Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Manipualtionsversuch und Löschen von Daten beweisen

Frage Sicherheit

Mitglied: ansa71

ansa71 (Level 1) - Jetzt verbinden

28.09.2008, aktualisiert 31.12.2008, 5442 Aufrufe, 10 Kommentare

Hallo,

folgende Situation: an einem von uns betreuten Rechner (Windows 2000) wurden Bilder gelöscht, die als Beweismaterial in einem Prozess dienen sollten. 2 Personen sind sich völlig sicher, dass die Bilder wenige Tage zuvor noch da waren. Ich habe mit einem Wiederherstellungsprogramm versucht die Bilder wieder zu holen, aber leider ohne Erfolg. Derjenige der sie gelöscht hat, hat ganze Arbeit geleistet. Jetzt meine Frage: Gibt es eine Möglichkeit nachzuvollziehen wann welche Aktionen am Pc durchgeführt wurden, oder ist es sogar möglich festzustellen ob Bereiche der Festplatte mehrfach hintereinander in kurzen Zeitabständen überschrieben wurden.

Gruß und schon mal danke fürs überlegen
Mitglied: kaiand1
28.09.2008 um 13:34 Uhr
Es hängt von viele Faktoren ab
Is der PC in eine Domaäne? Da werden Userlogins Prokotoliert.
Was sagt die Eventlog aus?
Die Frage ist aber auch wenn es wichtige Beweise sind wiso habt ihr kein Backup davon af ner CD im Tresor USB Stick ect gemacht??
Wenn die Daten auf der Systemhdd sind und der schon mehrmals neugestartet wurde ect sehen die Chanden schlecht aus was zu retten...
Bitte warten ..
Mitglied: ansa71
28.09.2008 um 13:48 Uhr
Ja der PC ist einer Domäne, aber meines Wissens nach werden da nur Userlogins protokolliert und keine Aktionen wie z.B. löschen von Daten. Da in der Zeit wo wahrscheinlich die Daten gelöscht wurden ein Benutzer angemeldet war, ist das also wenig hilfreich.
Das Ereignisprotokoll sagt nichts in diese Richtung aus. Ein Image haben wir schon gemacht, aber leider wurde in der Zeit zwischen der wahrscheinlichen Löschung und der Feststellung, dass Daten gelöscht sind, der PC schon mehrfach wieder hoch- und runtergefahren.
Bitte warten ..
Mitglied: DerSchorsch
28.09.2008 um 14:39 Uhr
Hallo,

Eventuell kann ein professioneller Datenrettungsunternehmen die Daten wiederherstellen. Die haben da ganz andere Möglichkeiten, als du mit einer Software.

Ansonsten hast du meiner Meinung nach schlechte Karten. Windows kann zwar eine Objektüberwachung (und damit die Protokollierung, wer was mit einer Datei macht), aber das muss erst eingeschaltet werden. Geht natürlich nicht nachträglich...
Ich fürchte, du wirst dich auf unbequeme Fragen gefasst machen müsssen: warum gibt es kein Backup und warum hatte ein Unberechtigter Löchrechte für diese doch sehr wichtigen Dateien?

Gruß,
Schorsch
Bitte warten ..
Mitglied: ansa71
28.09.2008 um 15:24 Uhr
Danke für den Hinweis aber das mit einer Datenrettungsfirma wird wohl zu teuer und außerdem konnten wir die Bilder von der Speicherkarte der Digicam wiederherstellen. Den unbequemen Fragen sehe ich gelassen entgegen, da mich wohl keiner dafür verantwortlich machen kann, wenn ein Rechner mit angemeldetem Benutzer über Nacht laufen gelassen wurde. Außerdem habe ich die Betreuung des Systems erst vor einigen Tagen übernommen und kann daher nicht für die Versäumnisse meines Vorgängers verantwortlich gemacht werden.

