kostenloser Webspace werbefrei: lima-city


Festplattenschutz daten wiederherstellen, machbar?

lima-cityForumHeim-PCSoftware

  1. Autor dieses Themas

    demivee

    demivee hat kostenlosen Webspace.

    Also man nehme mal an, das ein Computer mittels Festplattenschutz softwareseitig geschützt wird.
    Dann kopiert man ein paar Dokumente auf die geschützte Platte. In der Regel wird die Platte nach dem Neustart wieder den Ursprungszustand besitzen.

    Die Frage ist nun, ob man nach dem Neustart die Daten irgendwie wiederherstellen kann. Nun ist es naheliegend, dass das Verfahren wie die Festplatte vor Änderungen geschützt wird maßgebend ist und sich von Hersteller zu Hersteller unterscheidet.

    Ganz konkret interessieren mich die Produkte BitDisk Pro und Reboot Restore RX. So weit ich weiß speichert BitDisk Pro die Änderungen in einer Datei oder Partition wohingegen Reboot Restore RX ein komplettes Abbild anfertigt.
    Zudem wird in dem System eine SSD verwendet.

    Ich gehe davon aus, dass man die Dokumente bei beiden Lösungen wiederherstellen kann. Würde man aber bei jedem hochfahren einen Schlüssel aus zufälligen Zeichen erstellen mit dem Änderungen verschlüsselt auf der SSD abgelegt werden, dann wäre es in diesem Fall nicht möglich Dokumente wiederherzustellen (vorrausgesetzt der Schlüssel liegt während des ganzen Betriebs im RAM und wird beim erneuten hochfahren neu generiert). Leider fehlen mir einige Informationen, so weiß ich z.B. nicht ob letzteres schon praktiziert wird.

    Beitrag zuletzt geändert: 4.8.2015 19:45:30 von demivee
  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. Ich denke ja, die Dokumente kann man auf jeden Fall wiederherstellen weil sie noch binär vorhanden sind. Wie einfach sich das dann gestaltet, ist wieder eine ganz andere Geschichte...

    Was ich an deinem Vorschlag/Erklärung nicht verstanden habe: Was passiert mit dem Schlüssel? Wird der auch auf der Festplatte gespeichert? Bleibt er nämlich einfach im RAM, kann man die Dokumente später nicht mehr lesen; braucht sie also eigentlich garnicht zu speichern.

    mfg
    Jonas
  4. Bei einer SSD sind die Chancen sehr gering, da hier (zumindest bei neueren Platten) die Daten vom Controller mittels TRIM wirklich gelöscht wurden. Selbst wenn TRIM deaktiviert ist, ist schwierig, wiederhergestellte Daten nutzbar auszulesen, da durch Wear-Leveling die einzelnen Datenblöcke wild auf der Platte verteilt wurden.
  5. Autor dieses Themas

    demivee

    demivee hat kostenlosen Webspace.

    Bei meinem Vorschlag bin ich davon ausgegangen, dass sich die Daten nach einem Neustart von Dritten auslesen lassen. Um dieses auslesen zu "verhindern" bietet es sich an, statt die Änderungen auf der Platte direkt in ein Image zu schreiben vorher noch zu verschlüsseln. Also Änderungen werden verschlüsselt und dann gespeichert.

    Wenn der Schlüssel bei jedem Neustart neu generiert und in den RAM geladen wird, ist es zwar möglich Daten von dem Abbild nach einem Neustart wiederherzustellen, aber diese Daten wurden ja dann verschlüsselt und sind ohne den Schlüssel wertlos. Da der Schlüssel nur im RAM liegen würde, der den Inhalt sowieso nach einem Neustart verliert (und damit den Schlüssel), wird das auslesen der Informationen zwar nicht verhindert, aber als Angreifer würde man nur auf verschlüsselte Informationen stoßen.

    Letztendlich braucht man nur den generierten Schlüssel zu vernichten damit die Daten auch sicher nicht ausgelesen werden können. Soweit die Theorie ...

    Während des PC-Betriebs hat man Zugriff auf den Schlüssel und man merkt nicht dass die Änderungen an der Platte verschlüsselt und entschlüsselt werden.

