Welches Tool nutzt ihr, um Bilder, Music, PDFs, Word-/Exel-Files etc wiederherzustellen

Ah, ok :)
Ergänzung ()

Sehe gerade, dass eine Verifizierung eines bitgenauen Images mit "Reflect" doch geht
 
Zuletzt bearbeitet:
Snoopy69 schrieb:
Ein normales Backup beinhaltet nur gesicherte Files und nicht jedes Bit eines Laufwerkes
Oder machst du generell bitgenaue Backups?
Im Eingangsbeitrag ging es um die Wiederherstellung von Dateien. Die Art des Backups ist da doch irrelevant. 🤷
 
Snoopy69 schrieb:
Scanne mal ein Drive mit photorec und mache das Gleiche mit GetDataBack
photorec nummiert gefundene Files einfach nur stupide durch - auch wenn diese wunderbar lesbar sind
Im Gegensatz zu GetDataBack interessiert sich photorec nicht für das Dateisystem. Es durchsucht den Datenträger blockweise nach ausgewählten Dateitypen, daher gibt es keine Dateinamen.
Snoopy69 schrieb:
Und was nimmt man am Besten, um bitgenaue Images von SSDs zu machen?
Für gewöhnlich nehme ich für Backups immer "Macrium Reflect", aber bei bitgenauen Images bin ich mir nicht sicher,
ob es das richtige Programm dafür ist

Und gibt es ein Tool, das nach einer bitgenauen Kopie, das Ganze nochmals verifiziert?
Alle forensischen Sicherungsprogramme können das. Ein kostenloses ist beispielsweise FTK Imager.
 
Snoopy69 schrieb:
Und was nimmt man am Besten, um bitgenaue Images von SSDs zu machen?
Für gewöhnlich nehme ich für Backups immer "Macrium Reflect", aber bei bitgenauen Images bin ich mir nicht sicher,
ob es das richtige Programm dafür ist
In der Regel DD. Aber auch mit Macrium habe ich schon vollständige, mit Veracrypt verschlüsselte Partitionen in ein Image verwandelt und das Image dann auf dem nächsten PC mit VC wieder geöffnet. Das Image ist halt "mehr wie bitgenau", da es einen Header enthält, den man in so einem Fall "irgendwie" überspringen muss.

Snoopy69 schrieb:
Ein normales Backup beinhaltet nur gesicherte Files und nicht jedes Bit eines Laufwerkes
Oder machst du generell bitgenaue Backups?
Das ist ja der Sinn eines Filebackups. Alles, was da nicht drin ist, ist es bei mir nicht wert, gesichert zu werden. Gehen irgendwelche aus dem Netz heruntergeladenen Bilder, Videos, PDFs oder Quelltexte lokal "verloren", kann ich sie wieder herunter laden.

Will ich ein Laufwerk sichern, wird es halt bitgenau mit Macrium gesichert (bzw. meist nur die belegten Sektoren, weil mir der Rest egal ist). Bleiben noch die Paar Dateien, die ich (in mind. 20 Jahren) quasi direkt nach der Erstellung voreilig gelöscht habe. Tja, meine Blödheit, damit musste ich sie halt nochmal erstellen, die Sektoren könnten aber schon längst weider vom OS überschrieben worden sein. Ähnliches gilt für Dateien, die wegen einem ungeplanten Reboot oder Stromausfall ungesichert von der Ramdisk "gelöscht" wurden.

Bei SSDs/Speicherkarten weiss man heutzutage nicht, ob die per SW gelöschten Sektoren beim späteren sektorweisen Auslesen wieder geliefert werden. Nach einem Trim (kann auch beim Dateilöschen vorkommen) wird nur ein leerer Sektor geliefert. HDDs sind bei mir nur noch im NAS, wovon es für sicherungswürdige Dateien immer mind. eine Sicherung/Backup gibt.

Mir ist es noch nie gelungen, alle irgendwann mal gelöschten Dateien mit einem Tool korrekt wieder herzustellen. Noch nicht einmal auf gelöschten Speicherkarten (ohne Trim). Da löscht man während der Nutzung auf der Kamera ein Bild und schon sind mind. die nächsten 2 aufgenomenen Bilder mit Heimanwendertools nicht wieder herstellbar. Wenn genau darunter eines der 100k€ Hochzeitsfotos war, weshalb die Selbstständigkeit nun i die Insolvenz geht, habe ich vorher etwas falsch gemacht.
 
