HDD vollständig gelöscht (SecureEraser + Partic Magiced)Recovery findet Daten

[cartridge_case]

Einmal reicht auch. Da hast du recht. Dann sollte normalerweise nichts mehr rekonstruibar sein.

Plötzlich doch?!

 

[Shorty83]

Guten Abend, ich wollte nicht unbedingt ein neues Thema öffnen,
daher meine Frage hier.

Ich möchte meine 320Gb HDD sicher löschen um den Laptop mit Betriebssystem zu verkaufen.
Ich bin mir allerdings unsicher ob wirklich alles weg ist.

Mein Problem ist, das Recuva immer noch Dateien findet.

Also mal zum Ablauf

1. Löschen mit Eraser glaube 3 Durchläufe, ca. 16h
- überprüft mit Recuva und Diskdrill jeweils mit Tiefensuche
- es wurden bei beiden noch Datein gefunden

2. Löschen mit Eraser, Schneider 7 pass, mehr als einen Tag
- überprüft mit Recuva und Diskdrill jeweils mit Tiefensuche
- es wurden bei beiden noch Datein gefunden

3. Löschen mit dban 1 Durchlauf ca. 6 Stunden
-Überprüfung mit Testdisk und Photorec, keine Dateien gefunden
-Überprüfung mit Diskdrill 2 Dateien gefunden, siehe Foto


-Überprüfung mit Recuva 23 Datein gefunden, siehe Foto



Was sind das für Dateien, sind das Systemdateien? Mich wundert auch die Datei $BadClus, das ist doch die Größe der Festplatte?

Kann ich die Festplatte so weggeben oder besteht die Möglichkeit, das ein Fachmann mit besserer Software doch noch was wiederherstellen kann?

Vielen Dank für eure Hilfe

 

[Cardhu]

Das sind Systemdateien. Wenn du die Platte formatierst und keine Daten drauf sind, hast du ein Wunder vollbracht
Ansonsten mal aufs Erstelldatum achten.
Auch wäre ein Vergleich nach den jeweiligen Löschungen nicht so abwegig gewesen

 

[Shorty83]

Kann ich die Festplatte so weggeben oder besteht die Möglichkeit, das ein Fachmann mit besserer Software doch noch was wiederherstellen kann?

Vielen Dank für eure Hilfe

Okay danke schonmal für deine Antwort.
Kann man die Festplatte deiner Meinung nach so weitergeben, ohne das noch was wiederhergestellt werden kann? Oder gibt es noch ein besseres Programm zum sicheren Löschen und zum Kontrollieren?

Das sind Systemdateien. Wenn du die Platte formatierst und keine Daten drauf sind, hast du ein Wunder vollbracht

Alle? Auch die 23 von Recuva?
Kannst du mir sagen was $BadClus für eine Datei ist?

Auch wäre ein Vergleich nach den jeweiligen Löschungen nicht so abwegig gewesen

Stimmt, da waren z.b. einige .pps Dateien.
Bei DiskDrill waren es zuvor ca. 37 Dateien. Bei Recuva auch ca. 30 Dateien.
Leider hab ich mir das nicht abgespeichert.

 

[Cardhu]

Sobald ein Dollarzeichen vor einer Datei steht, ist es für dich in knapp 100% der Fälle irrelevant. Wenn es relevant wäre, würdest du es sofort am Dateinamen erkennen.
Und ja, kann man so abgeben. Aber ne 320GB HDD ist doch sicher schon über 10 Jahre alt?
Würde eine gebrauchte 120-250GB SSD verbauen. Dann hat auch der Käufer noch etwas Spaß damit. Kosten ~10-20€

BadClus (Wie der Name es andeutet):
https://whereismydata.wordpress.com/2009/06/06/forensics-what-is-the/

 

[pvcf]

Kannst du mir sagen was $BadClus für eine Datei ist?

also die datei belegte 320gb wenn ich das richtig sehe, es scheint auch die abkürzung für "Bad Cluster" zu sein, so wie ich das sehe, könnte das von Recuva angelegt worden sein.
Wenn du wirklich sicher gehen willst, versuch doch mal, diese Datei wiederherstellen zu lassen, muss natürlich als Ziel eine andere Platte angegeben werden die entsprechend Platz hat, und dann schau dir diese gigantische Datei mal an... (ich wette es ist nicht möglich, ausser man schaut sich das ding dann direkt auf den Platten an, mit irgendeinem Editor wirst du das nicht aufbekommen).

