Kurz ein altes Thema hochgeholt. Sicherheitsexperte Marko Rogge hat 2019 einen kleinen Forensik-Leitfaden mit Hinweisen zum Finden von gesendeten, kopierten und gelöschten Daten erstellt. Das Ganze bezieht sich auf eine Windows-Umgebung und der Leitfaden ist als Waschzettel zu verstehen, was man bei Cybervorfällen tun kann und beachten sollte. Leider bricht der Link auf Google Drive immer wieder. Ich habe von Marko Rogge aber das OK, die PDF-Fassung im Blog anbieten zu können – in der Hoffnung, dass der Link zum Download länger hält. Details finden sich im Artikel Marko Rogge: Kleiner Forensik-Leitfaden. Vielleicht kann das jemand brauchen.
Translate
Suchen
Blogs auf Borncity
Spenden und Sponsoren
Den Blog durch Spenden unterstützen.
Aus dem DNV-Netzwerk
- Acer RX 9060 XT: BIOS-Update für 8-GB-Grafikkarte aufgetaucht News 18. März 2026
- Logitech G RS H-Shifter: Premium-Schaltknüppel für Sim-Racer News 18. März 2026
- NVIDIA DLSS 3: Unsichtbares Update verdoppelt Leistung für RTX 40-Grafikkarten News 18. März 2026
- NVIDIA definiert mit KI-Chip und DLSS 5 die Zukunft des PC News 18. März 2026
- ZEW-Konjunkturerwartung stürzt ab – Deutschlands KI-Ambitionen in Gefahr News 17. März 2026
Links
Amazon
Awards
MVP: 2013 – 2016
WIMVP: 2017 – 20202015
Blogroll
Soziale Netzwerke-Seiten
Foren
Um mir den Moderationsaufwand zu ersparen, empfehle ich eines der unter Websites verlinkten Angebote. Im Microsoft Answers-Forum bin ich gelegentlich noch als Moderator zu Windows-Themen unterwegs.
Neueste Kommentare
- DocROFL bei Gerücht: Microsoft will KI-Bloatware (Copilot) sparsamer in Windows 11 einsetzen
- Ottilius bei Sicherheitsmeldungen: Fake VPN-Clients; Fake Claud Code-Seiten, Opfer der Oracle EBS Hacks und mehr
- JanM bei MC1247893: Phishing-resistente Windows-Anmeldung durch Microsoft Entra-Passkeys (Preview verfügbar)
- R.S. bei Sicherheitsmeldungen: Fake VPN-Clients; Fake Claud Code-Seiten, Opfer der Oracle EBS Hacks und mehr
- Luzifer bei Sicherheitsmeldungen: Fake VPN-Clients; Fake Claud Code-Seiten, Opfer der Oracle EBS Hacks und mehr
- Red++ bei Outlook-Umlaute-Problem wohl durch Microsoft im März 2026 behoben
- Red++ bei Sicherheitsmeldungen: Fake VPN-Clients; Fake Claud Code-Seiten, Opfer der Oracle EBS Hacks und mehr
- Froschkönig bei Gerücht: Microsoft will KI-Bloatware (Copilot) sparsamer in Windows 11 einsetzen
- Günter Born bei Erinnerung: Im April 2026 endet die Unterstützung für Windows Deployment Service (WDS)
- roland krause bei Buhl Data Service GmbH: Massive Qualitätsprobleme bei Produkten?
- Hansi bei Diskussion
- M.W. bei Erinnerung: Im April 2026 endet die Unterstützung für Windows Deployment Service (WDS)
- Franz bei MC1247893: Phishing-resistente Windows-Anmeldung durch Microsoft Entra-Passkeys (Preview verfügbar)
- R.S. bei Sicherheitsmeldungen: Fake VPN-Clients; Fake Claud Code-Seiten, Opfer der Oracle EBS Hacks und mehr
- Bolko bei Samsung Galaxy S22: Feb. 2026-Update zwingt manche Geräte in Boot-Schleife
Ein Arbeitskollege hat vor einigen Wochen eine Datei lokal gelöscht (und dann auch im Papierkorb) und mich gebeten die wiederherzustellen.
Also mit c't Notfallwindows angerückt anstatt es mit Recuva als Portabler Version über USB-Stick zu versuchen und irritiert festgestellt das nichts gefunden wurde.
Dann mal an mein Notebook versucht, Datei gelöscht und im Papierkorb ebenfalls. Recuva fand die am vermuteten Ort. Dann Neustart des Rechners und weg war die Datei.
Kurze Recherche über Suchmaschiene der Wahl: SSD und Trim schlagen da zu.
Viel weiter habe ich dann nicht mehr geforscht. Also auch nicht ob es ein Unterschied zwischen Löschen per Kommandozeile (also ohne die Datei in den Papierkorb zu schieben) und dem Löschen über Papierkorb gibt was eine spätere Rettung angeht wenn man eine SSD anstatt Festplatte hat.
Nächstes Mal rücke ich gleich mit USB-Stick und rufe darüber Recuva auf.
Das schreibe ich weil ich in der PDF kein Suchtreffer bei SSD bekam. Kann da komplizierter werden.
@HessischerBub
Ich habe der Tage leider auch versehentlich einen Ordner gelöscht, das passiert mir seit Windows 8 immer mal wieder weil sich der Explorer irgendwie anders verhält als zuvor. Auch ich musste feststellen das da gar nichts mehr zu holen war! Ich hatte nichmal einen Neustart gemacht aber Recuva hat nichts gefunden ich habe dann noch versucht die Dateien aus dem Restorepoint zu bekommen aber da war auch nur Murks drin.
Fazit wichtige Daten auch nicht nur kurz in einem Ordner speichern der nicht im Backup ist :D
Wenn so etwas passiert, versuche es mal mit photorec. Vielleicht lassen sich die gelöschten Daten wohl wiederherstellen. Mehr hierzu? https://www.cgsecurity.org/wiki/PhotoRec
>>> das passiert mir seit Windows 8 immer mal wieder weil sich der Explorer irgendwie anders verhält als zuvor.
Das ist bereits seit Windows 7 der Fall(e) mit dem geänderten Verhalten…
Einfach das Raster für "drag & drop" auf quasi Unendlich setzen, dann verschiebt man auch nicht mehr aus Versehen Ordner umher, natürlich geht so etwas Bedienkomfort flöten, aber es ist verkraftbar.
HKEY_CURRENT_USERControl PanelDesktop
DragHeight und DragWidth auf 100 setzen, neustarten et voila :c)
Das mit der SSD und TRIM ist doch klar: Auf HDDs gibt es immer noch die Magnetspuren, solange die nicht überschrieben werden, bei SSDs wird die Speicherzelle gelöscht. Wenn man schnell genug ist und Glück hat, kann man es mit Recuva noch retten. Hat TRIM einmal zugeschlagen, ist's vorbei. Mit Neustart hat das weniger zu tun, vielmehr damit, ob das System beschäftigt war oder schon die Gelegenheit hatte zu löschen.
Bei SMR-Festplatten gibt es auch ein TRIM. Vermutlich birgt das ähnliche Fallen.
TRIM auf manuell setzen und Problem ist gelöst.