Marko Rogge aber das OK, die PDF-Fassung im Blog anbieten zu können – in der Hoffnung, dass der Link zum Download länger hält. Details finden sich im Artikel Marko Rogge: Kleiner Forensik-Leitfaden. Vielleicht kann das jemand brauchen.
Translate
Suchen
Blogs auf Borncity
Spenden und Sponsoren
Den Blog durch Spenden unterstützen.
Aus dem DNV-Netzwerk
- iOS 26: So nutzen Sie den neuen Accessibility Reader News 16. Januar 2026
- Cyberkriminelle starten 2026 mit neuen Hybrid-Angriffen News 16. Januar 2026
- Google Fast Pair: Kritische Lücke macht Kopfhörer zu Wanzen News 16. Januar 2026
- Excel: Neue Funktionen IMPORTTEXT und IMPORTCSV revolutionieren Datenimport News 16. Januar 2026
- Panther Lake: Intels neuer Grafik-Chip verdoppelt AMDs Leistung News 16. Januar 2026
Links
Amazon
Awards
MVP: 2013 – 2016
WIMVP: 2017 – 20202015
Blogroll
Soziale Netzwerke-Seiten
Foren
Um mir den Moderationsaufwand zu ersparen, empfehle ich eines der unter Websites verlinkten Angebote. Im Microsoft Answers-Forum bin ich gelegentlich noch als Moderator zu Windows-Themen unterwegs.
Neueste Kommentare
- Andreas B. SH bei 25 Jahre Wikipedia
- Jan bei Windows 11 24H2/25H2: Citrix Director / Remote Assist funktioniert mit KB5074109 nicht mehr
- ARC4 bei AWS startet unter dem Begriff "AWS Digital Sovereignty" die "EU-Cloud"
- Martin S. bei AWS startet unter dem Begriff "AWS Digital Sovereignty" die "EU-Cloud"
- Matthias bei Patchday: Windows Server-Updates (13. Januar 2026)
- Sandra bei Windows 11 24H2/25H2: Citrix Director / Remote Assist funktioniert mit KB5074109 nicht mehr
- Günter Born bei Diskussion
- Flip bei Diskussion
- Luzifer bei Varonis legt Reprompt-Angriff auf Microsofts Copilot offen
- Olli bei Windows Server 2025: Drittanbieter-Dienste starten (auf DCs) nach KB5072033 nicht mehr
- Michael Uray bei MC1197103 – Exchange Online ActiveSync v16.1 ab März 2026 erforderlich
- MBDTeam bei Windows Server 2025: Drittanbieter-Dienste starten (auf DCs) nach KB5072033 nicht mehr
- Alex bei Windows Server 2025: Drittanbieter-Dienste starten (auf DCs) nach KB5072033 nicht mehr
- Michael Uray bei MC1197103 – Exchange Online ActiveSync v16.1 ab März 2026 erforderlich
- Textator bei Windows 11 24H2: Hängende RDP-Session als Problem
Ein Arbeitskollege hat vor einigen Wochen eine Datei lokal gelöscht (und dann auch im Papierkorb) und mich gebeten die wiederherzustellen.
Also mit c't Notfallwindows angerückt anstatt es mit Recuva als Portabler Version über USB-Stick zu versuchen und irritiert festgestellt das nichts gefunden wurde.
Dann mal an mein Notebook versucht, Datei gelöscht und im Papierkorb ebenfalls. Recuva fand die am vermuteten Ort. Dann Neustart des Rechners und weg war die Datei.
Kurze Recherche über Suchmaschiene der Wahl: SSD und Trim schlagen da zu.
Viel weiter habe ich dann nicht mehr geforscht. Also auch nicht ob es ein Unterschied zwischen Löschen per Kommandozeile (also ohne die Datei in den Papierkorb zu schieben) und dem Löschen über Papierkorb gibt was eine spätere Rettung angeht wenn man eine SSD anstatt Festplatte hat.
Nächstes Mal rücke ich gleich mit USB-Stick und rufe darüber Recuva auf.
Das schreibe ich weil ich in der PDF kein Suchtreffer bei SSD bekam. Kann da komplizierter werden.
@HessischerBub
Ich habe der Tage leider auch versehentlich einen Ordner gelöscht, das passiert mir seit Windows 8 immer mal wieder weil sich der Explorer irgendwie anders verhält als zuvor. Auch ich musste feststellen das da gar nichts mehr zu holen war! Ich hatte nichmal einen Neustart gemacht aber Recuva hat nichts gefunden ich habe dann noch versucht die Dateien aus dem Restorepoint zu bekommen aber da war auch nur Murks drin.
Fazit wichtige Daten auch nicht nur kurz in einem Ordner speichern der nicht im Backup ist :D
Wenn so etwas passiert, versuche es mal mit photorec. Vielleicht lassen sich die gelöschten Daten wohl wiederherstellen. Mehr hierzu? https://www.cgsecurity.org/wiki/PhotoRec
>>> das passiert mir seit Windows 8 immer mal wieder weil sich der Explorer irgendwie anders verhält als zuvor.
Das ist bereits seit Windows 7 der Fall(e) mit dem geänderten Verhalten…
Einfach das Raster für "drag & drop" auf quasi Unendlich setzen, dann verschiebt man auch nicht mehr aus Versehen Ordner umher, natürlich geht so etwas Bedienkomfort flöten, aber es ist verkraftbar.
HKEY_CURRENT_USERControl PanelDesktop
DragHeight und DragWidth auf 100 setzen, neustarten et voila :c)
Das mit der SSD und TRIM ist doch klar: Auf HDDs gibt es immer noch die Magnetspuren, solange die nicht überschrieben werden, bei SSDs wird die Speicherzelle gelöscht. Wenn man schnell genug ist und Glück hat, kann man es mit Recuva noch retten. Hat TRIM einmal zugeschlagen, ist's vorbei. Mit Neustart hat das weniger zu tun, vielmehr damit, ob das System beschäftigt war oder schon die Gelegenheit hatte zu löschen.
Bei SMR-Festplatten gibt es auch ein TRIM. Vermutlich birgt das ähnliche Fallen.
TRIM auf manuell setzen und Problem ist gelöst.