Frage von sotnu, 63

Ein bekannter hat behauptet, dass es keine Möglichkeit gäbe, auf Dateien zuzugreifen, wenn eine Festplatte bzw. Partition mehr als 5 Mal formatiert wird?

Also das Thema steht schon oben. Ich glaube das irgendwie nicht. Anscheinend soll irgend etwas durcheinander gewürfelt werden. Die Abfolge von 0-en und 1-en sollen angeblich irgendwie durcheinander gebracht werden, so dass man sie unmöglich reproduzieren kann.

Ich glaub das irgendwie nicht, warum sollte durchs Formatieren Daten beschädigt werden und somit unlesbar sein ? Er meint nicht, dass sie nicht mehr "normal" zugänlich sind, er behauptet, es sei anscheinend unmöglich, da die bestimmte Kombination von 0-en und 1-en (die in einer Datei enthalten sind) durcheinander gebracht werden und somit "beschädigt" sind. Laut ihm soll das unweigerlich nach 5 Mal formatieren geschehen, und das mit jeder Datei auf der Platte/Partition.

Also warum sollte das so sein ? Erscheint mir ganz aus der Luft gegriffen. So richtig erklären konnte er das auch nicht.

Antwort
von FaronWeissAlles, 43

Werden Partitionen gelöscht wird die Partitionstabelle geändert und die Bereiche der Partition zum überschreiben freigegeben, ähnlich wie als löscht man eine Datei indem man den Papierkorb leert. Das entfernt die Datei aus dem Index des Dateisystems sodass für das Dateisystem die Datei nicht mehr existiert, sie aber noch auf der Festplatte liegt bis sie teilweise oder ganz durch nachfolgende Operationen überschrieben wurde. Löscht man die Partition ist das ähnlich, nur dass eben der ganze Index und alles was zur Partition gehört als frei gilt. Erstellt man dann eine neue Partition wird wieder die Partitionstabelle geändert (neuer Eintrag) und das Dateisystem inkl. einem neuen Index für Dateien angelegt. Das kann evtl. Teile des alten Indexes überschreiben, sodass die ursprüngliche Verzeichnisstruktur der alten Partition nicht mehr rekonstruiert werden kann. Daran sollten sich Rettungsprogramme aber normalerweise nicht stören (zumindest nicht bei einem tiefen Scan).

Trotzdem existiert die eigentliche Datei weiterhin auf der Festplatte, bis - wie gesagt - irgendwas genau an der Stelle wo die Datei ist drüberschreibt. Ob und was man dann noch retten kann hängt davon ab wie viel überschrieben wurde, wie schlau das Rettungsprogramm ist bzw. ob man gewillt ist manuell zu schauen was wohl zu welcher Datei gehört (den Dump der Festplatte nach Datei-Mustern durchsuchen).

Was hingegen zur sicheren Löschung führt ist wenn man mit einem Programm jeden Sektor der Festplatte mit Zufallswerten überschreibt. Nach dem ersten Mal des vollständigen Überschreibens meldet die Festplatte beim Auslesen nur noch die geschriebenen Werte. In den meisten Fällen genügt das schon, da kann keine Software mehr was auslesen. Mit sehr viel Aufwand könnte ein Datenrettungsspezialist vielleicht noch das ein oder andere Byte rekonstruieren wenn die Festplatte mit 0en überschrieben wurde, er die Festplatte öffnet und sich die Magnetisierung der Scheibe analysiert. Aber das liegt jenseits des Möglichen für Normalsterbliche. Ein 2-maliges Überschreiben sollte selbst für hochsensible Daten ausreichend sein.

Empfehlenswert hierfür ist das Tool Darik's Boot and Nuke (DBAN).

Dass (auch mehrmaliges) Formatieren alleine nicht ausreicht um Daten zu sicher löschen erkennt man schon daran dass es viel zu schnell geht. Löscht oder erstellst du eine Partition ist das in Sekunden erledigt, was aber bei weitem nicht ausreicht um alle nötigen Bytes auf der Festplatte zu verwirren um alle Dateien unwiederherstellbar zu machen (verzeih mir diese laienhafte Beschreibung).