Ich würde zu 99.9 % Wetten, dass das keine Datei ist, sondern nur ein Directory eintrag über die ganze Platte, eventuell um eben wirklich sicherzugehen, dass da nix mehr wiederherstellbar ist.
Irgendwelche Daten von dir, die mal auf der Platte gewesen sein könnten, sind höööööööööööööchstwahrscheinlich weg. (zu 99.99999999999999999999999%)
Beim schreddern werden random Daten auf die Platte geschrieben bis sie voll ist, und das viellei noch mehrmals hintereinander. Auch wenn es esoterische Spinner gibt, die denken, man kann dann noch immer "oiriginale" alte Bits wieder herstellen: das halte ich für völligen Unsinn. Die sind mit neuen Bits mit andere phad-verknüpgung in anderer Reihenfolge überschrieben, was letztendlich ein anderes Datenkonvolut ergibt.

Und wenn auf deiner Platte wirklich wirklich wirklich wichtige Dinge drauf waren, die zB durch Ansicht das Universum zerstören, schmeiss die Platte zerhackt weg und bau ne neue ein.

 

[Inzersdorfer]

Solange NTFS hier auf der Platte ist/bleibt, werden dir halt diese $bla Dateien angezeigt, das ist NTFS selbst. $BadClus ist die "Datenbank" der defekten Cluster, angelegt durch NTFS bzw. chkdsk.



In Start/Suche: cmd eingeben und mit [Strg]+[Umschalt]+[Enter] bestätigen,
das cmd Fenster ist jetzt mit Adminrechten gestartet.

Im Prompt folgendes eingeben und jeweils [Enter] drücken:

diskpart
list disk (zeigt die Nummer deiner Festplatten)
hier muß die richtige Platte ausgewählt werden, ansonsten droht Datenverlust!
select disk x (X ist die Datenträgernummer der Platte)
clean (entfernt jegliche Partition und Volumenformatierung)
nach Ende der Aktionen
exit

Nach einem Neuboot in der Datenträgerverwaltung Initialisieren und anschließend Partitionieren.

 

[cyberpirate]

Um eine HDD komplett zu löschen nimmt man eigentlich über Diskpart den Befehl clean /all

MfG

 

[Wilhelm14]

Ja genau, man müsste sie unformatiert löschen und unformatiert lassen. Sobald man das Laufwerk mit NTFS formatiert, werden fürs Dateisystem diese Dateien und Ordner angelegt.

 

[Inzersdorfer]

@cyberpirate : die Inhalte wurden hier eh schon drölfzigmal überschrieben, das -clean für Partition und Volumenformatierung reicht in diesem Fall.

 

[Shorty83]

Moin vielen Dank schonmal für eure Hilfe.

Und ja, kann man so abgeben. Aber ne 320GB HDD ist doch sicher schon über 10 Jahre alt?
Würde eine gebrauchte 120-250GB SSD verbauen. Dann hat auch der Käufer noch etwas Spaß damit. Kosten ~10-20€

Hab ich auch schon überlegt, allerdings soll der Laptop für schmales Geld verkauft werden, daher nicht unbedingt noch mit Mehrkosten. Aber eine Überlegung ist es wert, und ich muss mir keine Gedanken über iwelche Dateien machen.

also die datei belegte 320gb wenn ich das richtig sehe, es scheint auch die abkürzung für "Bad Cluster" zu sein, so wie ich das sehe, könnte das von Recuva angelegt worden sein.
Wenn du wirklich sicher gehen willst, versuch doch mal, diese Datei wiederherstellen zu lassen, muss natürlich als Ziel eine andere Platte angegeben werden die entsprechend Platz hat, und dann schau dir diese gigantische Datei mal an... (ich wette es ist nicht möglich, ausser man schaut sich das ding dann direkt auf den Platten an, mit irgendeinem Editor wirst du das nicht aufbekommen).

