10
Manipualtionsversuch und Löschen von Daten beweisen
Hallo,
folgende Situation: an einem von uns betreuten Rechner (Windows 2000) wurden Bilder gelöscht, die als Beweismaterial in einem Prozess dienen sollten. 2 Personen sind sich völlig sicher, dass die Bilder wenige Tage zuvor noch da waren. Ich habe mit einem Wiederherstellungsprogramm versucht die Bilder wieder zu holen, aber leider ohne Erfolg. Derjenige der sie gelöscht hat, hat ganze Arbeit geleistet. Jetzt meine Frage: Gibt es eine Möglichkeit nachzuvollziehen wann welche Aktionen am Pc durchgeführt wurden, oder ist es sogar möglich festzustellen ob Bereiche der Festplatte mehrfach hintereinander in kurzen Zeitabständen überschrieben wurden.
Gruß und schon mal danke fürs überlegen
folgende Situation: an einem von uns betreuten Rechner (Windows 2000) wurden Bilder gelöscht, die als Beweismaterial in einem Prozess dienen sollten. 2 Personen sind sich völlig sicher, dass die Bilder wenige Tage zuvor noch da waren. Ich habe mit einem Wiederherstellungsprogramm versucht die Bilder wieder zu holen, aber leider ohne Erfolg. Derjenige der sie gelöscht hat, hat ganze Arbeit geleistet. Jetzt meine Frage: Gibt es eine Möglichkeit nachzuvollziehen wann welche Aktionen am Pc durchgeführt wurden, oder ist es sogar möglich festzustellen ob Bereiche der Festplatte mehrfach hintereinander in kurzen Zeitabständen überschrieben wurden.
Gruß und schon mal danke fürs überlegen
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 98003
Url: https://administrator.de/contentid/98003
Printed on: April 18, 2024 at 12:04 o'clock
10 Comments
Latest comment
Es hängt von viele Faktoren ab
Is der PC in eine Domaäne? Da werden Userlogins Prokotoliert.
Was sagt die Eventlog aus?
Die Frage ist aber auch wenn es wichtige Beweise sind wiso habt ihr kein Backup davon af ner CD im Tresor USB Stick ect gemacht??
Wenn die Daten auf der Systemhdd sind und der schon mehrmals neugestartet wurde ect sehen die Chanden schlecht aus was zu retten...
Is der PC in eine Domaäne? Da werden Userlogins Prokotoliert.
Was sagt die Eventlog aus?
Die Frage ist aber auch wenn es wichtige Beweise sind wiso habt ihr kein Backup davon af ner CD im Tresor USB Stick ect gemacht??
Wenn die Daten auf der Systemhdd sind und der schon mehrmals neugestartet wurde ect sehen die Chanden schlecht aus was zu retten...
Ja der PC ist einer Domäne, aber meines Wissens nach werden da nur Userlogins protokolliert und keine Aktionen wie z.B. löschen von Daten. Da in der Zeit wo wahrscheinlich die Daten gelöscht wurden ein Benutzer angemeldet war, ist das also wenig hilfreich.
Das Ereignisprotokoll sagt nichts in diese Richtung aus. Ein Image haben wir schon gemacht, aber leider wurde in der Zeit zwischen der wahrscheinlichen Löschung und der Feststellung, dass Daten gelöscht sind, der PC schon mehrfach wieder hoch- und runtergefahren.
Das Ereignisprotokoll sagt nichts in diese Richtung aus. Ein Image haben wir schon gemacht, aber leider wurde in der Zeit zwischen der wahrscheinlichen Löschung und der Feststellung, dass Daten gelöscht sind, der PC schon mehrfach wieder hoch- und runtergefahren.
Hallo,
Eventuell kann ein professioneller Datenrettungsunternehmen die Daten wiederherstellen. Die haben da ganz andere Möglichkeiten, als du mit einer Software.
Ansonsten hast du meiner Meinung nach schlechte Karten. Windows kann zwar eine Objektüberwachung (und damit die Protokollierung, wer was mit einer Datei macht), aber das muss erst eingeschaltet werden. Geht natürlich nicht nachträglich...
Ich fürchte, du wirst dich auf unbequeme Fragen gefasst machen müsssen: warum gibt es kein Backup und warum hatte ein Unberechtigter Löchrechte für diese doch sehr wichtigen Dateien?
Gruß,
Schorsch
Eventuell kann ein professioneller Datenrettungsunternehmen die Daten wiederherstellen. Die haben da ganz andere Möglichkeiten, als du mit einer Software.
Ansonsten hast du meiner Meinung nach schlechte Karten. Windows kann zwar eine Objektüberwachung (und damit die Protokollierung, wer was mit einer Datei macht), aber das muss erst eingeschaltet werden. Geht natürlich nicht nachträglich...
Ich fürchte, du wirst dich auf unbequeme Fragen gefasst machen müsssen: warum gibt es kein Backup und warum hatte ein Unberechtigter Löchrechte für diese doch sehr wichtigen Dateien?