Bei SSDs ist das mit der Löschung etwas schwieriger, da die sich lieber selber drum kümmern wo was in Wahrheit hingeschrieben wird (um eine gleichmäßige Abnutzung der Speicherzellen zu gewährleisten). Hier sollte man stattdessen (oder zusätzlich) auf die Lösch-Tools des jeweiligen SSD-Herstellers zurückgreifen, da die ggf. der SSD einen deutlicheren Befehl geben können um wirklich alles restlos zu überschreiben (unabhängig vom Wear-Level der Zellen), denn die meisten SSDs haben mehr Speicher als sie zugeben (Over-Provisioning) auf den man nicht so ohne weiteres zugreifen kann. Samsung hat die Lösch-Funktion z.B. in Magician eingebaut

Kommentar von sotnu ,

Wow, danke wieder einmal für die super ausfürhliche Antwort! :)

Also ja, genau so sehe ich das eigentlich auch. Also das durch formatieren die Daten für "normale" nur unzugänglich gemacht werden. Die Daten sollten dann aber noch alle da sein.

Und ja, das habe ich mir irgendwie auch gedacht. Formatieren geht in der Regel einige Sekunden und das wäre ja garnicht möglich, dass der Schreibkopf und die Scheiben das alles so schnell hinkriegen, da müsste schon was ganz spezielles passieren, dass so schnell Daten verloren gehen :)

Mit DBAN geht das ja manchmal 8 Stunden oder so, ging es bei mir zumindest mal.

Das mit denn SSD ist wegen irgendwelchen Zusatzzellen, die im Notfall für halb tote einspringen, richtig ? So irgendwie habe ich das mal gelesen. Oder liege ich da falsch ? Aber wo finde ich Magician ? Ich habe zufällig eine Samsung SSD. Findet man das auf der Webseite von Samsung ?

Kennst du ein gutes Recovery Tool, dass keine Schwierigkeiten damit hat, wenn Teile des alten Indexes überschrieben werden ? Ich will ihm nämlich praktisch beweisen, das es nicht geht. Wollte nur noch zuerst mal hier fragen, ob ich der einzige bin, der denkt, das es nicht geht :)

Ich hätte gerade noch eine kleine Frage (sorry). Bei Windows kann man, soweit ich weis, die "TRIM-"Funktion nutzen (ich glaube das heisst so). Also wenn man etwas aus dem Papierkorb löscht, wird dem Betriebssystem sozusagen gemeldet, dass diese Speicherzelle wieder freigegeben wird (oder so ähnlich). Bei SSD's ist es ja so, dass zuerst die Zelle "geleert" werden muss (also das geschrieben gelöscht werden muss). Diese Funktion sollte dann eben, wenn der PC gerade nicht viel macht, diese "freien" Bereiche löschen (also nicht die Zelle, den "Inhalt").

Würde das nicht bedeuten, dass auf einer SSD niemals oder nur kurz Daten vorhanden sind, nachdem man sie aus dem Papierkorb gelöscht hat (sofern das Betriebssystem die TRIM Funktion unterstützt) ? Oder habe ich da was falsch verstanden ?

Ach ja, weisst du gerade, wie ich mehr über diesen Index erfahren kann ? Also darüber wie genau das aufgebaut ist usw ?

Und danke nochmals für die Antwort.

Kommentar von FaronWeissAlles ,

Wie das Dateisystem Dateien organisiert hängt ganz vom Dateisystem ab. Google also mal nach NTFS bzw. dessen Spezifikationen und les dich rein wenn es dich interessiert. Der "Index" von dem ich gesprochen habe müsste bei NTFS "Master File Table"  (MFT) heißen.

Nutze die Vorteile einer VM zum Erforschen des Themas!