    Der Gedanke Festplatten mittels Software vor Änderungen zu schützen ist gut und der Schutz wird perfekt umgesetzt, mir ist aber nicht klar wie sehr die Daten tatsächlich geschützt sind. Wenn ich mir vorstelle das öffentlich zugängliche Computer auf diese weise geschützt sind, müsste nur jemand auf die Idee kommen regelmäßig den gelöschten Speicher auszulesen. Es wäre dann nur noch eine Frage der Zeit dass auf diesem Wege auch Passwörter oder wichtige Dokumente gefunden werden können.

    Im Bezug auf Wear-Leveling taucht ja gerade das Problem auf, dass Daten nicht verlässlich überschrieben werden können. Wie erwähnt werden die Datenblöcke verteilt, womit vermeintlich gelöschte und sogar noch "überschriebene" Daten tatsächlich unberührt bleiben. Natürlich sind die Chancen gering diese Daten sauber auszulesen, aber mit den passenden Geräten ist es trotzdem möglich die Speicherchips direkt auszulesen und unter Umständen sauber Datensätze zu erhalten. Wear-leveling ist ja nicht für den Schutz der Daten erfunden wurden, mein Vorschlag würde hier effektiev das auslesen verhindern.


  6. demivee schrieb:
    Bei meinem Vorschlag bin ich davon ausgegangen, dass sich die Daten nach einem Neustart von Dritten auslesen lassen.

    Vorschlag? Ich hatte das eher als prinzipielle Frage verstanden. :wink:

    Das entscheidende Kriterium, welches die Wiederherstellung von Daten auf einer SSD verhindert/erschwert, ist TRIM.

    Um dieses auslesen zu "verhindern" bietet es sich an, statt die Änderungen auf der Platte direkt in ein Image zu schreiben vorher noch zu verschlüsseln. Also Änderungen werden verschlüsselt und dann gespeichert.


    Sofern die verwendete SSD TRIM nutzt, kann man sich weiteren Aufwand eigentlich sparen.

    Der Gedanke Festplatten mittels Software vor Änderungen zu schützen ist gut und der Schutz wird perfekt umgesetzt, mir ist aber nicht klar wie sehr die Daten tatsächlich geschützt sind. Wenn ich mir vorstelle das öffentlich zugängliche Computer auf diese weise geschützt sind, müsste nur jemand auf die Idee kommen regelmäßig den gelöschten Speicher auszulesen. Es wäre dann nur noch eine Frage der Zeit dass auf diesem Wege auch Passwörter oder wichtige Dokumente gefunden werden können.

    Es ist nicht Aufgabe dieser Programme, die gelöschten Änderungen sicher zu löschen, sondern den gewollten Zustand sicher wiederherzustellen. Sichere Löschung wäre ein nützlicher Nebeneffekt, interessiert aber meist nicht. Bei Verwendung von aktuellen (!) SSDs hat sich das Problem aber dann auch erledigt. .


    Im Bezug auf Wear-Leveling taucht ja gerade das Problem auf, dass Daten nicht verlässlich überschrieben werden können. Wie erwähnt werden die Datenblöcke verteilt, womit vermeintlich gelöschte und sogar noch "überschriebene" Daten tatsächlich unberührt bleiben. Natürlich sind die Chancen gering diese Daten sauber auszulesen, aber mit den passenden Geräten ist es trotzdem möglich die Speicherchips direkt auszulesen und unter Umständen sauber Datensätze zu erhalten. Wear-leveling ist ja nicht für den Schutz der Daten erfunden wurden, mein Vorschlag würde hier effektiev das auslesen verhindern.


    Wear-Leaving ist eigentlich, wie bereits geschrieben, nur relevant, wenn TRIM nicht greift, was bei aktuellen SSDs aber die Ausnahme wäre.
    Selbst wenn TRIM nicht aktiv ist, wäre die Wiederherstellung im laufenden Betrieb, also außerhalb forensischer Bedingungen, die weitere Schreibzugriffe verhindern, nur sehr bedingt erfolgversprechend.
    Zudem kommt noch, daß viele SSDs bereits schreibend verschlüsseln (Stichwort: Self-Crypting ; Quasistandard bei SSDs, die einen Sandforce-Controller nutzen). Sofern dann nicht über die Controllerroutinen ausgelesen wird, die die Datenordnung wieder herstellen würden, was bei gelöschten Einträgen eben nicht der Fall ist, kann man mit den ausgelesenen Datenfragmenten eh nichts anfangen.