@gymfan
Meinst du den VC-Header?

Und ja, Wiederherstellung von SSDs ist so eine Sache. Daher Backups noch zusätzlich auf magnetische und optische Datenträger und noch verschlüsselt in der Cloud
 
gymfan schrieb:
Mir ist es noch nie gelungen, alle irgendwann mal gelöschten Dateien mit einem Tool korrekt wieder herzustellen. Noch nicht einmal auf gelöschten Speicherkarten (ohne Trim). Da löscht man während der Nutzung auf der Kamera ein Bild und schon sind mind. die nächsten 2 aufgenomenen Bilder mit Heimanwendertools nicht wieder herstellbar.
Unter der Bedingung das die Speicherkarte weiter beschrieben wird ist es völlig klar, dass das Überschriebene weg ist.

Das ist bei SSD ähnlich, bei HDD dauert es länger bis Gelöschtes wirklich überschrieben ist.

Leider gibt es immer noch Tools die ein totales Wiederherstellen von Bildern aus Speicherkarten versprechen es aber eigentlich nicht können.
 
Snoopy69 schrieb:
Meinst du den VC-Header?
Nein, Macrium Reflect schreibt vor die Daten des Backup-Images (Sektorkopie, also alle Sektoren des Quelllaufwerkes oder der Quellpartition) einen eigenen Header um die Datei als ein von Macrium erstelltes Image zu erkennen. Diesen Macrium-Header musste ich damals irgendwie überspringen oder aus dem Backup löschen bevor VC das Image nutzen konnte.

BFF schrieb:
Unter der Bedingung das die Speicherkarte weiter beschrieben wird ist es völlig klar, dass das Überschriebene weg ist.
Da habe ich mich nicht exakt genug ausgedrückt. Klar ist nach dem Überschreiben die alte Datei weg.

Was ich meinte, war erst das Löschen einer Aufnahme, danach neue Aufnahmen in unterschiedlicher Dateigröße wie die gelöschte, dann die gesamte Karte (ohne Trim) löschen und danach versuchen, die zuletzt auf der Speicherkarte befindlichen Bilder wieder herstellen.

Block-/Sektormäßig also:
(1) Bild B1, B2 und B3 aufnehmen (jedes Bild belegt 2 Sektoren)
B1, B1, B2, B2, B3, B3
(2) Bild B2 löschen (Sektoren vvon Bild 2 sind wieder frei)
B1, B1, 00, 00, B3, B3
(3) Bild B4, B5 und B6 aufnehmen (Bild B4 ist kleiner und belegt daher nur einen Sektor, B5 wird fragmentiert)
B1, B1, B4, B5, B3, B3, B5, B6, B6
(4) Die gesamte Karte Schnellformatieren, was in den allermeisten Fällen bei Speicherkarten nicht zu einem Trim führt.

B1, B3, B4 und B6 lassen sich problemlos wieder herstellen, B2 ist natürlich überschreiben.
B5 ist auch noch vollständig auf der Karte vorhanden, nur müsste die Rettungssoftware dafür prüfen, ob einer der Blöcke, den sie sonst keiner Datei zuordnen kann, zum ersten Teil von B5 passt. Technisch, je nach Datentyp (z.B. JPG, neuere Word/Excel-Dateien, aber nicht bei Nikon-RAW oder BMP) in den allermeisten Fällen möglich, es dauert halt sehr lange.

Ich gehe davon aus, dass wirklich professionelle Tools sowas machen. photorec hat das zumindest bei meiner letzten Anwendung nicht getan, aber das ist auch schon einige Jahre her, als ich mal eine so gelöschte Speicherkarte eines Bekannten wieder herstellen wollte.
 
Ach so rum. @gymfan

Zusammensetzen tun sie auch nicht. Es wird eher erraten was es sein koennte und dem Nutzer die Moeglichkeit geben sich die Dateien anzusehen, eben auch wenn das was da angezeigt werden soll z.B. ein defektes Bild oder Video ist.

