Kurz ein altes Thema hochgeholt. Sicherheitsexperte Marko Rogge hat 2019 einen kleinen Forensik-Leitfaden mit Hinweisen zum Finden von gesendeten, kopierten und gelöschten Daten erstellt. Das Ganze bezieht sich auf eine Windows-Umgebung und der Leitfaden ist als Waschzettel zu verstehen, was man bei Cybervorfällen tun kann und beachten sollte. Leider bricht der Link auf Google Drive immer wieder. Ich habe von Marko Rogge aber das OK, die PDF-Fassung im Blog anbieten zu können – in der Hoffnung, dass der Link zum Download länger hält. Details finden sich im Artikel Marko Rogge: Kleiner Forensik-Leitfaden. Vielleicht kann das jemand brauchen.
Translate
Suchen
Blogs auf Borncity
Spenden und Sponsoren
Den Blog durch Spenden unterstützen.
Aus dem DNV-Netzwerk
- Gaming-Monitore 2026: LG, Xiaomi und Samsung setzen neue Maßstäbe News 25. Februar 2026
- Anthropic: Pentagon fordert Löschung von KI-Ethik-Regeln News 25. Februar 2026
- PayPal im Übernahmefieber: Rivalin Stripe als mögliche Käuferin News 25. Februar 2026
- Google setzt mit Gemini 3.1 Pro neue Maßstäbe in der KI News 25. Februar 2026
- Figure Technologies: Daten von einer Million Nutzern gestohlen News 25. Februar 2026
Links
Amazon
Awards
MVP: 2013 – 2016
WIMVP: 2017 – 20202015
Blogroll
Soziale Netzwerke-Seiten
Foren
Um mir den Moderationsaufwand zu ersparen, empfehle ich eines der unter Websites verlinkten Angebote. Im Microsoft Answers-Forum bin ich gelegentlich noch als Moderator zu Windows-Themen unterwegs.
Neueste Kommentare
- Damiel bei Windows 11 24H2 – 25H2: Preview Update KB5077241 (24. Feb. 2026)
- Marcus bei E-Mail-Zustellprobleme an Hotmail? (25. Feb. 2026)
- noway bei Sammlung von KI-Splittern und -Torheiten (Feb. 2026)
- Ckarolin bei Discord: Altersverifikation soll erst im 2. Hj. 2026 starten
- Servas bei Windows 11: Nvidia bestätigt Probleme mit dem Januar 2026 Update KB5074109
- Luzifer bei Discord: Altersverifikation soll erst im 2. Hj. 2026 starten
- Simon bei Citrix "Experience": Die neue Lizenzierung ab 15. April 2026
- Red++ bei Sammlung von KI-Splittern und -Torheiten (Feb. 2026)
- Anonym bei Discord: Altersverifikation soll erst im 2. Hj. 2026 starten
- Anonym bei Discord: Altersverifikation soll erst im 2. Hj. 2026 starten
- Anonym bei KI-Folgen: Preiswelle rollt über Technik-Markt
- Anonym bei Neuer Hack bei brillen.de – 1,5 Millionen Kundendaten im Darknet aufgetaucht
- Anonym bei Neuer Hack bei brillen.de – 1,5 Millionen Kundendaten im Darknet aufgetaucht
- Knpk bei E-Mail-Zustellprobleme an Hotmail? (25. Feb. 2026)
- Roman Dzichel bei Microsoft Fehlkonfiguration bei DKIM-Einstellungen (MS 365) durch CNAME-Einträge
Ein Arbeitskollege hat vor einigen Wochen eine Datei lokal gelöscht (und dann auch im Papierkorb) und mich gebeten die wiederherzustellen.
Also mit c't Notfallwindows angerückt anstatt es mit Recuva als Portabler Version über USB-Stick zu versuchen und irritiert festgestellt das nichts gefunden wurde.
Dann mal an mein Notebook versucht, Datei gelöscht und im Papierkorb ebenfalls. Recuva fand die am vermuteten Ort. Dann Neustart des Rechners und weg war die Datei.
Kurze Recherche über Suchmaschiene der Wahl: SSD und Trim schlagen da zu.
Viel weiter habe ich dann nicht mehr geforscht. Also auch nicht ob es ein Unterschied zwischen Löschen per Kommandozeile (also ohne die Datei in den Papierkorb zu schieben) und dem Löschen über Papierkorb gibt was eine spätere Rettung angeht wenn man eine SSD anstatt Festplatte hat.
Nächstes Mal rücke ich gleich mit USB-Stick und rufe darüber Recuva auf.
Das schreibe ich weil ich in der PDF kein Suchtreffer bei SSD bekam. Kann da komplizierter werden.
@HessischerBub
Ich habe der Tage leider auch versehentlich einen Ordner gelöscht, das passiert mir seit Windows 8 immer mal wieder weil sich der Explorer irgendwie anders verhält als zuvor. Auch ich musste feststellen das da gar nichts mehr zu holen war! Ich hatte nichmal einen Neustart gemacht aber Recuva hat nichts gefunden ich habe dann noch versucht die Dateien aus dem Restorepoint zu bekommen aber da war auch nur Murks drin.
Fazit wichtige Daten auch nicht nur kurz in einem Ordner speichern der nicht im Backup ist :D
Wenn so etwas passiert, versuche es mal mit photorec. Vielleicht lassen sich die gelöschten Daten wohl wiederherstellen. Mehr hierzu? https://www.cgsecurity.org/wiki/PhotoRec
>>> das passiert mir seit Windows 8 immer mal wieder weil sich der Explorer irgendwie anders verhält als zuvor.
Das ist bereits seit Windows 7 der Fall(e) mit dem geänderten Verhalten…
Einfach das Raster für "drag & drop" auf quasi Unendlich setzen, dann verschiebt man auch nicht mehr aus Versehen Ordner umher, natürlich geht so etwas Bedienkomfort flöten, aber es ist verkraftbar.
HKEY_CURRENT_USERControl PanelDesktop
DragHeight und DragWidth auf 100 setzen, neustarten et voila :c)
Das mit der SSD und TRIM ist doch klar: Auf HDDs gibt es immer noch die Magnetspuren, solange die nicht überschrieben werden, bei SSDs wird die Speicherzelle gelöscht. Wenn man schnell genug ist und Glück hat, kann man es mit Recuva noch retten. Hat TRIM einmal zugeschlagen, ist's vorbei. Mit Neustart hat das weniger zu tun, vielmehr damit, ob das System beschäftigt war oder schon die Gelegenheit hatte zu löschen.
Bei SMR-Festplatten gibt es auch ein TRIM. Vermutlich birgt das ähnliche Fallen.
TRIM auf manuell setzen und Problem ist gelöst.