(Forensik) Sicher gelöschte Bilder auf SD Karten wiederherstellbar?

[Maitry]

Hallo,
Wenn man JPG Bilder auf einer SD Karten (z.B: mit AS Comp Secure Eraser) 1 x überschreibt, wird dann auch genau der Datenbereich überschrieben? Denn Flashspeicher funktionieren ja anders als Festplatten.

- Kann es sein das man beim Überschrieben (sicher löschen) einen ganz anderen Bereich überschreibt und das Bild noch da ist?

- Oder sind eher nur Fragemente der Bilder übrig, da die Flashmedien ja ihre Speicherzellen öfter mal "tauschen" ?

- Können Forensiker sowas wiederherstellen?

 

[PC295]

Wenn die Datei oder der Bereich, wo die Datei lag überschrieben wurde, dann sind die Dateien unwiederherstellbar

- Können Forensiker sowas wiederherstellen?

Nein

 

[SpamBot]

Nein

Ich denke seine Frage war folgende: Schafft es das Programm wirklich die Zellen zu überschreiben auf welche das Bild war? Eine SD Karte hat ja einen internen Controller der da nochmal dazwischen funkt.

 

[Simpson474]

Flashspeicher funktioniert hier wirklich anders und einen Trim-Befehl gibt es bei SD-Karten auch nicht. Es besteht somit durchaus die Möglichkeit, dass man mit extremen Aufwand noch an die Daten kommen kann. Allerdings sind SD-Karten heute meist monolithisch aufgebaut (der NAND-Speicher ist z.B. im Controller integriert), wodurch die Datenrettung erschwert wird:
https://www.kuert-datenrettung.de/pressebereich/schlechte-karten-bei-der-datenrettung

 

[kieleich]

Für den Hausgebrauch gilt - wenn du die volle Kapazität per Zufallsdaten überschreibst und diese beim Lesen zurückbekommst (a la h2testw, oder bei Linux cryptsetup + badblocks -w), dann stellst du da gar nichts wieder her. Und mehr als formal nachweisbar die Nutzkapazität vollständig überschreiben kannst du auch nicht tun. Wenn dir das nicht reicht, musst du von Anfang an alles verschlüsseln.

Flashspeicher hat Performanzvorteile, wenn tatsächlich gelöscht wird. Je mehr gelöschte Zellen auf Vorrat da sind desto länger gibt es schnelle Schreibvorgänge. Zellen erst beim schreiben zu löschen ist langsam. Deine Daten heimlich aufzuheben hat so gesehen nur Nachteile.

Daher kannst du gut davon ausgehen, daß auch die Reserve tatsächlich gelöscht wird, und da keine Bilder mehr herzustellen sind. Bei SSDs kann Datenwiederherstellung auch ohne Überschreiben nach einem einfachen TRIM endgültig unmöglich sein.

 

[tollertyp]

@kieleich: Kurze Klugscheißer-Anmerkung: h2testw schreibt keine Zufallszahlen.

 

[kieleich]

Das wär schlecht.

https://www.heise.de/download/product/h2testw-50539

---> """ H2testw erzeugt zufällige Daten, schreibt diese in maximal rund 1 GByte große Dateien und speichert sie auf die Speicherkarte [...]

Zum Überschreiben wie zum Speicherkapazitättest sind Zufalldaten erforderlich, weil bei Nullen und Patterns entsprechende Mogelei möglich sind. Zufalldaten sind nicht komprimierbar, alles andere schon

Wenn du Zufalldaten schreibst und die gleichen Daten wieder herausbekommst, hast du formalen Beweis daß die Daten tatsächlich gespeichert worden sind, bei Nullen und allem anderen nicht

 

[tollertyp]

Mein Klugscheißen bezieht sich auf das Wort der Zufallszahlen.
Dann habe ich eine andere Interpretation von Zufallszahlen. Denn diese Zahlen sind nicht zufällig, sondern deterministisch. Da sie bei jedem Lauf gleich sind.

Anders würde eine Prüfung des Geschrieben auch schwer fallen.

Und Komprimierbarkeit würde ich persönlich nicht von Zufall abhängig machen ("Zufalldaten sind nicht komprimierbar, alles andere schon"). Weil das, was nach einer Kompression rauskommt, ist vieles, aber nicht zufällig.