Das ist was mit z.B. forensichen Tools/Suites aka Encase Forensic oder Autopsy geht.
Autopsy allein in der freien Downloadversion ist mittlerweile sehr maechtig. Encase legt da noch einiges Drauf plus passende Hardware zum Produkt. Autopsy benutze ich selbst. Encase habe ich in Aktion gesehen.
Aber! Beide hier genannten Suites erheben nicht den Anspruch Daten zu retten. Sie sollen gezielt Daten zusammenkratzen und dem Bearbeiter die Moeglichkeit geben das Zusammengekratzte zu analysieren.

Wenn ich hier Autopsy einsetze geht es meistens darum etwas wieder zu finden. Das sind zu 99% (Office/Text/PDF)dokumente die sich u.A. auf uralten Datentraegern (einen Stapel 8" Floppys hatten wir letztes Weihnachten und gluecklicherweise Jemanden gefunden der in seinem Museum die Floppys zum groessten Teil auslesen konnte und ueber die Image wurde dann gecarvt) befinden und z.B. das enthalten was z.B. der Vorfahr mal getippt hat. Extrem zeitaufwendig.

Anyway.
Hast Du Dir jemals das angesehen an Software was OnTrack selbst anbietet?

https://www.ontrack.com/en-us/data-recovery/software

Interessant wuerde es da ab der Premium-Version werden.
Oder halt gleich das Toolkit, wenn man die $300 jaehrlich ueber hat.
 
gymfan schrieb:
B5 ist auch noch vollständig auf der Karte vorhanden, nur müsste die Rettungssoftware dafür prüfen, ob einer der Blöcke, den sie sonst keiner Datei zuordnen kann, zum ersten Teil von B5 passt. Technisch, je nach Datentyp (z.B. JPG, neuere Word/Excel-Dateien, aber nicht bei Nikon-RAW oder BMP) in den allermeisten Fällen möglich, es dauert halt sehr lange.
Das ist technisch nicht möglich. Bei zwei "halben" Dateien (um das Beispiel simpel zu halten, in der Praxis wird man deutlich mehr Fragmente haben) hat eine einen definierten Beginn, die zweite, je nach Dateityp, ein definiertes Ende. Es ist für jede File Carving Software nahezu unmöglich festzustellen, welche "Hälften" zu welcher Datei gehören, wenn das Dateisystem nicht mehr vorhanden, oder die Datei bereits nicht mehr im Dateisystem verzeichnet ist. Im letzteren Fall hätte man unter Umständen die Möglichkeit, bei Kenntnis des Dateisystems, den File Carving Algorithmus so laufen zu lassen, dass er nur an bekannten Sektorgrenzen nach Dateifragmenten sucht. Aber selbst dann werden fragmentierte Dateien nicht zusammengesetzt.

Üblicherweise wird pro Dateityp eine Standardgröße für den zu findenden Dateityp vorgegeben (etwa 10 MB für JPEG-Dateien). Der File Carving Algorithmus würde in diesem Fall nach dem Dateiheader für JPEG-Dateien suchen (FF D8 FF En; gibt verschiedene Versionen, daher n) und ab dort die nächsten 10 MB als zu der gefundenen Datei gehörig markieren, es sei denn, er findet zuvor das Dateiende. Alle Daten die innerhalb dieser 10 MB liegen, aber nicht zur JPEG-Datei gehören, führen bereits dazu, dass die Datei nicht korrekt dargestellt wird.
gymfan schrieb:
Ich gehe davon aus, dass wirklich professionelle Tools sowas machen.
Wie oben ausgeführt, ist das nicht der Fall.
 
BFF schrieb:
Hast Du Dir jemals das angesehen an Software was OnTrack selbst anbietet?
Danke für die Hinweise. Nein, das habe ich bisher nicht, ich hatte noch nie das Bedürfnis, meine eigenen Daten so wieder herstellen zu müssen.

Abstürze an einem Tag haben mir noch keine Daten vernichtet (NTFS scheint Dank Journaling recht stabil zu sein), spätestens am Tagesende wird bei mir alles in einem Backup gesichert, was mir wichtig ist.

