Ergebnis 1 bis 5 von 5

Tool zum engültigen Löschen von Datein gesucht

  1. #1 Zitieren
    Ehrengarde Avatar von Saiyajin
    Registriert seit
    Mar 2007
    Ort
    Hessen
    Beiträge
    2.828
    Servus Leute!

    ich weiß, dass wenn man den Windows 7 Papierkorb leert (in meinen Fall noch das gute alte Win7) die Datein trotzdem noch irgendwo auf der Festplatte liegen und man diese mit Wiederherstellungstools wiederherstellen kann.

    Ich habe bisher leider kein Programm gefunden, was meine Festplatte abscannt und alle gelöschten Datei auflistet um diese wirklich endgültig zu löschen.
    EDIT: EaseUS Data Recover ist so ein Wiederherstellungstool. Jedoch kann ich damit die Datein wirklich nur wiederherstellen und nicht engültig löschen...

    Geht dies nur mit einer Normalen-Formatierung oder kann ich die Datein auch so irgendwie engültig löschen?

    PS: besitze eine SSD, da ist das Verfahren (TRIM) ja etwas ander so wie ich das verstanden habe.


    EDIT: Habe nun das Programm Eraser 6.20 gefunden. Laut Anleitung, ich zitiere:
    Möchten Sie freien Speicherplatz überschreiben, um durch Windows gelöschte Dateien, die aber wie oben beschrieben doch noch vorhanden sind, unwiederbringlich zu löschen, dann sollten Sie vorher evtl. ein Backup von den Dateien erstellen, die Ihnen wichtig sind. Bei solchen Löschaktionen, die tief ins System eingreifen, kann es auch immer wieder passieren, dass auch wichtige Dateien mir in den Abgrund gerissen werden, auch wenn Eraser vor dem endgültigen Löschen nachfragt, aber sicher ist sicher!
    Quelle: http://gerold-dreyer.de/j/freeware

    Jedoch ist die Anleitung nicht für die neue Version gedacht und in der neue Version komme ich nicht ganz klar. Vielleicht kennt sich hier jemand besser aus?
    Saiyajin ist offline Geändert von Saiyajin (19.04.2019 um 15:21 Uhr)

  2. #2 Zitieren

    Metasyntaktische Variable
    Avatar von foobar
    Registriert seit
    Sep 2004
    Ort
    Direkt hinter dir! Buh!
    Beiträge
    24.009
    Die Frage ist immer, wie endgültig man es denn bitte haben möchte. Dazu gibt's - wir sind ja in Deutschland - sogar eine Norm. DIN 66399 beschreibt 3 Schutzklassen von Daten und 7 Sicherheitsstufen, die den Aufwand angeben, den man für die Wiederherstellung aufwenden müsste. Bei der niedrigsten Stufe reicht einfaches Löschen. Die höchste Stufe 7 für militärischen Krams und so schreibt AFAIK vor, dass der ganze Datenträger so zerhackstückelt werden muss, dass am Ende kein Teilchen mehr als 5mm² Oberfläche mehr hat.

    Zunächst mal muss man schauen, ob auf der Software-Ebene Daten verbleiben. Den Papierkorb hast du schon identifiziert. Andere Mechanismen sind die Volumenschattenkopien unter Windows oder Snapshots bei Dateisystemen wie bspw. btrfs oder ZFS. Auch können die Inhalte der gelöschten Dateien noch eine Weile im RAM, Auslagerungsspeicher oder dem Ruhezustandsspeicher vor sich hin schlummern. Das lässt sich i.d.R. durch passende Einstellungen erschlagen. Volumenschattenkopien kann man deaktivieren oder manuell löschen, die pagefile.sys kann man per Gruppenrichtlinie beim Ausschalten säubern lassen. Unter Linux genügen ein paar Konsolenbefehle zum Löschen der diversen Zwischenspeicher. Ruhezustand lässt sich auch abschalten oder einfach ignorieren. Etc. etc.

    Hat man das alles eliminiert, muss man sich die Hardware-Ebene angucken. Da gilt es, wie von dir richtig erkannt, zwischen Magnetfestplatten (HDDs) und Solid State Drives (SSDs) zu unterscheiden.

