Kurz ein altes Thema hochgeholt. Sicherheitsexperte Marko Rogge hat 2019 einen kleinen Forensik-Leitfaden mit Hinweisen zum Finden von gesendeten, kopierten und gelöschten Daten erstellt. Das Ganze bezieht sich auf eine Windows-Umgebung und der Leitfaden ist als Waschzettel zu verstehen, was man bei Cybervorfällen tun kann und beachten sollte. Leider bricht der Link auf Google Drive immer wieder. Ich habe von Marko Rogge aber das OK, die PDF-Fassung im Blog anbieten zu können – in der Hoffnung, dass der Link zum Download länger hält. Details finden sich im Artikel Marko Rogge: Kleiner Forensik-Leitfaden. Vielleicht kann das jemand brauchen.
Anzeige
Ein Arbeitskollege hat vor einigen Wochen eine Datei lokal gelöscht (und dann auch im Papierkorb) und mich gebeten die wiederherzustellen.
Also mit c't Notfallwindows angerückt anstatt es mit Recuva als Portabler Version über USB-Stick zu versuchen und irritiert festgestellt das nichts gefunden wurde.
Dann mal an mein Notebook versucht, Datei gelöscht und im Papierkorb ebenfalls. Recuva fand die am vermuteten Ort. Dann Neustart des Rechners und weg war die Datei.
Kurze Recherche über Suchmaschiene der Wahl: SSD und Trim schlagen da zu.
Viel weiter habe ich dann nicht mehr geforscht. Also auch nicht ob es ein Unterschied zwischen Löschen per Kommandozeile (also ohne die Datei in den Papierkorb zu schieben) und dem Löschen über Papierkorb gibt was eine spätere Rettung angeht wenn man eine SSD anstatt Festplatte hat.
Nächstes Mal rücke ich gleich mit USB-Stick und rufe darüber Recuva auf.
Das schreibe ich weil ich in der PDF kein Suchtreffer bei SSD bekam. Kann da komplizierter werden.
@HessischerBub
Ich habe der Tage leider auch versehentlich einen Ordner gelöscht, das passiert mir seit Windows 8 immer mal wieder weil sich der Explorer irgendwie anders verhält als zuvor. Auch ich musste feststellen das da gar nichts mehr zu holen war! Ich hatte nichmal einen Neustart gemacht aber Recuva hat nichts gefunden ich habe dann noch versucht die Dateien aus dem Restorepoint zu bekommen aber da war auch nur Murks drin.
Fazit wichtige Daten auch nicht nur kurz in einem Ordner speichern der nicht im Backup ist :D
Wenn so etwas passiert, versuche es mal mit photorec. Vielleicht lassen sich die gelöschten Daten wohl wiederherstellen. Mehr hierzu? https://www.cgsecurity.org/wiki/PhotoRec
>>> das passiert mir seit Windows 8 immer mal wieder weil sich der Explorer irgendwie anders verhält als zuvor.
Das ist bereits seit Windows 7 der Fall(e) mit dem geänderten Verhalten…
Einfach das Raster für "drag & drop" auf quasi Unendlich setzen, dann verschiebt man auch nicht mehr aus Versehen Ordner umher, natürlich geht so etwas Bedienkomfort flöten, aber es ist verkraftbar.
HKEY_CURRENT_USERControl PanelDesktop
DragHeight und DragWidth auf 100 setzen, neustarten et voila :c)
Das mit der SSD und TRIM ist doch klar: Auf HDDs gibt es immer noch die Magnetspuren, solange die nicht überschrieben werden, bei SSDs wird die Speicherzelle gelöscht. Wenn man schnell genug ist und Glück hat, kann man es mit Recuva noch retten. Hat TRIM einmal zugeschlagen, ist's vorbei. Mit Neustart hat das weniger zu tun, vielmehr damit, ob das System beschäftigt war oder schon die Gelegenheit hatte zu löschen.
Bei SMR-Festplatten gibt es auch ein TRIM. Vermutlich birgt das ähnliche Fallen.
TRIM auf manuell setzen und Problem ist gelöst.