Blieben noch so Spielchen wie zuvor mit den Bildern auf dem Aufnahmegerät erwähnt. Nun ja, da lösche ich meine Karten früstenens, wenn sie auf zwei Backup-Medien gesichert sind. Ich habe solche Rettungsversuche, neben dem Einsatz für Freunde, nur mal spaßeshalber mit Karten versucht, die seit 5-10 Jahren ungenutzt im Schrank lagen. Auf denen gabe es aber keine Daten mehr, die ich noch benötigt hätte.

Das bei mir eher wahrscheinliche Szenario ist, dass eine Speicherkarte (oder SSD) hardwaremäßig ausfällt und sich nicht mehr ansprechen lässt. Dann habe ich verloren und müsste mich an einen Datenretter wenden, der mit Glück die HW wieder herstellt oder umgeht. Es gibt einige YT-Videos, die mir glaubhalt erscheinen und in denen ein Datenretter die Flash-Chips der SD-Karten direkt ausliest. In den Fällen wäre aber vermutlich das Dateisystem der Speicherkarte noch intakt.

Wenn es mal soweit wäre und ich kein Geld für den Profi ausgeben wollte, dann schaue ich mir die von Dir genannte Software genauer an.

Evil E-Lex schrieb:
Das ist technisch nicht möglich.
Natürich ist das technisch möglich, wenn auch nicht zwingend zu 100% (immer noch besser wie 0%). Jedes bekannte Dateiformat, welches sich ohne Kenntnis der gesamten Datei dekodieren lässt und dabei auch noch, wie JPG, immer wieder passende Strukturen enthält, um ein korrktes Dekodieren verifizieren zu können, lässt sich zu einer sehr hohen Wahrscheinlichkeit genau so wieder zusammen basteln.

JPG ist so ein Format, jedes streamingfähige Videoformat auch, RAR wäre es ebenso, 7z nicht. Was für docx und xslx gilt, weiss ich nicht, mag sein, dass man trotz Kompression die komplette Datei haben muss um sie entpacken zu können.

Sogar bei einer gewissen Anzahl von reinen ASCII-Textdateien wäre sowas möglich. Bei Quelltexten kann man davon ausgehen, dass es sich um einen syntaktisch korrekten Quelltext gehandelt haben muss (es gibt genügend Plugins für VS Code, um die Programmiersprache und eine gültige Syntax zu erkennen). Bei normalem Fließtext könnte man vermuten, dass er in einer Sprache geschrieben wurde und syntaktisch wie grammatikalisch zusammen passen müsste (beides prüft jedes besser Mailprogramm).

Evil E-Lex schrieb:
und ab dort die nächsten 10 MB als zu der gefundenen Datei gehörig markieren, es sei denn, er findet zuvor das Dateiende.
Ja, so trivial und falsch/unvollständig ist der Ansatz halt, wenn man den Dateityp und dessen Dekodierungsverfahren exakt kennt. Der Rest ist Kombinatorik und ggf. sehr viel Zeitaufwand.

Wenn mir der JPG-Dekoder schon standardmäßig bei der Kombination aus Sektor 1+2 beim Sektorübergang eine Fehlermledung (oder bei weitergehender Analyse des Bildes ein einfarbiges 16x16 Pixel Klötzchen) liefert, bei der Kombination von Sektor 1+3 aber nicht, dann ist klar, dass Sektor 2 garantiert nicht zum Bild gehört und mit sehr hoher Wahrscheinlichkeit auch, welcher zum Bild gehört. Dabei muss man noch garnicht an eine echte Inhaltsanalyse denken (vermutluch gleiche Helligkeit/gleiches Rauschen in beiden Sektoren) oder gar an eine KI-mäßige klassifizierung der Bilddteile.

Evil E-Lex schrieb:
Alle Daten die innerhalb dieser 10 MB liegen, aber nicht zur JPEG-Datei gehören, führen bereits dazu, dass die Datei nicht korrekt dargestellt wird.
Genau, also gehören teile der willkürlich gewählten 10 MB NICHT zu diesem JPG, so einfach ist das. Blieben noch X-tausend/-mio andere Sektoren auf der Platte übrig, die weder zu einer bereits identifizierten Datei gehören, noch einen bekannten Dateianfang enthalten und sich damit als potentiellen Folgesektor des JPGs eignen.