 

[kieleich]

Ja klar, wenn du überprüfen willst, musst du das reproduzierbar haben. Ob das nun "echter" Zufall ist oder ein 128bit Seed / Key, das macht dann für den Anwendungsfall keinen Unterschied. Wenn h2testw da systemübergreifend immer den gleichen Schlüssel verwendet, wäre das natürlich schade und würde theoretisch auch wieder die Tür für Mogeleien öffnen. Aber selbst dann ist es jetzt sehr unwahrscheinlich daß das ausgenutzt wird.

Weil das, was nach einer Kompression rauskommt, ist vieles, aber nicht zufällig.

Da kannst du machen was du willst, das spielt dann keine Rolle mehr, wie du Zufallsdaten verhanswurstest. Davon kann der reale Speicherbedarf nur weiter steigen, nicht sinken. Kann man nicht optimieren.

 

[Maitry]

Danke Danke ! schonmal
Ich will nix widerherstellen, es geht um einen juristischen Fall eines Bekannten, um Beweismittel.
Beispiel: Besagter Bekannter schreibt (per Handycam oder Digicam) 10 Dateien auf eine SD Karte, löscht diese dann 1x mit Ascomp Secure Eraser (schein ein gutes Prog. zu sein!). Dieses überschreibt genau die 10 Dateien 1x mit Zufallszahlen (laut Programm).
Frage: Was können Forensiker da wieder herstellen?

Die Antworten waren ja schonmal recht aufklärend. Fast nix, da die SD Karten monolithisch sind.

 

[tollertyp]

Also auf einem AMD Ryzen System mit Windows 10 werden bei h2testw dieselben Daten geschrieben wie auf einem Intel-Laptop mit aktueller Windows 11 Preview. Ich denke, das Verhalten ist bei dem Programm ja auch beabsichtigt, damit die Prüfung später auch noch durchgeführt werden kann an einem anderen System.

Nicht, dass ich zweifeln würde, dass sich das Proramm dafür eigenen würde. Im Gegenteil.

Wie gesagt, mir ging es ein wenig um das Wort "Zufall".

Und nochmal: Du sagtest "Zufalldaten sind nicht komprimierbar, alles andere schon" ist halt eine Aussage, die ich für ziemlich gewagt um nicht zu sagen falsch halte.

Die Gigabytes an Zufallsdaten, die h2testw schreibt, kann man doch in einem kleinen Algoirthmus super "komprimieren".

 

[kieleich]

Dieses überschreibt genau die 10 Dateien 1x mit Zufallszahlen (laut Programm).
Frage: Was können Forensiker da wieder herstellen?

Wenn du so fragst. Wenns blöd läuft, alles.

Es ist ein großer Unterschied, ob du eine Datei überschreibst oder ein ganzes Speichergerät. Dateien lassen sich wiederherstellen weil das Dateisystem das selber schon an eine ganz andere Adresse schreibt. Du hast überhaupt keine Garantie dafür, daß die Datei nur einmal existiert hat und inplace überschrieben wird.

Wenn schon überschreiben, dann alles voll. Gesamte Karte vom ersten bis zum letzten Byte. Sonst ist das nix.

Ich hab mal eine Digitalkamera gekauft, und eine gebrauchte bekommen. Da war keine Speicherkarte drin aber die Kamera hatte einen internen Speicher für 2-3 Bilder und da waren auch 2-3 Bilder drin. Ging dann zurück. So gesehen auch nicht verkehrt mit der Kamera paarmal Raufasertapete zu fotografieren.

 

[Maitry]

Genau das meinte ich! Gezielt Dateien 1x überschreiben.
(Klar, wenn man alles überbügelt dann ist auch alles gelöscht.)
Bei HDDs klappt das. 12TB HDD, 5 Dateien stehen irgendwo drauf. Und wenn man diese 5 jetzt mit nem Löschprog. 1x überschreibt, dann wird auch genau diese Stelle überschrieben. Und Endegelände.

Ergänzung (28. August 2021)

Dateien lassen sich wiederherstellen weil das Dateisystem das selber schon an eine ganz andere Adresse schreibt. Du hast überhaupt keine Garantie dafür, daß die Datei nur einmal existiert hat und inplace überschrieben wird.

Das ist mir neu. Gängig sind NTFS, FAT, FAT32. Wo gibt es da irgendwelche Redundanz ?
Wenn Dateisysteme sowas machen würden, wären gängige Löschprogramme für einzelne Dateien wertlos !