Die VDI-Datei (VirtualBox) ist ein Abbild deiner Festplatte als Datei. Das was da drin liegt würde so auch auf einer echten Festplatte liegen (abzüglich einiger Header-Informationen), du hast aber die Möglichkeit dir die Daten bequem mit einem Hex-Editor (z.B. HxD) anzusehen und zu durchsuchen. Daher schlag ich dir folgendes Experiment vor:

  1. Erstelle eine VM und installiere Windows (Testversion) mit 2 Partitionen, eine für Windows und eine für deine Testdatei
  2. Auf die 2. Partition legst du eine TXT-Datei an und schreibst was eindeutiges rein wie "Backups sind wichtig!"
  3. Du fährst die VM herunter, öffnest die VDI-Datei der VM mit einem Hex-Editor und suchst danach. Du wirst es irgendwo in der Datei finden. D.h. der Inhalt der Datei befindet sich auf der Festplatte
  4. Als nächstes (wieder in der VM) löschst du die 2. Partition und legst sie neu an. 5 mal.
  5. Du fährst die VM erneut runter, öffnest die VDI-Datei wieder mit dem Hex-Editor und suchst erneut. Findest du dann immer noch irgendwo den Satz haben die Daten das Formatieren überlebt und du hast den Beweis dafür.
  6. Optional kannst du jetzt die VM wieder hochfahren und beliebige Rettungsprogramme (z.B. Recuva) mal testen ob sie die Datei oder dessen Inhalt noch finden können. Falls ja, hast du auch die Antwort ob sich welches Programm an bestimmten Resten des Dateisystems orientiert oder wirklich komplett durchsucht. Falls nicht weißt du dass das Rettungsprogramm nicht fähig ist die Daten ausfindig zu machen obwohl sie nachweislich noch irgendwo auf der Platte existieren
  7. Wenn du noch Zeit hast wiederhole das ganze, nur dass du diesmal die Partition mit DBAN plättest. Dann solltest du definitiv nichts mehr von der Datei finden (weder Dateiname noch Inhalt)


Kommentar von sotnu ,

Ja das werd ich dann mal machen. Dann kann ich auch mal den unterschied zwischen ntfs,exfat/fat32 und Ext3/4 nachlesen.

Das ist ne sehr gute Idee, das mache ich. Ich sollte VirtualBox mehr gebrauchen :)

Komisch ist ja, dass die VDI Datei unter "Users\Username\VirtualBoxVMs\Name" liegt und nicht unter "C:\\Programme\Oracle..."

Aber ich hätte noch eine Frage. Wenn ich dann die Datei mit dem Hex-Editor öffne (HxD gefällt mir da sehr gut), wie erkenne ich dann, welches Textdokument jetzt von mir ist ? Da steht ja dann nirgends (z.B) "Es Schneit", da stehen ja nur Zahlen. Ich frag mich sowieso immer, wie man bei Hex-Editoren irgend eine Datei finden soll. Kannst du mir das erklären ?

Kommentar von FaronWeissAlles ,

Komisch ist ja, dass die VDI Datei unter "Users\Username\VirtualBoxVMs\Name" liegt und nicht unter "C:\\Programme\Oracle..."

Weil man da i.d.R. keine Schreibrechte hat und dieser Ordner nur für Programmteile vorgesehen sind die sich nicht ändern. Die VDI-Datei ist eher eine Nutzdatei die ständig geändert wird. Würde man die VMs im Programme-Ordner lagern (oder sei es auch nur die kleinste änderbare Konfiguration), würde VirtualBox bei jedem Start nach Adminrechten fragen müssen, um Einstellungen bzw. Änderungen in der VM speichern zu können

wie erkenne ich dann, welches Textdokument jetzt von mir ist ?

Deswegen hab ich gesagt schreib was eindeutiges rein, bei dem du sicher sein kannst dass es von dir ist. Würdest du "Microsoft" reinschreiben findest du das Wort garantiert an zahlreichen weiteren Stellen.

Da steht ja dann nirgends (z.B) "Es Schneit", da stehen ja nur Zahlen. Ich frag mich sowieso immer, wie man bei Hex-Editoren irgend eine Datei finden soll. Kannst du mir das erklären ?

Ein Hex-Editor zeigt dir die Bytes der Datei aus denen sie besteht ohne sie zu interpretieren. Ein Texteditor würde das hingegen nicht tun, sondern die Bytes als Text interpretieren und darstellen unter Verwendung des Unicode-Zeichensatzes (also das Alphabet was sagt Byte-Wert xxxx entspricht Buchstabe "A"). HxD macht gewisserweise beides, es zeigt dir die Bytes (als Hexwerte) und daneben auch wie es als Text aussehen würde. Die Suchfunktion von HxD durchsucht die textuelle Repräsentation nach deiner Eingabe. Theoretisch kannst du die Datei auch mit einem Texteditor öffnen und suchen da es dir ja um Text geht, aber viele Programme sind mit so großen Dateien überfordert, da sie versuchen sie komplett laden. HxD lädt die Datei hingegen abschnittsweise (nur die Bytes die man sehen will).