Das habe ich über Nacht mal gemacht, einige Dateien konnten nicht wiederhergestellt werden, wahrscheinlich weil sie eh 0 kb hatten. Komisch nach der Wiederherstellung auf einem anderen Laufwerk hat die $BadClus auch 0 KB
Das ist alles was ich wiederherstellen konnte.

Ich würde zu 99.9 % Wetten, dass das keine Datei ist, sondern nur ein Directory eintrag über die ganze Platte, eventuell um eben wirklich sicherzugehen, dass da nix mehr wiederherstellbar ist.

Scheint als wenn du recht hast, ich kann sie zwar mit dem Editor öffnen aber ist leer. genau wie die anderen Dateien, mit Editor kann ich sie öffnen, aber nur Hieroglyphen. Und so wie ich gelernt habe alles mit $ Vorweg ist Systemdatei bzw. irrelevant.

Solange NTFS hier auf der Platte ist/bleibt, werden dir halt diese $bla Dateien angezeigt, das ist NTFS selbst. $BadClus ist die "Datenbank" der defekten Cluster, angelegt durch NTFS bzw. chkdsk.



In Start/Suche: cmd eingeben und mit [Strg]+[Umschalt]+[Enter] bestätigen,
das cmd Fenster ist jetzt mit Adminrechten gestartet.

Im Prompt folgendes eingeben und jeweils [Enter] drücken:

diskpart
list disk (zeigt die Nummer deiner Festplatten)
hier muß die richtige Platte ausgewählt werden, ansonsten droht Datenverlust!
select disk x (X ist die Datenträgernummer der Platte)
clean (entfernt jegliche Partition und Volumenformatierung)
nach Ende der Aktionen
exit

Nach einem Neuboot in der Datenträgerverwaltung Initialisieren und anschließend Partitionieren.

Danke auch hierfür, das habe ich auch nochmal durchgezogen.

Ich denke, wie Inzersdorfer schon gesagt hat, die Platte wurde jetzt drölfzigmal überschrieben, da kann eigentlich nichts mehr wieder herstellbar sein.

 

[recu]

Unglaublich, dass dieses Thema nie ein Ende nimmt. Kommt einem teilweise vor, wie die Diskussion mit Flacherdlern. Geht sogar so weit, dass manche selbst einem Secure Erase nicht trauen 🤦‍♂️

Die Leute, die Du als "Flacherdler" betitelst, haben im Gegensatz zu Dir Ahnung von Kryptologie.
Dazu gehört, dass Du man keiner Blackbox traut. Das ist ein Grundprinzip in der Kryptobranche.

Ich rede von dem Secure Erase bei einer SSD. Wenn das richtig implementiert ist (ansonsten ist es die Bezeichnung nicht wert), ist die SSD gelöscht. Deswegen würde ich schon mal Grundsätzlich nur SSDs mit interner Verschlüsselung kaufen.

Und woher weißt Du, ob das "richtig" implementiert ist?

Hast Du den Sourcecode Deiner Festplatte zur Verfügung, ihn geprüft, compiliert und dann mit der ausgelieferten Firmware verglichen?

Die c't hatte in einem Artikel eine sogenannte "Verschlüsselung" einer WD-Festplatte als wirkungsloses Schlangenöl entlarvt. Die Verschlüsselung bzw. die Handhabung derselben war so schwach, das die Redakteure, die nun mal keine spezialisierten Kryptologen sind, die Murkserei entdeckt haben.

Es gibt aber sehr schöne Methoden, dem Anwender zu suggerieren, dass die Festplatte gelöscht wurde.
Die ATA-Funktion "Secure Erase" erfordert ja kein physisches Löschen sondern nur das Vergessen des Schlüssels.

 

[Fusionator]

Hast Du den Sourcecode Deiner Festplatte zur Verfügung, ihn geprüft, compiliert und dann mit der ausgelieferten Firmware verglichen?

Nein, denn den der ist nicht verfügbar und würde mir eh nichts nutzen.
Warum kannst du dir ja denken.
Abgesehen davon interessiert mich das bei meinen Festplatten nicht, denn die sind nicht selbstverschlüsselnd.
Die Frage war wohl eher rhetorisch, denn solche Infos wird wohl nie ein Hersteller freiwillig rausrücken.