 

[kieleich]

Wenn die Datei tatsächlich jemals nur 1x existiert hat, und wenn das Dateisystem das tatsächlich inplace überschriebt, dann kann das klappen, ja.

Bei SSDs wird hier schon kopiert. Überschreiben bei SSDs funktioniert durch kopieren und neuschreiben. Die SSD kann einzelne Pages nicht köschen, nur ganzen Erase-Block. Aber es ist ja wie gesagt im Interesse der Performanz daß das tatsächlich gemacht wird also. Kann ja trotzdem klappen.

Dir fehlt halt nur jeder Nachweis, daß diese Rahmenbedingungen tatsächlich zutreffend sind.

Einmal im Photoshop auf Speichern drücken und du hast ne Kopie, jeder Bildbetrachter macht ne Kopie, der Dateimanager macht Kopien und erzeugt neue Bilder (Thumbnails), ...

Daß das Dateisystem da gegen dich arbeiten kann und das bei Journaling- u. Flashoptimierten Dateisystemen üblich ist, das ist dann nochmal ganz anderes Thema.

Beim Smartphone kommen dann noch externe Faktoren dazu, jedes Foto landet erstmal in der Cloud...

Ein isoliertes Speichermedium kannst du ganz gut löschen, das drum herum wird schwierig

 

[BFF]

Wenn das Programm die Dateien ausliest und gezielt mit was anderem von Anfang bist Ende der Dateien ueberschreibt ist da nix mehr zu holen. @HolyP

Voraussetzung natuerlich das das Programm wirklich genau weiss wo sich was von den Dateien befindet und das auch exakt umsetzt. Technisch machbar ist diese Art von Loeschung. Und voellig egal ob das SSD/HDD oder eine SD-Karte ist.

 

[Maitry]

Einmal im Photoshop auf Speichern drücken und du hast ne Kopie, jeder Bildbetrachter macht ne Kopie

OK Du meintest was anderes....
Aber das ist mir auch neu. Bist Du da sicher?? Ich dachte bei jedwedem Editieren + Speichern von Dateien wird immer der selbe Bereich überschrieben. .... ?

 

[tollertyp]

Es kommt halt ganz darauf an, wie das jeweilige Programm arbeitet.
Oft genug ist aber das Ersetzen des Inhalts das einzig sinnvolle. Bei einfachen Textdateien mag das anders sein, aber wenn z.B. ein komprimiertes Bild gespeichert wird, oder auch Office-Dokumente (die in einem Zip-Container liegen), dann wird sowieso mit jeder Änderung der Dateiinhalt vollständig ersetzt.

Das heißt beim Überspeichern einer Datei kann es sein, dass die alte Datei noch im Dateisystem als Leiche herumliegt, muss aber nicht. Wenn man sicher gehen will, dann hilft es nur, den kompletten (freien) Speicher mit anderen weniger nützlichen Daten vollzuschreiben.

@BFF: Bei SSDs (und jedem Speicher, der ähnlich arbeitet) aufgrund von Wear Leveling eben nicht zwingend.

 

[BFF]

Meine Aussage bezieht sich nicht auf geloeschte Dateien. Ich meine wirklich das Ueberschreiben des Inhaltes der Dateien so wie es das o.g. Proggie anbietet. @tollertyp

Anyway.
Im Endeffekt koennte man das Teil mal ausprobieren und sehen was da wirklich veranstaltet wird.
Ich persoenlich mag da keinen Budenzauber aka 32 Mal xyz nach Methode blah, weil eh unnoetig. Im einfachsten Fall reicht ja schon ein normales Loeschen der Dateien plus cipher /w.

 

[Maitry]

Voraussetzung natuerlich das das Programm wirklich genau weiss wo sich was von den Dateien befindet und das auch exakt umsetzt. Technisch machbar ist diese Art von Loeschung.

Und wieso sollte es das nicht exakt tun?
Im Filetable steht doch wo genau die Datei steht......

 

[BFF]

Ja klar steht das dort. Ohne dem wuerde ja niemand Dateien lesen koennen.

Aber Du fragst den Falschen wegen der Umsetzung.
Der Hersteller schreibt das sein Proggi das tut. Ob die Umsetzung auch 100% ist zu hoffen.
Es gab genug "Vorfaelle" in der Vergangenheit wo halt eben nicht zuverlaessig entmuellt wurde.

Im Endeffekt hilft wirklich nur Probieren.