Kommentar von sotnu ,

Ach so, ja dann macht es Sinn.

Und ok, ich habe gedacht, da steht nichts erkennbares für normalsterbliche :) Gut zu wissen.

Danke nochmals. Ist echt sehr nett von dir/euch immer so viel Zeit aufzuwenden um mir solche Fragen zu beantworten. Wirklich sehr sehr nett, danke.

Kommentar von sotnu ,

Habs jetzt mal getestet, hier mal die Zitierte Antwort die ich unten schon gegeben habe:

"Nach 5 Mal formatieren (Schnellformatieren) mittels Partitionierungstool
(das Windowsinterne), konnte ich die Datei noch finden, aber (!) Mit
Recuva und (ich glaube es hiess) R-Studiod wurde nichts gefunden.

Wenn ich den Hacken bei Schnellformatierung raus nehme (also nicht bei der Installation, sondern in der Datenträgerverwaltung), dann finde ich die Datei trotzdem noch.

Wenn ich DBAN nehme, ist alles gelöscht,
bis auf 2 Einträge die irgendwas mit Virtualbox heissen (da ich ja die
Partition selbst nicht gelöscht habe, nur deren "Inhalt" nehme ich an,
es liegt daran). Sonst war wirklich alles ausnahmslos weg."

Das Recuva nichts gefunden hat, hat mich erstaunt. Das soll ja ein ziemlich beliebtes Tool sein.

Antwort
von AnnaRisma, 21

Hi sotnu,

Faron beantwortete die Frage gewohnt souverän und völlig richtig, sodass ich lediglich noch darauf verweisen will, dass das "Problem" der Begriff ist ...

Blöderweise hört sich "formatieren" im Deutschen irgendwie nach "in Form bringen, fit machen (oder so) an. Und dann kommt noch dazu, dass viele unter dem Begriff nicht nur "das Vorbereiten eines Datenträgers zur Datenaufnahme" verstehen, sondern auch das oft gleichzeitig vorgenommene Überschreiben ...

Autowäsche und Heißwachs sind aber zweierlei Prozesse (und müssen in aller Regel auch extra bezahlt werden), auch wenn viele beides gleichzeitig (oder eben kurz nacheinander) ihrem Pkw angedeihen lassen!

Ebenso beim Formatieren. Formatiert man z. B. eine externe Festplatte unter Windows, erhält man die Möglichkeit, entweder wirklich nur zu formatieren oder gleichzeitig die alten Daten mit Nullen zu überschreiben.

Rechtsklick auf das LW, "Formatieren..." im Kontextmenü anklicken (normal mit der linken Maustaste), dann öffnet sich ein Fenster in dem es die Option "Schnellformatierung" gibt. Ist diese angehakt, wird "nur" formatiert (Daten sind also wiederherstellbar), klickt man den Haken weg, wird der Inhalt des LW überschrieben (und ist somit unwiederbringlich weg).

Immer wieder wird berichtet, dass Stasi-Schergen wie die NSA auch überschriebene Daten wiederherstellen können (dabei soll die Tatsache ausgenutzt werden, dass Schreib-/Leseköpfe "streuen" und an den Flanken der Spuren Reste der alten Informationen erhalten bleiben). Kann man glauben, muss man aber nicht ... Am besten, du rufst dort mal an, richtest denen einen schönen Gruß von mir aus (den mit dem Mittelfinger) und fragst einfach mal, ob denn nu oder was ...

Also: Auch tausendmal formatieren löscht Daten nicht wirklich ... solange wirklich "nur" formatiert wird: https://de.wikipedia.org/wiki/Formatierung

Kommentar von sotnu ,

Auch dir danke für die Antwort :-)

Ach so, evtl. hat er beim neu installieren die ganze Zeit die nicht schnelle Formatierung genommen. Das ist ja auch ein ganz komisches System. Warum nennt Windows (Microsoft) alles falsch. Schon wenn man eine Festplatte anschliest, steht da eigentlich immer die falsche Zahl bzw. falsche Abkürzung (GB anstatt GiB).