Wichtiger wäre es, zu beweisen, dass an dem Rechner unberechtigt Daten gelöscht wurden. Vielleicht hat jemand noch eine Idee.
Bitte warten ..
Mitglied: 20580
28.09.2008 um 15:56 Uhr
Hallo,

unter Xp/2000 gibt es die Möglichlichkeit gelöschte Dateien/verwaiste Dateien zu Protokolieren.Die einfachste Möglichkeit dieses wieder auszulesen , sind Tools.z.B. XPCLEAN kann die verwaisten Einträge in der Registrierung zufinden.

Damit kann man ein Protokoll erstellen.Vielleicht hilft es.

http://www.netzwelt.de/software-chooser/3899_2-xp-clean.html

Gibt auch eine interne History in XP/2000.

Einfach mal Googlen..

Mit freundlichen Grüßen
Bitte warten ..
Mitglied: 68702
28.09.2008 um 17:02 Uhr
wenn ein Rechner mit angemeldetem Benutzer über
Nacht laufen gelassen wurde.
Autsch, wieso sperrt der Rechner nicht nach 5 - 15 Min. Inaktivität ?
Bitte warten ..
Mitglied: drop-ch
29.09.2008 um 09:48 Uhr
Hi asna71

Beweismaterial in einem Prozess
das mit einer Datenrettungsfirma wird wohl zu teuer

Aus meiner Sicht ein Wiederspruch!
Wenn ein Prozess läuft, dann sind die 1000 oder 2000 Euro einer professionellen Datenrettungsfirma bestimmt nicht zu teuer. Da werden die Anwaltskosten der grosse Teil der Rechnung sein.

Professionelle Datenrettungsinstitute sind in der Lage, Daten welche mehrfach überschrieben wurden, wiederherzustellen.

gretz drop
Bitte warten ..
Mitglied: HightopOne
02.10.2008 um 21:04 Uhr
abgesehen von den Tipps und Schwierigkeiten von den meine Vorredner schon geschrieben haben,möchte dir das Tool WinHex nahe legen,weil damit kannst du dir die festplatte genau anschauen,sektor für sektor und alles was jemals auf einer Festplatte war kann mit diesem Tool wieder hergestellt werde,das tool wird mitunter von Gerichten genutzt,um somit alle möglichen übeltäter zu überführen,um die Bilder und andere nette Sachen wieder sichtbar zu machen.

Hier ein beitrag dazu http://de.wikipedia.org/wiki/WinHex der sehr aufschlussreich ist und da der Link http://www.x-ways.net/winhex/index-d.html zum Prog,du wirst aber nur mit der Vollversion die Daten herstellen können.
Bitte warten ..
Mitglied: gnarff
22.12.2008 um 23:38 Uhr
Das Filesystem einer forensischen Analyse unterziehen, dafuer bedient man sich eines forensichen Analysetools, wie es der Sleuth-kit eines ist.

saludos
gnarff
Bitte warten ..
Mitglied: ITIL-Harry
21.01.2009 um 22:52 Uhr
Die Überwachung von Datenzugriffen muss vorher explizit eingeschaltet werden. Dann können Dateizugriffsaktionen wie z. B. Löschung im Security-Log nachgesehen werden.

Das muss aber für jedes Verzeichnis eingerichtet werden und muss mit Bedacht getan werden, da es sich massiv auf die Rechnerperformance auswirkt.

Gruß
ITIL-Harry
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

(5)

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Ähnliche Inhalte
Windows Server
Daten löschen - Windows Error Reporting (WER) (2)

Frage von Otto1699 zum Thema Windows Server ...

Batch & Shell
gelöst Skript für Daten löschen (3)

Frage von DarkJM zum Thema Batch & Shell ...

Soziale Netzwerke
Facebook muss Daten von Whats App löschen (10)

Information von brammer zum Thema Soziale Netzwerke ...

Festplatten, SSD, Raid
gelöst Server Daten sicher löschen (6)

Frage von baxxter333 zum Thema Festplatten, SSD, Raid ...

Heiß diskutierte Inhalte
Windows Netzwerk
Windows 10 RDP geht nicht (16)

Frage von Fiasko zum Thema Windows Netzwerk ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (13)

Frage von Motte990 zum Thema Microsoft Office ...