Gruß,
Schorsch
Danke für den Hinweis aber das mit einer Datenrettungsfirma wird wohl zu teuer und außerdem konnten wir die Bilder von der Speicherkarte der Digicam wiederherstellen. Den unbequemen Fragen sehe ich gelassen entgegen, da mich wohl keiner dafür verantwortlich machen kann, wenn ein Rechner mit angemeldetem Benutzer über Nacht laufen gelassen wurde. Außerdem habe ich die Betreuung des Systems erst vor einigen Tagen übernommen und kann daher nicht für die Versäumnisse meines Vorgängers verantwortlich gemacht werden.
Wichtiger wäre es, zu beweisen, dass an dem Rechner unberechtigt Daten gelöscht wurden. Vielleicht hat jemand noch eine Idee.
Wichtiger wäre es, zu beweisen, dass an dem Rechner unberechtigt Daten gelöscht wurden. Vielleicht hat jemand noch eine Idee.
Hallo,
unter Xp/2000 gibt es die Möglichlichkeit gelöschte Dateien/verwaiste Dateien zu Protokolieren.Die einfachste Möglichkeit dieses wieder auszulesen , sind Tools.z.B. XPCLEAN kann die verwaisten Einträge in der Registrierung zufinden.
Damit kann man ein Protokoll erstellen.Vielleicht hilft es.
http://www.netzwelt.de/software-chooser/3899_2-xp-clean.html
Gibt auch eine interne History in XP/2000.
Einfach mal Googlen..
Mfg
unter Xp/2000 gibt es die Möglichlichkeit gelöschte Dateien/verwaiste Dateien zu Protokolieren.Die einfachste Möglichkeit dieses wieder auszulesen , sind Tools.z.B. XPCLEAN kann die verwaisten Einträge in der Registrierung zufinden.
Damit kann man ein Protokoll erstellen.Vielleicht hilft es.
http://www.netzwelt.de/software-chooser/3899_2-xp-clean.html
Gibt auch eine interne History in XP/2000.
Einfach mal Googlen..
Mfg
wenn ein Rechner mit angemeldetem Benutzer über
Nacht laufen gelassen wurde.
Autsch, wieso sperrt der Rechner nicht nach 5 - 15 Min. Inaktivität ?
Nacht laufen gelassen wurde.
Autsch, wieso sperrt der Rechner nicht nach 5 - 15 Min. Inaktivität ?
Hi asna71
Aus meiner Sicht ein Wiederspruch!
Wenn ein Prozess läuft, dann sind die 1000 oder 2000 Euro einer professionellen Datenrettungsfirma bestimmt nicht zu teuer. Da werden die Anwaltskosten der grosse Teil der Rechnung sein.
Professionelle Datenrettungsinstitute sind in der Lage, Daten welche mehrfach überschrieben wurden, wiederherzustellen.
gretz drop
Beweismaterial in einem Prozess
das mit einer Datenrettungsfirma wird wohl zu teuer
das mit einer Datenrettungsfirma wird wohl zu teuer
Aus meiner Sicht ein Wiederspruch!
Wenn ein Prozess läuft, dann sind die 1000 oder 2000 Euro einer professionellen Datenrettungsfirma bestimmt nicht zu teuer. Da werden die Anwaltskosten der grosse Teil der Rechnung sein.
Professionelle Datenrettungsinstitute sind in der Lage, Daten welche mehrfach überschrieben wurden, wiederherzustellen.
gretz drop
abgesehen von den Tipps und Schwierigkeiten von den meine Vorredner schon geschrieben haben,möchte dir das Tool WinHex nahe legen,weil damit kannst du dir die festplatte genau anschauen,sektor für sektor und alles was jemals auf einer Festplatte war kann mit diesem Tool wieder hergestellt werde,das tool wird mitunter von Gerichten genutzt,um somit alle möglichen übeltäter zu überführen,um die Bilder und andere nette Sachen wieder sichtbar zu machen.
Hier ein beitrag dazu http://de.wikipedia.org/wiki/WinHex der sehr aufschlussreich ist und da der Link http://www.x-ways.net/winhex/index-d.html zum Prog,du wirst aber nur mit der Vollversion die Daten herstellen können.
Hier ein beitrag dazu http://de.wikipedia.org/wiki/WinHex der sehr aufschlussreich ist und da der Link http://www.x-ways.net/winhex/index-d.html zum Prog,du wirst aber nur mit der Vollversion die Daten herstellen können.
Das Filesystem einer forensischen Analyse unterziehen, dafuer bedient man sich eines forensichen Analysetools, wie es der Sleuth-kit eines ist.
saludos
gnarff
saludos
gnarff
Die Überwachung von Datenzugriffen muss vorher explizit eingeschaltet werden. Dann können Dateizugriffsaktionen wie z. B. Löschung im Security-Log nachgesehen werden.
Das muss aber für jedes Verzeichnis eingerichtet werden und muss mit Bedacht getan werden, da es sich massiv auf die Rechnerperformance auswirkt.
Gruß
ITIL-Harry
Das muss aber für jedes Verzeichnis eingerichtet werden und muss mit Bedacht getan werden, da es sich massiv auf die Rechnerperformance auswirkt.
Gruß
ITIL-Harry