Aber wegen dem "in Form Bringen", stimmt dass denn nicht ? Es bringt die Festplatte "so" in Form, dass sie Bereit ist. In Form bringen, heisst ja nicht löschen. Ich finde das passt schon. In Form bringen im Sinne von (die richtige) Gestalt (Format, ntfs z.B) annehmen.

Und ok, ja eigentlich bin ich auch der Meinung, dass Formatieren garnichts ändert, aber irgendwie hat er mich verunsichert. Später ist mir dann auch noch eingefallen, dass es ja zeitlich garnicht möglich wäre, selbst wenn nur eine 0 bzw. 1 von einer Datei beschädigt werden würde.

Dieser Wikiartikel hat mich nur mehr verunsichert. Da steht nämlich, dass eine "normale" Formatierung auch alle Daten löscht.


Kommentar von AnnaRisma ,

Ja, ja, die Sprache und ihre Wörter ... Aber OHNE Wörter wäre es noch schlimmer! Irgendwie müssen wir uns ja verständigen, und wenn wir jedes Mal, wenn neue Technologien Einhalt ... auch neue Wörter erfänden, würde das wohl irgendwann unser Aufnahmevermögen sprengen ...

Deshalb greifen wir oft auf altbekannte zurück, übernehmen solche einfach, sodass sie oft mehr schlecht als recht zur neuen Technik passen ...

Mal ein Beispiel: Der Straßenverkehr ... DEN gab es, vor 160000 Jahren, als unser Baumuster des Homo sapiens entstand, noch nicht. Nicht einmal vor 10000 Jahren, als wir unser Dasein als Jäger und Sammler zugunsten des Ackerbaus und der Viehzucht aufgaben. Es handelt sich also um eine recht neue Technologie, deren Bestandteile nun benannt werden mussten. Einerseits übernahmen wir schon zuvor bekannte Begriffe und erweiterten einfach deren Bedeutung, respektive fügten neue Bedeutungen hinzu (z. B.: "Parken"), einige Begriffe entstanden neu und weitere schließlich "dengelten" wir zurecht (Bsp: "Ampel", entstanden durch Umstellung der Buchstaben des Worts "Lampe").

Auch den Computer gab es vor 160000 Jahren noch nicht (eigentlich komisch, stell dir vor, die hatten damals KEINE PCs! Die konnten den ganzen Tag nur fernsehen und NIE bei Facebook über hilfesuchende Flüchtlingskinder lästern ...).

Womit ich auch schon beim Thema wäre ;-)

Ja, "formatieren" bringt die Festplatte "in Form" ... in gewisser Weise jedenfalls. Nur dass viele eben glauben, sie brächte den ganzen Rechner "in einen Zustand, der dem nach der Installation des BS entspricht". Viele wähnen also, "formatieren" wäre Neuinstallieren des Betriebssystems ... und das ist dann doch weit gefehlt, auch wenn im Zusammenhang mit der Neuinstallation der Begriff "formatieren" ...

Im verlinkten Wikipedia-Artikel wird klar ausgesagt, dass bei einer High-Level-Formatierung (und um die geht es hier) die Daten auf der Festplatte verbleiben und erst beim anschließenden Benutzen der Festplatte durch Überschreiben nach und nach "gelöscht" werden (siehe Abschnitt "Normal- und Schnellformatierung"). Und dort wird auch darauf hingewiesen, dass Microsoft den Begriff sehr unexakt verwendet und dass Windows bei SEINER "normalen" Formatierung durchaus Daten löscht!

Nächster Begriff: Löschen! Für den Wald- und Wiesennutzer sind die Daten nach einer reinen Formatierung weg ... sein Betriebssystem findet sie nicht wieder. Somit könnte man sagen: "Die Daten sind gelöscht". Nun kommt aber der (Semi)Profi und zeigt ihm mithilfe eines Datenrettungsprogramms, dass sie doch noch "da" sind. Also doch nicht "gelöscht" oder was?

