Feststellung des Löschdatums - Detektivarbeit

[fandelfinger]

Hallo zusammen

Mein Vater hat in seiner Kanzlei ein recht delikates Problem. Er hat eine neue Sekretärin eingestellt und die Vorgängerin hat, so wie es aussieht, vor ihrem selbst gewollten Abgang wohl noch ein wenig gewütet und jede Menge Schriftsätze in Dateiform von der Festplatte gelöscht, Passwörter geändert usw.

Ich soll ihr nun die Löschung nachweisen und feststellen, wann genau diese Dateien gelöscht worden sind, einzelne würden bereits genügen.

Ich bin schon den ganzen Vormittag am Suchen, habe einige Programme ausprobiert, bin aber immer noch nicht fündig geworden. Das Dateisystem der Festplatte ist NTFS.

Wäre toll, wenn ihr mir Tipps geben könntet!

Viele Grüße

fandelfinger

 

[norinred]

ersteinmal musst du ja erst die dateien wiederhestellen.
das kannst du z.bsp. hiermit machen. http://www.recover4all.de/

wenn du die dateien wiederhergestellt hast, kannst du in den eigenschaften mal nach hinweisen suchen. ob du da den nutzernamen des "löschers" findest weiß ich nicht genau. dafür hätte man vorher wahrscheinlich die dateiüberwachung aktivieren müssen.

 

[Noxman]

Hallo fandelfinger,

ich habe deinen Thread mal ins Datenrettungsprum verschoben weil du hier wahrscheinlich bessere Tipps zu deinem Problem bekommen wirst!

Gruss Nox

 

[fandelfinger]

@Noxman,

Vielen Dank

Edit: ----------------

@norinred,

Danke für den Tipp. Ich habe das Programm mal heruntergeladen. Mit der Wiederherstellung warte ich aber lieber noch, bis mehr Tipps gepostet worden sind. Meines Wissens protokolliert Windows Löschungen nicht. Falls es einen Weg gibt, über den ich an die gesuchten Informationen gelangen kann, möchte ich ganz sicher sein, dass ich gleich den richtigen einschlage, bevor ich womöglich wichtige Hinweise zerstöre.


Bitte keine Komplettzitate und Doppelposts erstellen! Siehe unser Regelwerk.
Noxman

 

[TeufelFreak]

Also ich würde in so einem Fall damit zu einem Computerfachman gehen der sowas öfter macht, ich würde auch in jedem fall wenn du es selber ausprobieren möchtest es auf deinem Rechner Instalieren, paar Dateien Löschen und erstmal schauen wie das alles geht

 

[kisser]

Am besten erst mal ein komplettes sektorweises 1:1 Image der Platte anfertigen als Backup.

 

[fandelfinger]

@TeufelFreak: Ich teste bisher nur auf meinem eigenen Rechner. Mein Vater hat sich bisher leider nicht überzeugen lassen, zu einem Fachmann zu gehen. Vorerst bin ich also noch auf mich alleine gestellt. Falls aber alle Stricke reißen, wird er diesen Schritt wohl oder übel tun müssen.

Edit: -------------------------

@kisser: Klasse Idee. Kann ich das vielleicht mit TrueImage machen? Das hätten wir nämlich.

 

[Noxman]

Hallo fandelfinger,

in Post #4 hatte ich dich gebeten keine Doppelposts zu erstellen! Kurze Zeit später verfasst du schon wieder einen. Bitte lies unsere Regeln und beachte sie bei deinen zukünftigen Posts!

Gruss Nox

 

[fandelfinger]

Ja, sorry. Ich bemühe mich!

 

[Sir_Sascha]

ja TrueImage wird gehen. Mach es mit der beiliegenden Boot-CD auf eine externe Platte.

 

[Mueli]

Man sollte unbedingt ein Image der Partition / Disk anfertigen, schon um einen unverfälschten Stand zu sichern. Die c't hatte in einem der letzten Hefte (aber auch schon früher) einen Artikel über Computer Forensik und darum geht es hier ja, mit Hinweisen zu Tools (vielfach Freeware) gebracht. Dort war ebenso die Vorgehensweise inkl. des Festhaltens (Image) des Istzustandes Bestandteil des Berichtes. Am besten ist es sicher, mit einer zweiten Disk und der bearbeitung dieser Copy, dann kann man die Original-Disk so belassen wie sie nach den Manipulationen hinterlassen wurde.

 

[easy.2ci]

Löschen, kopieren, modifzieren etc. heisst im Windows Jargon Objektzugriff.

Das Loggen der Objektzugriffe findet bei XP und Server2003 im Auslieferungszustand nicht statt, da so schnell riesige Logs zusammen kommen und man so seine Logs in der Ereignisanzeige zumüllt, oder falls diese Größenlimitiert sind dafür sorgt, daß man nur noch die letzten 2 Minuten im Log hat.

Also wenn du diesen Objektzugriff nicht selbst vorher eingeschaltet hast, dann kann dir niemand sagen, wer was gemacht hat.

Bevor du weiter am Rechner Aktionen ausführst, sollte der erste Schritt die Wiederherstellung der Daten sein.

Beim Löschen verschwinden diese Daten nicht von der Platte, sondern die betroffenen Sektoren werden nur als frei in der MFT markiert. Wenn du Pech hast werden die also relativ schnell wieder mit neuen Daten beschrieben, wenn du Glück hast, kannst du noch einige Zeit später die Daten restaurieren.

Für die Zukunft also eine gescheite Backup Strategie ausarbeiten, um auch vor korrupten oder anderweitig kriminellen Mitarbeitern geschützt zu sein.

Gruß

 

[fandelfinger]

@easy.2ci:

Danke für die ausführlichen Erläuterungen. Man lernt halt nie aus

Eigentlich sieht unser Backup-Plan ein wöchentliches Backup vor, das, wie sich nun herausgestellt hat, von unserer lieben Ex-Sekretärin konsequent vermieden worden ist. Man könnte fast meinen, sie hätte das von langer Hand geplant Allerdings habe ich vor drei Wochen eigenhändig ein Komplett-Backup durchgeführt, da ich irgendwie geahnt habe, dass von dieser Person noch Schlimmes zu erwarten ist. Sämtliche verlorene Schriftsätze des betroffenen Zeitraums liegen Gott sei Dank in ausgedruckter Form noch vor. So hält sich der Schaden in Grenzen. Auch die passwortgeschützten Datenbanken werden sich mit geringem Datenverlust durch ein Aufspielen meines Backups wieder herstellen lassen.

Ich hatte gehofft, das NTFS Löschvorgänge mit Datum und Uhrzeit protokolliert, so, wie es das bei Schreibzugriffen z.B. tut. Unsinnig, wenn auch in diesem speziellen Fall sehr nützlich, wäre die Protokollierung des Löschvorgangs einer dann gelöschten, und damit dem Zugriff des Benutzers entzogenen, Datei aber zugegebenermaßen schon.

Für meinen Vater wäre der erfolgreiche Nachweis ein kleiner moralischer Sieg gewesen, aber wenn es wirklich keinen Weg gibt, den Löschzeitpunkt zu rekonstruieren, wird er eben mit blauem Auge nach vorn sehen müssen.

Viele Grüße

fandelfinger