    Bei HDDs hat man früher gesagt, dass man sie mehrere Male mit Zufallsdaten überschreiben müsse. Das stammt aber aus Zeiten, als die Mechanik noch nicht so präzise war. Da waren die Spuren breiter und die Schreibköpfe haben mehr gewobbelt und dann konnten im Randbereich der Spuren u.U. Reste von früheren Schreibvorgängen zurückbleiben, die man evtl. wieder hätte auslesen können. Bei Platten, die ~15 Jahre oder jünger sind, ist das alles kein Thema mehr. Einmal mit Nullen überschreiben reicht für jedes normale Schutzbedürfnis völlig aus. Dazu kann man entweder ein Tool benutzen, dass die Sektoren, auf denen die Datei liegt, aus den Dateisystem ausliest und die dann gezielt überschreibt. Linux-Tools dazu sind bspw. 'shred' oder 'wipe'. Unter Windows kann man sich mal sdelete oder chipher angucken. Das klappt aber natürlich nur bei "klassischen" Dateisystemen, nicht bei Copy-on-Write. Oder man löscht die Dateien einfach normal (samt aller o.g. Software-Duplikate) und überschreibt dann einmal den gesamten freien Bereich der Platte. Dabei werden dann natürlich auch die Sektoren überschrieben, auf denen die Dateien vorher lagen. Das geht mit einem einfachen 'cat /dev/zero > nullfile.bin' (als root). Irgendwann ist die Platte voll und der Vorgang bricht ab. Dann löscht man die nullfile.bin und ist fertig. Unter Windows geht das IIRC auch mit sdelete.

    Theoretisch kann es noch sein, dass Daten in Sektoren zurück bleiben, die die Platte als defekt markiert und durch neue Sektoren aus einem versteckten Reservebereich ersetzt hat. Ob das der Fall ist, sieht man in der SMART-Ausgabe unter "Reallocated Sector Count". Allerdings hat die Platte die Bereiche ja aussortiert, weil sie kaputt waren. Daher ist die Frage, wieviel man da überhaupt noch wiederherstellen kann. Wenn man das auch noch erschlagen will, hilft nur das physische Zerstören der Platte.

    Bei SSDs ist es komplizierter, weil es keine direkte Verknüpfung mehr gibt zwischen der logischen Sektornummer auf der SATA/NVMe-Schnittstelle und dem physikalischen Speicherbereich im Flash. Durch das Wear Levelling landet ein Schreibzugriff auf Sektor 4711 mal hier und mal da. Nur der Flashcontroller kennt die genaue Zuordnung. Und auch nur die aktuelle, nicht die vom vorletzten oder vorvorletzten Mal. Nach dem TRIM vergisst der Controller die Zuordnung und dann sind die Daten für Normalsterbliche weg. Theoretisch kann man den Flashspeicher auslöten und mit einem anderen, entsprechend angepassten Controller die rohen Daten auslesen und dann versuchen, daraus die Inhalte zu rekonstruieren. Der Aufwand lohnt sich aber höchstens für Geheimdienste und Strafverfolgungsbehörden, die ja nur Steuergelder verbraten. Auch dagegen hilft nur das physische Zerstören des Mediums.

    Eine Alternative ist natürlich immer der Einsatz von Verschlüsselung. Das entfernt nicht die Daten, sondern sorgt "nur" dafür, dass keiner mehr was damit anfangen kann, wenn der Schlüssel nicht vorhanden ist. Es gibt Massenspeicher mit eingebauter Vollverschlüsselung, Lösungen auf Betriebssystem-Ebene (Bitlocker, TrueCrypt, LUKS, etc.) und die klassische dateiweise Verschlüsselung mit GPG oder einem ZIP-Programm. Der Haken ist, dass man erstens dem Algorithmus und dessen Implementierung vertrauen muss und zweitens die Daten natürlich entschlüsselt werden müssen, wenn man damit arbeiten will. Bei dateiweiser Verschlüsselung können dann wieder lesbare Reste irgendwo hängen bleiben. Und auch Vollverschlüsselung ist nur dann sicher, wenn der Rechner gerade aus bzw. der entsprechende Datenträger nicht gemountet ist.
    foobar ist offline Geändert von foobar (19.04.2019 um 16:35 Uhr) Grund: Umstellung+Ergänzung

  3. #3 Zitieren
    Springshield  Avatar von Homerclon
    Registriert seit
    Aug 2004
    Ort
    Erde
    Beiträge
    18.496
    Bei einer SSD kann eine Speicherzelle nicht sofort überschrieben werden, diese muss erst genullt (gelöscht) werden bevor diese wieder beschrieben werden kann. Dies erfolgt jedoch nicht sofort, da es Zeitaufwändig ist. Damit es jedoch auch nicht erst dann durchgeführt wird wenn der Speicherplatz gebraucht wird, löscht die SSD immer dann solche Speicherzellen wenn sie gerade nichts zu tun hat.
    Oder anders ausgedrückt: lass dein PC eine gewisse Zeit ungenutzt, dann werden die unter Windows gelöschten Dateien auch physisch gelöscht.

    Es gibt auch ein ATA-Standard zum sicheren löschen (Secure Erase), der löscht aber alles (Wipe) auf der SSD und stellt den Werkszustand wieder her. Dies kann jedoch nicht bei jeder SSD genutzt werden, dazu muss der Hersteller ein Tool bereitstellen. Professionelle-SSDs von Intel und Western Digital werden aber explizit mit solchen Methoden beworben.

