Kurz ein altes Thema hochgeholt. Sicherheitsexperte Marko Rogge hat 2019 einen kleinen Forensik-Leitfaden mit Hinweisen zum Finden von gesendeten, kopierten und gelöschten Daten erstellt. Das Ganze bezieht sich auf eine Windows-Umgebung und der Leitfaden ist als Waschzettel zu verstehen, was man bei Cybervorfällen tun kann und beachten sollte. Leider bricht der Link auf Google Drive immer wieder. Ich habe von Marko Rogge aber das OK, die PDF-Fassung im Blog anbieten zu können – in der Hoffnung, dass der Link zum Download länger hält. Details finden sich im Artikel Marko Rogge: Kleiner Forensik-Leitfaden. Vielleicht kann das jemand brauchen.
Translate
Suchen
Blogs auf Borncity
Spenden und Sponsoren
Den Blog durch Spenden unterstützen.
Aus dem DNV-Netzwerk
- WSU-Roboterarm erntet Äpfel mit sanftem Griff News 5. Februar 2026
- Microsoft Teams: Neues Fenster-Pinning für mehr Fokus News 5. Februar 2026
- Logitech G Pro X2 Superstrike: Neue Maus revolutioniert den Gaming-Klick News 5. Februar 2026
- WhatsApp-Sicherheitslücke gefährdet Milliarden Android-Nutzer News 5. Februar 2026
- Vivo X300 Ultra: Neuer Maßstab mit 7.000-mAh-Batterie und Doppel-200MP-Kamera News 5. Februar 2026
Links
Amazon
Awards
MVP: 2013 – 2016
WIMVP: 2017 – 20202015
Blogroll
Soziale Netzwerke-Seiten
Foren
Um mir den Moderationsaufwand zu ersparen, empfehle ich eines der unter Websites verlinkten Angebote. Im Microsoft Answers-Forum bin ich gelegentlich noch als Moderator zu Windows-Themen unterwegs.
Neueste Kommentare
- Carsten bei BSI-Warnung: Sicherheitslücken erfordern Kernel-Update in Linux
- peter0815 bei Secure Boot-Zertifikatswechsel: Ein Playbook von Microsoft – Teil 1
- D. Schmidt bei Strato: Störung bei E-Mails (5. Februar 2026)
- peter0815 bei Secure Boot-Zertifikatswechsel: Ein Playbook von Microsoft – Teil 1
- D. Schmidt bei Strato: Störung bei E-Mails (5. Februar 2026)
- Anonym bei LibreOffice 26.2 verfügbar
- peter0815 bei Secure Boot-Zertifikatswechsel: Ein Playbook von Microsoft – Teil 1
- Anonym bei LibreOffice 26.2 verfügbar
- Hackmack bei Strato: Störung bei E-Mails (5. Februar 2026)
- Red++ bei Firefox 148 soll einen "KI-Killswitch" bekommen
- Ralph bei BSI-Warnung: Sicherheitslücken erfordern Kernel-Update in Linux
- Stefan bei Strato: Störung bei E-Mails (5. Februar 2026)
- Hackmack bei Strato: Störung bei E-Mails (5. Februar 2026)
- Timo E. bei Strato: Störung bei E-Mails (5. Februar 2026)
- Deffner bei Strato: Störung bei E-Mails (5. Februar 2026)
Ein Arbeitskollege hat vor einigen Wochen eine Datei lokal gelöscht (und dann auch im Papierkorb) und mich gebeten die wiederherzustellen.
Also mit c't Notfallwindows angerückt anstatt es mit Recuva als Portabler Version über USB-Stick zu versuchen und irritiert festgestellt das nichts gefunden wurde.
Dann mal an mein Notebook versucht, Datei gelöscht und im Papierkorb ebenfalls. Recuva fand die am vermuteten Ort. Dann Neustart des Rechners und weg war die Datei.
Kurze Recherche über Suchmaschiene der Wahl: SSD und Trim schlagen da zu.
Viel weiter habe ich dann nicht mehr geforscht. Also auch nicht ob es ein Unterschied zwischen Löschen per Kommandozeile (also ohne die Datei in den Papierkorb zu schieben) und dem Löschen über Papierkorb gibt was eine spätere Rettung angeht wenn man eine SSD anstatt Festplatte hat.
Nächstes Mal rücke ich gleich mit USB-Stick und rufe darüber Recuva auf.
Das schreibe ich weil ich in der PDF kein Suchtreffer bei SSD bekam. Kann da komplizierter werden.
@HessischerBub
Ich habe der Tage leider auch versehentlich einen Ordner gelöscht, das passiert mir seit Windows 8 immer mal wieder weil sich der Explorer irgendwie anders verhält als zuvor. Auch ich musste feststellen das da gar nichts mehr zu holen war! Ich hatte nichmal einen Neustart gemacht aber Recuva hat nichts gefunden ich habe dann noch versucht die Dateien aus dem Restorepoint zu bekommen aber da war auch nur Murks drin.
Fazit wichtige Daten auch nicht nur kurz in einem Ordner speichern der nicht im Backup ist :D
Wenn so etwas passiert, versuche es mal mit photorec. Vielleicht lassen sich die gelöschten Daten wohl wiederherstellen. Mehr hierzu? https://www.cgsecurity.org/wiki/PhotoRec
>>> das passiert mir seit Windows 8 immer mal wieder weil sich der Explorer irgendwie anders verhält als zuvor.
Das ist bereits seit Windows 7 der Fall(e) mit dem geänderten Verhalten…
Einfach das Raster für "drag & drop" auf quasi Unendlich setzen, dann verschiebt man auch nicht mehr aus Versehen Ordner umher, natürlich geht so etwas Bedienkomfort flöten, aber es ist verkraftbar.
HKEY_CURRENT_USERControl PanelDesktop
DragHeight und DragWidth auf 100 setzen, neustarten et voila :c)
Das mit der SSD und TRIM ist doch klar: Auf HDDs gibt es immer noch die Magnetspuren, solange die nicht überschrieben werden, bei SSDs wird die Speicherzelle gelöscht. Wenn man schnell genug ist und Glück hat, kann man es mit Recuva noch retten. Hat TRIM einmal zugeschlagen, ist's vorbei. Mit Neustart hat das weniger zu tun, vielmehr damit, ob das System beschäftigt war oder schon die Gelegenheit hatte zu löschen.
Bei SMR-Festplatten gibt es auch ein TRIM. Vermutlich birgt das ähnliche Fallen.
TRIM auf manuell setzen und Problem ist gelöst.