Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Manipualtionsversuch und Löschen von Daten beweisen

Mitglied: ansa71

ansa71 (Level 1) - Jetzt verbinden

28.09.2008, aktualisiert 31.12.2008, 5527 Aufrufe, 10 Kommentare

Hallo,

folgende Situation: an einem von uns betreuten Rechner (Windows 2000) wurden Bilder gelöscht, die als Beweismaterial in einem Prozess dienen sollten. 2 Personen sind sich völlig sicher, dass die Bilder wenige Tage zuvor noch da waren. Ich habe mit einem Wiederherstellungsprogramm versucht die Bilder wieder zu holen, aber leider ohne Erfolg. Derjenige der sie gelöscht hat, hat ganze Arbeit geleistet. Jetzt meine Frage: Gibt es eine Möglichkeit nachzuvollziehen wann welche Aktionen am Pc durchgeführt wurden, oder ist es sogar möglich festzustellen ob Bereiche der Festplatte mehrfach hintereinander in kurzen Zeitabständen überschrieben wurden.

Gruß und schon mal danke fürs überlegen
Mitglied: kaiand1
28.09.2008 um 13:34 Uhr
Es hängt von viele Faktoren ab
Is der PC in eine Domaäne? Da werden Userlogins Prokotoliert.
Was sagt die Eventlog aus?
Die Frage ist aber auch wenn es wichtige Beweise sind wiso habt ihr kein Backup davon af ner CD im Tresor USB Stick ect gemacht??
Wenn die Daten auf der Systemhdd sind und der schon mehrmals neugestartet wurde ect sehen die Chanden schlecht aus was zu retten...
Bitte warten ..
Mitglied: ansa71
28.09.2008 um 13:48 Uhr
Ja der PC ist einer Domäne, aber meines Wissens nach werden da nur Userlogins protokolliert und keine Aktionen wie z.B. löschen von Daten. Da in der Zeit wo wahrscheinlich die Daten gelöscht wurden ein Benutzer angemeldet war, ist das also wenig hilfreich.
Das Ereignisprotokoll sagt nichts in diese Richtung aus. Ein Image haben wir schon gemacht, aber leider wurde in der Zeit zwischen der wahrscheinlichen Löschung und der Feststellung, dass Daten gelöscht sind, der PC schon mehrfach wieder hoch- und runtergefahren.
Bitte warten ..
Mitglied: DerSchorsch
28.09.2008 um 14:39 Uhr
Hallo,

Eventuell kann ein professioneller Datenrettungsunternehmen die Daten wiederherstellen. Die haben da ganz andere Möglichkeiten, als du mit einer Software.

Ansonsten hast du meiner Meinung nach schlechte Karten. Windows kann zwar eine Objektüberwachung (und damit die Protokollierung, wer was mit einer Datei macht), aber das muss erst eingeschaltet werden. Geht natürlich nicht nachträglich...
Ich fürchte, du wirst dich auf unbequeme Fragen gefasst machen müsssen: warum gibt es kein Backup und warum hatte ein Unberechtigter Löchrechte für diese doch sehr wichtigen Dateien?

Gruß,
Schorsch
Bitte warten ..
Mitglied: ansa71
28.09.2008 um 15:24 Uhr
Danke für den Hinweis aber das mit einer Datenrettungsfirma wird wohl zu teuer und außerdem konnten wir die Bilder von der Speicherkarte der Digicam wiederherstellen. Den unbequemen Fragen sehe ich gelassen entgegen, da mich wohl keiner dafür verantwortlich machen kann, wenn ein Rechner mit angemeldetem Benutzer über Nacht laufen gelassen wurde. Außerdem habe ich die Betreuung des Systems erst vor einigen Tagen übernommen und kann daher nicht für die Versäumnisse meines Vorgängers verantwortlich gemacht werden.

Wichtiger wäre es, zu beweisen, dass an dem Rechner unberechtigt Daten gelöscht wurden. Vielleicht hat jemand noch eine Idee.
Bitte warten ..
Mitglied: 20580
28.09.2008 um 15:56 Uhr
Hallo,

unter Xp/2000 gibt es die Möglichlichkeit gelöschte Dateien/verwaiste Dateien zu Protokolieren.Die einfachste Möglichkeit dieses wieder auszulesen , sind Tools.z.B. XPCLEAN kann die verwaisten Einträge in der Registrierung zufinden.

Damit kann man ein Protokoll erstellen.Vielleicht hilft es.

http://www.netzwelt.de/software-chooser/3899_2-xp-clean.html

Gibt auch eine interne History in XP/2000.

Einfach mal Googlen..

Mfg
Bitte warten ..
Mitglied: 68702
28.09.2008 um 17:02 Uhr
wenn ein Rechner mit angemeldetem Benutzer über
Nacht laufen gelassen wurde.
Autsch, wieso sperrt der Rechner nicht nach 5 - 15 Min. Inaktivität ?
Bitte warten ..
Mitglied: drop-ch
29.09.2008 um 09:48 Uhr
Hi asna71

Beweismaterial in einem Prozess
das mit einer Datenrettungsfirma wird wohl zu teuer

Aus meiner Sicht ein Wiederspruch!
Wenn ein Prozess läuft, dann sind die 1000 oder 2000 Euro einer professionellen Datenrettungsfirma bestimmt nicht zu teuer. Da werden die Anwaltskosten der grosse Teil der Rechnung sein.

