Skip to main content

TU MEHR: DIY Computer Forensics: Wiederherstellen einer gelöschten Datei - 2020

USB Keylogger mit Wifi - VORSICHT! - Security Awareness (September 2020).

Anonim

Ich bin ein großer Fan von Zombie-Filmen und habe mich immer gefragt, ob Sie dasselbe Konzept anwenden könnten, um Dateien von den Toten zurückzubringen? Ich spreche nicht von dem virtuellen "Papierkorb". Das ist einfach. Ich spreche gerade von dem, was ich gelöscht habe, und zwar aus dieser Datei, und jetzt, wo ich will, dass ich ihn zurückbringe. Kann es gemacht werden

Nun, ich habe einige Nachforschungen und praktische Tests durchgeführt und freue mich, Ihnen mitteilen zu können, dass Sie in einigen Fällen Akten von den Toten mitbringen können. Natürlich gibt es einige Vorbehalte, und Sie benötigen auch spezielle forensische Datenwiederherstellungstools (kostenlose Testversuche zu Testzwecken), aber wir werden das in einer Minute erledigen.

Was passiert, wenn eine Datei gelöscht wird?

Sprechen wir darüber, was passiert, wenn eine Datei gelöscht wird. In vielen Betriebssystemen werden die Daten der Datei in einen temporären Aufbewahrungsbereich verschoben, z. B. in den "Papierkorb", wo sie wiederhergestellt oder gelöscht werden können, sodass der belegte Speicherplatz freigegeben werden kann. Aber was passiert wirklich? In vielen Fällen wird nur der Zeigerdatensatz entfernt, an dem sich die Daten der Datei auf der physischen Festplatte befanden. Dies kann auch nach dem Leeren des Papierkorbs der Fall sein.

Was ist mit den Daten? Ist es noch da?

Wenn das Betriebssystem keine sichere Löschfunktion verwendet, bleiben die tatsächlichen Daten möglicherweise erhalten. Sie können sie nur im Dateiverzeichnis sehen, es sei denn, Sie verfügen über das richtige Werkzeug (cue CSI-Titelmusik als Kopf Kerl setzt seine Sonnenbrille auf).

Ich habe in der Vergangenheit einige angebliche Tools zur Wiederherstellung von Dateien ausprobiert. Die, die ich als am wirkungsvollsten erwiesen habe, ist das Programm R-Studio von R-Tools Technology. R-Studio ist eine forensische Datenwiederherstellungslösung für hohe Anforderungen. Der Preis reicht von 49,99 $ bis 899,99 $, abhängig davon, welche Art von Lizenz Sie erwerben und von welchem ​​Dateisystem Sie Daten wiederherstellen möchten (z. B. FAT32, NTFS usw.).

Eine kostenlose Demokopie ist verfügbar, mit der Sie Ihre Festplatte nach gelöschten Dateien durchsuchen können, die möglicherweise wiederhergestellt werden können. Mit der Demo können Sie nur Dateien wiederherstellen, die weniger als 64 KB umfassen, aber Sie können zumindest scannen, um zu sehen, ob die Datei, von der Sie glauben, dass sie für immer verloren ist, möglicherweise immer noch wiederherstellbar ist.

R-tools warnt, dass Sie das Tool niemals auf derselben Festplatte installieren sollten, von der Sie versuchen, Daten wiederherzustellen. Der Grund dafür ist, dass bei der Installation eines Programms auf einem Datenträger, von dem Sie etwas wiederherstellen möchten, der Vorgang des Installierens der Software über den Bereich des Datenträgers geschrieben werden kann, der die wiederherzustellende Datei enthält.

Diese Software ist nicht für Computer-Neulinge gedacht, aber in den richtigen Händen ist R-Studio eine leistungsstarke Lösung für die Wiederherstellung nach einem Virenangriff, System-Hack oder wenn Ihr Shih Tzu beschließt, eine volle Flasche Bier auf den Laptop zu werfen . (Es war kein Zufall, sie tat es absichtlich).

Können die Bad Guys auch diese Tools verwenden?

Sie fragen sich wahrscheinlich, ob jemand diese forensischen Tools verwenden kann, um gelöschte Dateien zurückzubringen. Wie kann ich sicherstellen, dass das, was ich lösche, wirklich verschwunden ist, sodass die bösen Jungs es nicht mit denselben Tools wiederherstellen können? Es gibt drei Möglichkeiten, um Ihre Dateien so nicht wiederherstellbar wie möglich zu machen.

  • Verwenden Sie eine Verschlüsselungslösung für Dateien oder ganze Festplatten wie TrueCrypt (kostenlos erhältlich).
  • Verwenden Sie regelmäßig ein Datenträger-Fragmentierungswerkzeug (keine garantierte Form des Schutzes, aber es hilft).
  • Verwenden Sie beim Formatieren eines Festplattenlaufwerks ein Dienstprogramm zum sicheren Löschen von Laufwerken, das Null- oder Garbage-Daten auf das Laufwerk schreibt und mehrere Löschdurchgänge ausführt.

Die Software von R-tools behauptet, Daten von einem Laufwerk zurückholen zu können, auch wenn diese neu formatiert und partitioniert wurden (in einigen Fällen). Wenn Sie Ihren Computer verkaufen, ist es wahrscheinlich eine gute Idee, die Festplatte beizubehalten oder ein Dienstprogramm zum sicheren Löschen von Laufwerken zu verwenden, bevor Sie es verkaufen.