    Für Otto-Normal-Nutzer ist das alles nicht weiter wichtig. Wenn es um den Weiterverkauf einer gebrauchten SSD geht: durchs Formatieren sollte der TRIM auf alle Speicherzellen angewandt werden, Rest siehe dazu siehe Foobars Beitrag.


    Keinesfalls solltest einfach so mit "Eraser", oder ähnlichen Tools, deine SSD behandeln. Dies könnte nämlich die Lebenserwartung deiner SSD deutlich senken, ohne den gewünschten Effekt zu erhalten. Wenn das Tool angepasst wurde, erkennt es eine SSD, und überschreibt diese auch nicht.

    - Keine verdammte Hechtrolle zum ausweichen in Kämpfe!
    - 01100100 00100111 01101111 01101000 00100001
    Homerclon ist offline Geändert von Homerclon (19.04.2019 um 19:49 Uhr)

  4. #4 Zitieren

    Metasyntaktische Variable
    Avatar von foobar
    Registriert seit
    Sep 2004
    Ort
    Direkt hinter dir! Buh!
    Beiträge
    24.009
    Und, weil man bei so einem komplexen Thema schnell vom Hundertsten ins Tausendste kommt: Auch bei einer SSD kann es vorkommen, dass defekte Bereiche aussortiert werden und der Controller da dann auch nix mehr macht, so dass evtl. alte Daten so lange erhalten bleiben, bis sie der (thermodynamischen) Entropie zum Opfer fallen. Auch da hilft nur der Schredder.

    In der Praxis ist noch die Frage relevant: Wann passiert eigentlich der TRIM? Antwort: Das entscheidet normalerweise das Betriebssystem. Zunächst muss es den Befehl unterstützen und diesen dann auch ausführen. Bei aktuellen Windosen sollte das der Fall sein. Kann man aber mit 'fsutil behavior query DisableDeleteNotify' prüfen. Kommt eine 0 als Antwort, ist TRIM aktiv.

    Weil der TRIM auch Zeit kostet, wird er i.d.R. nicht jedes Mal ausgeführt, wenn ein Sektor "frei" wird. Sondern das OS sammelt erstmal. Windows macht normalerweise einmal die Woche ein TRIM. Man kann das Intervall ändern oder auch mal ein manuelles TRIM auslösen, indem man im Explorer mit rechts auf das Laufwerk klickt, "Eigenschaften" auswählt und dann auf dem Reiter "Tools" den Button "Optimieren" drückt. Dann kommt die Laufwerksoptimierung (kann ein Momentchen dauern) und bietet halt bei HDDs die Defragmentierung an, bei SSDs das Trimmen.

    Bei Linux hängt's von der Distri ab, aber die meisten werden es auch einmal die Woche oder so per Cronjob erledigen. Manuell kann man es mit dem Befehl 'fstrim' erledigen.

    Haben wir jetzt alles abgehandelt? Bestimmt nicht!
    foobar ist offline

  5. #5 Zitieren
    Ehrengarde Avatar von Saiyajin
    Registriert seit
    Mar 2007
    Ort
    Hessen
    Beiträge
    2.828
    Puh haj-jaj-jaj, soviel Informationen und das noch schön strukturiert und deutlich erklärt, hätte ich jetzt echt nicht erwartet vielen Dank dafür!

    Scheint ja wohl doch eine etwas komplizierte Geschichte zu sein, als einfach mal schnell ein Tool drüber laufen zu lassen der den freien Speicherplatz mehrfach überschreibt.

    Ich hab es trotzdem mal just-for-fun mit Eraser und CC-Cleaner gemacht, aber nur mit 1x Überschreibung, weil, wie Du schon sagtest, die SSD ziemlich mitgenommen wird.
    Wobei ich denke, dass die SSD's von heute (bei mir derzeit eine EVO 850 verbaut) doch schon sehr robust und zuverlässig gebaut sind.

    Ich habe davor natürlich ein Wiedeherstellungstool (EaseUS Data Recovery Wizard) durchlaufen lassen und nach der "Reinigung" - es wurde tatsächlich weniger gefunden (stat 80.000 gelöschte Einheiten nur noch 43.000 Einheiten und statt gefundenen 1.362GB nur noch 372GB

    Für meinen Fall sollte das schon irgendwie genügen, zumindest lassen sich jetzt bestimmte Dokumente nicht mehr über die Suche finden. Wenn ich die SSD dann mal verkaufen sollte oder so, formatiere ich sie einfach nochmal Gründlich und dann sollte es langen. :-)

    Aber auf jeden Fall ein interessantes Thema! und ich werde mir diesen Thread auf jeden Fall abspeichern, werde ich bestimmt in meiner Weiterbildung mal gebrauchen können ;-)


    Viele Grüße,
    Saya
    Saiyajin ist offline

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •