Wiederherstellung nach Löschung (DoD 5220.22-M)

[Cr4sh0v3rr1d3]

hi,

wollte mal fragen, ob daten, welche mit der Löschmethode DoD 5220.22-M (3 faches Überschreiben) gelöscht wurden, wiederhergestellt werden können bzw mit welchem aufwand.

 

[AndrewPoison]

Kommt auf die Umstände an. Wurden "nur" ein paar Dateien damit überschrieben oder die ganze Festplatte? Handelt es sich bei der Festplatte um eine HDD oder eine SSD?

• Ganze Festplatte / HDD: praktisch nicht wiederherstellbar
• Einzelne Dateien / HDD: eventuell mit viel Aufwand einzelne kleine Stücke rekonstruierbar (Cluster Tips, temp. Dateien etc.)
• Ganze Festplatte / SSD: praktisch nicht wiederherstellbar
• Einzelne Dateien / SSD: mit viel Aufwand fast vollständig wiederherstellbar (hängt aber auch von den SSDs ab, bei neueren SSDs, die im Hintergrund eh "aufräumen", geht die Chance auch stark zurück und beschränkt sich auch wieder auf Cluster Tips und temp. Dateien etc.)

 

[Cr4sh0v3rr1d3]

wenn man mal als bsp ne 30 MB outlook pst heranzieht. wieso nimmst du an, dass eine wiederherstellung einzelner dateien bei einer SSD besser laufen könnte als bei einer HDD?

es handelt sich jedoch um eine HDD.

nur wie würde eine datenwiederherstellung bei einer 3 fach überschreibung aussehen? es wird ja im ersten durchlauf mit einer festen zahl überschrieben, dann mit pseudozahlen und danach mit dem komplement aus dem ersten durchlauf.

dann erstreckt sich die datei ja noch über mehrere sektoren.

 

[AndrewPoison]

SSDs nutzen Wear Leveling. D.h., wenn du die Datei überschreibst, wird sie nicht wirklich überschrieben. Das wird genutzt um die Lebenszeit der Flashzellen zu erhöhen. Führt aber auch dazu, dass Daten (selbst wenn du sie 3x überschreibst) nicht überschrieben werden. Jeder der 3 Schreibvorgänge landet irgendwo anders auf der SSD.

Baut man nun die SSD aus und analysiert die Chips bzw. dessen Controller, lässt sich mit viel Aufwand dann eben das ganze noch wiederfinden.


Die Rekonstruktion auf einer HDD geht dagegen anders vor. Stichwort Cluster-Tips und variable Dateigröße. Stell dir vor, du hast eben jene 30 MB Outlookdatei. Stell dir weierhin vor, du hattest da mal mehr Mails drin (also auch eine größere Datei). Nun hast du das überflüssige Zeug gelöscht und speicherst die Outlook-Datei wieder über die alte. Nun ist die neue Datei kleiner als die vorherige, was vorher zur Datei gehörte wird einfach abgeschnitten und als nicht zur Datei zugehörig markiert. Die Daten sind aber noch da. Selbst wenn du jetzt die Datei überschreibst, wird der theoretisch freie Speicher nicht überschrieben. Und da könne ja gerade die eine oder andere Mail in Klartext zu finden sein, die du nicht willst.

Das ganze mal bildlich:

* Dateianfang für das Betriebssystem
* Dateiende für das Betriebssystem
"Freier Speicher"

Datei:          Größe:            Daten auf der Festplatte:
Outlook.pst     40 Byte           [COLOR=Lime]*[/COLOR]Hallo xyz, war eine tolle Nacht gestern![COLOR=Red]*[/COLOR]

nun löschst du etwas pikantes und überschreibst damit die alte Datei:

Datei:          Größe:            Daten auf der Festplatte:
Outlook.pst     9 Byte            [COLOR=Lime]*[/COLOR]Hallo xyz[COLOR=Red]*[/COLOR][COLOR=DimGray] war eine tolle Nacht gestern![/COLOR]

Windows setzt nun nur das Dateiende etwas früher an, die alten Daten 
sind auf der Festplatte aber noch vorhanden! Und wenn du nun die Datei 
überschreibst passiert jetzt vereinfacht folgendes:

Datei:          Größe:            Daten auf der Festplatte:
Outlook.pst     9 Byte            [COLOR=Lime]*[COLOR=Black]000000000[/COLOR][/COLOR][COLOR=Red]* [/COLOR][COLOR=DimGray]war eine tolle Nacht gestern![/COLOR]
Outlook.pst     9 Byte            [COLOR=Lime]*[COLOR=Black]123456789[/COLOR][/COLOR][COLOR=Red]* [/COLOR][COLOR=DimGray]war eine tolle Nacht gestern![/COLOR]
Outlook.pst     9 Byte            [COLOR=Lime]*[COLOR=Black]111111111[/COLOR][/COLOR][COLOR=Red]* [/COLOR][COLOR=DimGray]war eine tolle Nacht gestern![/COLOR]

Liest man die Festplatte nun aus, ist zwar die Datei überschrieben... aber
das von damals, als die Datei mal größer war ist nachwievor zu lesen.

 

[Cr4sh0v3rr1d3]

ok danke, nur jetzt kommt die 100 punkte frage:

wie stellst du das "Hallo xyz" wieder her? man kennt ja die pseudozahlen nicht mit denen überschrieben wurde.

 

[AndrewPoison]

Das "Hallo xyz" ist nicht wiederherzustellen. Das ist der Part (auf einer HDD) der dann wirklich weg ist. Der Teil dahinter ist halt rekonstruierbar. Bei einer SSD sieht das aber schon wieder ganz anders aus. Da ist sogar das überschriebene noch da.