ERST muss man die Wörter, die man benutzt definieren! In diesem Fall: Welche Stufe von "gelöscht" ist gemeint? Auch ich werfe in der Hektik des Alltags verschiedene Bedeutungen durcheinander ... da sage ich schon mal, "das Dokument habe ich gelöscht", obwohl ich natürlich genau weiß, dass es nur "als gelöscht markiert wurde" (hat jetzt keinen Zusammenhang mit dem Thema "Formatierung" ... soll nur ein Beispiel sein). Erst wenn dann jemand kommt und gezielt nachfragt, "hast du es auch WIRKLICH gelöscht, oder kann man es wiederherstellen?", wird mir wieder völlig bewusst, dass der Begriff ja verschiedene Bedeutungsabstufungen hat.

Immer wieder ein gutes Beispiel: Wenn sich ein Computerexperte, ein Biologe, ein Maler und ein Chauvi über den Begriff "Maus" unterhalten, reden sie gründlich aneinander vorbei!

Kommentar von sotnu ,

Stimmt auch wieder. Und diesen Abschnitt habe ich garnicht gesehen.

Übrigens habe ich es jetzt mal getestet, danach den PC neu aufgesetzt, deswegen die späte Antwort.

Nach 5 Mal formatieren (Schnellformatieren) mittels Partitionierungstool (das Windowsinterne), konnte ich die Datei noch finden, aber (!) Mit Recuva und (ich glaube es hiess) R-Studiod wurde nichts gefunden.

Wenn ich den Hacken bei Schnellformatierung raus nehme (also nicht bei der Installation, sondern in der Datenträgerverwaltung), dann finde ich die Datei trotzdem noch.

Wenn ich DBAN nehme, ist alles gelöscht, bis auf 2 Einträge die irgendwas mit Virtualbox heissen (da ich ja die Partition selbst nicht gelöscht habe, nur deren "Inhalt" nehme ich an, es liegt daran). Sonst war wirklich alles ausnahmslos weg.

Antwort
von antimalware, 24

Dein Bekannter hat, zumindest mit der Erklärung des Überschreibens, recht. Beim Formatieren der Platte wird nicht gelöscht, sondern überschrieben, zwar mit 1ern und 0ern, da der PC in 1en und 0en denkt. Wie er trotzdem mehr versteht? Durch die Firmware, welche mit dem OS kummuniziert. Hier gibt es verschiedene Schichten. Google hilft weiter.

"Beim Überschreiben wird die gesamte Platte mehrfach mit bestimmten Mustern oder mit Zufallszahlen komplett überschrieben. Mit jedem Übeschreiben wird es in speziellen Forensischen Labor schwieriger, den Originalinhalt  wiederherstellen zu können. Aber erstmal ist nichts unmöglich.

Es gibt aber auch durchaus jetzt auf der Platte noch einige Bereiche, die hierbei gar nicht überschrieben werden, z.B. einige Blöcke die irgendwann mal von der Platte als defekt markiert wurden und anstatt deren dann Reserveblöcke benutzt wurden. Die Wahrscheinlichkeit, dass aber genau dort noch wichtige Daten stehen könnten, ist abhängig von der Gesamtdichte der geheimen Informationen auf dem Medium."

Kommentar von sotnu ,

Danke erstmal für die Antwort.

"Beim Formatieren der Platte wird nicht gelöscht, sondern überschrieben"

Überschreiben ist für mich das selbe wie löschen und dann neu drauf schreiben, nur machen das, soweit ich weiss, keine Festplatten.

Also ich weiss schon, dass der PC in 0-en und 1-en "denkt". Aber warum sollte da etwas überschrieben werden (Abgesehen davon, dass das Formatieren, soweit ich weiss, auch ganz bisschen Speicher verbraucht) ? Formatieren dauert bei mir einige Sekunden, wenn alles überschrieben werden würde, würde das einige Stunden dauern.  Irgendwie verstehe ich nicht ganz, was du meinst.

Das was du da in den 2 letzten Abschnitten zitierst, ist doch eher sowas wie das, was Programme wie DBAN, Eraser oder Disk Wipe machen ? Oder habe ich das irgendwie missverstanden ( Das mit den Reserveblöcken habe ich garnicht miteinbedacht, die mal ausgelassen) ?

Keine passende Antwort gefunden?

Fragen Sie die Community

Weitere Fragen mit Antworten