    Vorteilhaft, wenn man sich gegen Schnüffler schützen muß, aber im Falle eines Datenverlustes katastrophal. Da scheitern die Datenretter.
  7. Autor dieses Themas

    demivee

    demivee hat kostenlosen Webspace.

    Der TRIM Befehl von SSD Festplatten markiert den Speicherbereich als gelöscht, insofern bleiben die Daten nach so einem Befehl vorerst trotzdem erhalten (Wikipedia "TRIM ist ein Befehl zur Markierung ungenutzter oder ungültiger Datenblöcke auf Speichermedien zum Zweck der späteren Wiederbeschreibung. -> https://de.wikipedia.org/wiki/TRIM" ). In wie weit der Controller der mir vorliegenden SSD diese markierten Bereiche auch physisch überschreibt und wenn wann bzw. in welchen zeitlichen Intervallen ist mir leider nicht bekannt. Ich schließe nicht aus, dass es auch SSD Controller gibt die nach dem Erhalt des TRIM-Befehls sofort betreffende Bereiche löschen.

    Im Bezug zur Aufgabe von Festplattenschutzprogrammen meine ich zu verstehen, dass sie einen definierten Zustand der Festplatte beibehalten sollen.
    Wenn man jetzt annimmt das die Festplatte in zwei Partitionen unterteilt ist - die eine für das System, und die andere für dessen Abbild - müsste nach einem Neustart die Systempartition unberührt bleiben. Aber auch die andere Partition sollte sich dann im ursprünglich leeren Zustand befinden, weil sonst die Software nicht den gesamten ursprünglichen Zustand wiederherstellt.
    Selbstverständlich ist es nicht die Aufgabe eines Festplattenschutzprogramms, sich auch noch um die sichere Löschung zu kümmern.
    Ich muss zugeben das BitDisk anbietet - beim Partitionsschutz - eine Partition zu schützen während auf der anderen die Änderungen geschrieben werden. Dem zu Folge erfüllt das Programm die Aufgabe, auch wenn die Partition auf der die Änderungen liegen nicht sauber mit Nullen überschrieben wird (so wie die Partition halt ursprüglich war).
    Bei der Funktion die Änderungen in eine Datei zu schreiben - die sich auf der zu schützenden Partition befindet - erwarte ich als Anwender nach einem Neustart (oder wie auch immer) den gesamten ursprünglichen Zustand. Zu diesem Zustand zählt der mit Nullen beschrieben freie Speicherplatz genauso dazu, wie der durchs System belegte. Demnach sollte das Programm auch keine sichere Löschung durchführen, sondern nur binäre Werte zurückschreiben. Da das physische zurücksetzten aber Zeit kostet, spart man sich die Wartezeit wenn man Speicherbereiche als gelöscht markiert.

    Auch wenn Wear-Leveling dafür gedacht ist die MLC Zellen zu schonen, um die Zellen gleichmäßig "abzunutzen" kommt die Streuung der Daten dem Schutz der als gelöscht markierten tatsächlich zugute. Vielleicht sehe ich den Schutz der Daten einfach viel zu streng :biggrin:

    Naja jedenfalls vielen Dank für die Hinweise :prost:
  8. Ich habe gehört, dass es Programme für die Wiederherstellung von Dateien gibt. Ich würde auch so was brauchen.
  9. Ich sag mal so ganz vorsichtig: Du hast von dem, was da oben steht, nicht viel verstanden.

    Du suchst ein Programm, um versehentlich gelöschte Dateien oder Dateien von der Oberfläche teilweise beschädigter Datenträger zu retten. Das ist was anderes.(sag ich jetzt mal)

    Wenn ich so etwas brauche suche ich auf mener entsprechenden externen Festplatte nach einem Programm, indem ich den Begriff recovery eingebe. Deshalb kann ich Dir jetzt keinen Link geben.

    Du findest aber ein entsprechendes Programm, indem Du Datenrettung in die Suchmaschine Deines Vertrauens eingibst, oder auf den DownLoad-Seiten von Computer-Zeitungen stöberst.
  10. Ich konnte meine gelöschten Daten problemlos mit einer Recovery Software retten.
  11. Zurzeit kann man gelöschte Daten wiederherstellen. Ich hatte schon eine gute Erfahrung mit http://hetmanrecovery.com/de/. Die Software ist empfehlenswert. Ich konnte mein Problem damit schnell lösen.
  12. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!