Professionelle Datenrettungsinstitute sind in der Lage, Daten welche mehrfach überschrieben wurden, wiederherzustellen.

gretz drop
Bitte warten ..
Mitglied: HightopOne
02.10.2008 um 21:04 Uhr
abgesehen von den Tipps und Schwierigkeiten von den meine Vorredner schon geschrieben haben,möchte dir das Tool WinHex nahe legen,weil damit kannst du dir die festplatte genau anschauen,sektor für sektor und alles was jemals auf einer Festplatte war kann mit diesem Tool wieder hergestellt werde,das tool wird mitunter von Gerichten genutzt,um somit alle möglichen übeltäter zu überführen,um die Bilder und andere nette Sachen wieder sichtbar zu machen.

Hier ein beitrag dazu http://de.wikipedia.org/wiki/WinHex der sehr aufschlussreich ist und da der Link http://www.x-ways.net/winhex/index-d.html zum Prog,du wirst aber nur mit der Vollversion die Daten herstellen können.
Bitte warten ..
Mitglied: gnarff
22.12.2008 um 23:38 Uhr
Das Filesystem einer forensischen Analyse unterziehen, dafuer bedient man sich eines forensichen Analysetools, wie es der Sleuth-kit eines ist.

saludos
gnarff
Bitte warten ..
Mitglied: ITIL-Harry
21.01.2009 um 22:52 Uhr
Die Überwachung von Datenzugriffen muss vorher explizit eingeschaltet werden. Dann können Dateizugriffsaktionen wie z. B. Löschung im Security-Log nachgesehen werden.

Das muss aber für jedes Verzeichnis eingerichtet werden und muss mit Bedacht getan werden, da es sich massiv auf die Rechnerperformance auswirkt.

Gruß
ITIL-Harry
Bitte warten ..
Ähnliche Inhalte
Festplatten, SSD, Raid
Server Daten sicher löschen
gelöst Frage von baxxter333Festplatten, SSD, Raid6 Kommentare

Hallo zusammen, ich habe hier bei mir 3 alte Server, die ich gerne weitergeben möchte. Ich selbst brauche sie ...

Batch & Shell
Skript für Daten löschen
gelöst Frage von DarkJMBatch & Shell3 Kommentare

Hallo zusammen, ich habe folgendes Problem. Ich muss ein Skript schreiben, womit man Daten in einem Ordner und in ...

Soziale Netzwerke

Facebook muss Daten von Whats App löschen

Information von brammerSoziale Netzwerke11 Kommentare

Hallo, der Hamburger Datenschutzbeauftragte Johannes Casper hat per Anordnung die Nutzung von Daten die von Whats App an Facebook ...

Server

Per FTP Daten übertragen und löschen

Frage von sepi5001Server10 Kommentare

Hallo, hoffe ihr könnt mir helfen. Ich möchte per FTP alle Dateien mit der Endung BRB auf mein lokales ...

Neue Wissensbeiträge
Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 10 StundenWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Sicherheit
Microsoft und Skype: Sicherheit
Information von kgborn vor 11 StundenSicherheit

Die Tage gab es ja einige Berichte zur Sicherheit des Skype-Updaters. Der Updater von Skype läuft unter dem Konto ...

Datenschutz

Behörden ignorieren Sicherheitsbedenken gegenüber Windows 10

Information von Penny.Cilin vor 1 TagDatenschutz8 Kommentare

Hallo, passend zum Thema Ablösung LIMUX in München ein Beitrag bei Heise (siehe Link folgend). Behörden ignorieren Sicherheitsbedenken gegenüber ...

Sicherheit
Information Security Hub Munich airport
Information von brammer vor 1 TagSicherheit

Hallo, Neues Center für Cyber Kriminalität am Münchener Flughafen brammer

Heiß diskutierte Inhalte
Exchange Server
Exchange Postfach Einbindung Betriebs-rat -Arzt, Bewerbung .
gelöst Frage von YellowcakeExchange Server23 Kommentare

Hey ich habe da mal eine Denksport Aufgabe bekommen Genutzt wird ein Exchange Server 2010. hier gibt es den ...

Windows Server
Downgrade von Windows Server 2016 auf 2012 - Wie vorgehen?
Frage von EstefaniaWindows Server13 Kommentare

Guten Ich habe eine Frage an Erfahrene unter euch. Durch einen InPlace Upgrade wurde Windows Server 2012 auf die ...

Datenschutz
Telematikinfrastruktur Erfahrungsaustausch
Frage von MOS6581Datenschutz12 Kommentare

Moin, unter meinen Kunden befinden sich auch einige Ärzte, welche sich künftig mit der Telematikinfrastruktur-Geschichte der Gematik herumärgern dürfen. ...

Windows Server
Delgegierte OU via RDP verwalten - Objektverwaltung zuweisen
gelöst Frage von TOAOICEWindows Server12 Kommentare

Hallo, ich habe folgendes Problem. Ich möchte in meiner Domäne (Server2016), einer Gruppe (OUAdmin) Berechtigungen auf die OU Test ...