Das mag in der Praxis zu einer recht geringen Fehlerrate an Sektoren führen, die sich zwar korrekt entpacken lassen, aber trotzdem nicht zur Datei gehörten. Mir wären aber 90% vollständig gerettete Bilder/Dateien lieber wie derzeit 0% (bei photorec).

Evil E-Lex schrieb:
Wie oben ausgeführt, ist das nicht der Fall.
Dann wissen wir jetzt ja, wie man problemols Daten vor Strafverolgung oder Geheimdiensten verstecken kann. Ich hätte mich noch nicht einmal vor 20 Jahren darauf verlassen.
 
gymfan schrieb:
Natürich ist das technisch möglich, wenn auch nicht zwingend zu 100% (immer noch besser wie 0%). Jedes bekannte Dateiformat, welches sich ohne Kenntnis der gesamten Datei dekodieren lässt und dabei auch noch, wie JPG, immer wieder passende Strukturen enthält, um ein korrktes Dekodieren verifizieren zu können, lässt sich zu einer sehr hohen Wahrscheinlichkeit genau so wieder zusammen basteln.
Mit File Carving (der hier verwendeten Methode) ist das nicht möglich. Wenn das so trivial möglich wäre, wie du es beschreibst, gäbe es längst Software, die diesen Ansatz nutzt. Die gibt es nicht. Aber vielleicht hast du ja Lust so eine Software zu entwickeln, du würdest die digitale Forensik revolutionieren.

Im möchte nicht abstreiten, dass ein hypotetischer Universalparser für x Dateitypen in der Lage wäre, Dateien wieder zusammenzusetzen, nur wie lange soll der laufen. Wochen, Monate, Jahre?

Edit: Du übersiehst bei deinen Überlegungen den häufigsten Fall: Teile der Ursprungsdatei sind bereits überschrieben worden. Dabei hilft dir kein noch so ausgefeiltes Parsing. Das dürfte auch der eigentliche Grund sein, warum es diese Software bislang nicht gibt.
gymfan schrieb:
Dann wissen wir jetzt ja, wie man problemols Daten vor Strafverolgung oder Geheimdiensten verstecken kann. Ich hätte mich noch nicht einmal vor 20 Jahren darauf verlassen.
In der Strafverfolgung haben per Carving wiederhergestellten Dateien immer einen geringeren Beweiswert, als Dateien die noch im Dateisystem vorhanden sind. Davon ab, gibt es deutlich simplere Methoden Dateien zu verstecken (Verschlüsselung zum Bespiel).
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: BFF
gymfan schrieb:
Dann wissen wir jetzt ja, wie man problemols Daten vor Strafverolgung oder Geheimdiensten verstecken kann. Ich hätte mich noch nicht einmal vor 20 Jahren darauf verlassen.

Verschluesseln ist weitaus sicherer als Loeschversuch. Seit mehr als 20 Jahren.

gymfan schrieb:
Ja, so trivial und falsch/unvollständig ist der Ansatz halt, wenn man den Dateityp und dessen Dekodierungsverfahren exakt kennt. Der Rest ist Kombinatorik und ggf. sehr viel Zeitaufwand.

Das ist ungefaehr das was ich hier bereits tippte.

BFF schrieb:
Zusammensetzen tun sie auch nicht. Es wird eher erraten was es sein koennte

Ist nicht genug da um zu erraten ist es halt Musekohl. Dann kannst Du nur hoffen das das Gesuchte ein Plaintext ist oder das Fragment Video exakt das gesuchte Einzelbild darstellt.

Anyway.

gymfan schrieb:
Mir wären aber 90% vollständig gerettete Bilder/Dateien lieber wie derzeit 0% (bei photorec).

Unter Vollstaendig verstehst Du mit Datei-/Verzeichnisnamen?

Ich persoenlich bin zufrieden wenn ich 90% funktionsfaehige Dateien zusammenkratzen kann.
Der Name und wo das Foto/Film/Dokument mal gelegen hat ist absolut unwichtig.
Wichtig ist, das es wieder da ist.
 
Zurück
Oben