Und woher weißt Du, ob das "richtig" implementiert ist?

Es ging ja um SSDs.
Ich vertraue da tatsächlich dem Hersteller soweit und werfe zusätzlich einen Blick mit dem Hexeditor drüber. Mir ist noch keine SSD untergekommen, die nach einem erfolgreichen Secure Erase noch Daten enthielt.

Die Leute, die Du als "Flacherdler" betitelst, haben im Gegensatz zu Dir Ahnung von Kryptologie.

Du hast also Ahnung von Kryptologie? Sehr schön.

Die c't hatte in einem Artikel eine sogenannte "Verschlüsselung" einer WD-Festplatte als wirkungsloses Schlangenöl entlarvt.

Das Thema ist mir bekannt und nicht die c‘t hat das entlarvt, sondern andere schon davor.

Die ATA-Funktion "Secure Erase" erfordert ja kein physisches Löschen sondern nur das Vergessen des Schlüssels.

Aber auch nur bei SED, ansonsten wird die Platte eben doch komplett gelöscht.
Und willst du jetzt behaupten, dass man bei einem vergessenen Schlüssel danach noch Daten wiederherstellen kann?

 

[ThomasB]

Die Festplatten können mit Tools nicht immer zu 100% gelöscht werden. Es bleiben immer noch nicht adressierte Bereiche eventuell vorhanden auch nach secure Erase. Wenn es um die Alte Festplatte geht dann kann es nur noch vernichtet werden. Es gibt auch die Anbieter die es kostenlos machen: Festplattenvernichtung Sollte es um eine Festplatte gehen die unter Reallocated Sector Count in SMARt irgendwelche Einträge hat wird es kau möglich sie vollständig zu löschen.

 

[Purche]

Grundsätzlich korrekt, aber praktisch nicht wirklich relevant.

Wenn ein Sektor vom Controller wegen eines nicht reparierbaren Fehlers gegen einen Sektor aus dem Reservebereich getauscht wurde, bleibt der "alte" Sektor bei Vollformatierung vermutlich unangetastet. Allerdings bekäme man ihn über die vorgesehenen Schnittstellen (z.B. SATA) ohnehin gar nicht mehr aus der Festplatte ausgelesen, da die Platte unter seiner ursprünglichen Sektornummer nun fortan immer den Inhalt des Reservesektors ausliefert - der durch die Formatierung mit genullt wäre.

Ohne die Platte aufzuschrauben und mit Spezialtechnik die Magnetisierung auszuwerten oder die Platter in eine Vergleichshardware umzubauen, wird das dann nichts. Selbst das ist bei modernen Heliumplatten vielen langjährig erfahrenen Laboren bis heute noch nicht möglich...

Und selbst wenn man diesen Sektor ausgelesen bekäme, hätte man einen willkürlichen, zusammenhanglosen 512 oder 4096 Byte Fetzen. Zum Vergleich: wenn man aus Word heraus ein neu erstelltes, LEERES Dokument abspeichert, belegt das auf der Festplatte ca. 12 KB, also 24 Sektoren á 512 Byte - und das obwohl docx-Dateien technisch Zip-Archive und damit bereits komprimiert sind. Selbst wenn wir die vermutlich noch präsente AES-Verschlüsselung mal ignorieren, tendiert der Nutzen eines solchen einzelnen Sektors gegen Null. Die Wahrscheinlichkeit ist am größten, dass der Fetzen zu sehr großen Dateien (z.B. Videos) gehört oder aus vielen anderen komprimierten Dateiformaten, wo eine Auswertung der Rohbytes ohne Infos aus dem Dateiheader oder Footer quasi aussichtslos ist.

Dass da ein professioneller Datenschnüffler etwas verwertbares fände, müsste schon viel Unglück zusammen kommen - z.B. dass da jemand so fahrlässig war, z.B. sensible Passwörter ungeschützt in einer unkomprimierten *.txt Datei abzulegen und dann ausgerechnet genau dieser Dateifetzen durch einen Reservesektor ersetzt wird. Meine Meinung angesichts der Kosten für so eine Aktion: Solche Paranoia kann man total vernachlässigen...