Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Manipualtionsversuch und Löschen von Daten beweisen

Frage Sicherheit

Mitglied: ansa71

ansa71 (Level 1) - Jetzt verbinden

28.09.2008, aktualisiert 31.12.2008, 5512 Aufrufe, 10 Kommentare

Hallo,

folgende Situation: an einem von uns betreuten Rechner (Windows 2000) wurden Bilder gelöscht, die als Beweismaterial in einem Prozess dienen sollten. 2 Personen sind sich völlig sicher, dass die Bilder wenige Tage zuvor noch da waren. Ich habe mit einem Wiederherstellungsprogramm versucht die Bilder wieder zu holen, aber leider ohne Erfolg. Derjenige der sie gelöscht hat, hat ganze Arbeit geleistet. Jetzt meine Frage: Gibt es eine Möglichkeit nachzuvollziehen wann welche Aktionen am Pc durchgeführt wurden, oder ist es sogar möglich festzustellen ob Bereiche der Festplatte mehrfach hintereinander in kurzen Zeitabständen überschrieben wurden.

Gruß und schon mal danke fürs überlegen
Mitglied: kaiand1
28.09.2008 um 13:34 Uhr
Es hängt von viele Faktoren ab
Is der PC in eine Domaäne? Da werden Userlogins Prokotoliert.
Was sagt die Eventlog aus?
Die Frage ist aber auch wenn es wichtige Beweise sind wiso habt ihr kein Backup davon af ner CD im Tresor USB Stick ect gemacht??
Wenn die Daten auf der Systemhdd sind und der schon mehrmals neugestartet wurde ect sehen die Chanden schlecht aus was zu retten...
Bitte warten ..
Mitglied: ansa71
28.09.2008 um 13:48 Uhr
Ja der PC ist einer Domäne, aber meines Wissens nach werden da nur Userlogins protokolliert und keine Aktionen wie z.B. löschen von Daten. Da in der Zeit wo wahrscheinlich die Daten gelöscht wurden ein Benutzer angemeldet war, ist das also wenig hilfreich.
Das Ereignisprotokoll sagt nichts in diese Richtung aus. Ein Image haben wir schon gemacht, aber leider wurde in der Zeit zwischen der wahrscheinlichen Löschung und der Feststellung, dass Daten gelöscht sind, der PC schon mehrfach wieder hoch- und runtergefahren.
Bitte warten ..
Mitglied: DerSchorsch
28.09.2008 um 14:39 Uhr
Hallo,

Eventuell kann ein professioneller Datenrettungsunternehmen die Daten wiederherstellen. Die haben da ganz andere Möglichkeiten, als du mit einer Software.

Ansonsten hast du meiner Meinung nach schlechte Karten. Windows kann zwar eine Objektüberwachung (und damit die Protokollierung, wer was mit einer Datei macht), aber das muss erst eingeschaltet werden. Geht natürlich nicht nachträglich...
Ich fürchte, du wirst dich auf unbequeme Fragen gefasst machen müsssen: warum gibt es kein Backup und warum hatte ein Unberechtigter Löchrechte für diese doch sehr wichtigen Dateien?

Gruß,
Schorsch
Bitte warten ..
Mitglied: ansa71
28.09.2008 um 15:24 Uhr
Danke für den Hinweis aber das mit einer Datenrettungsfirma wird wohl zu teuer und außerdem konnten wir die Bilder von der Speicherkarte der Digicam wiederherstellen. Den unbequemen Fragen sehe ich gelassen entgegen, da mich wohl keiner dafür verantwortlich machen kann, wenn ein Rechner mit angemeldetem Benutzer über Nacht laufen gelassen wurde. Außerdem habe ich die Betreuung des Systems erst vor einigen Tagen übernommen und kann daher nicht für die Versäumnisse meines Vorgängers verantwortlich gemacht werden.

Wichtiger wäre es, zu beweisen, dass an dem Rechner unberechtigt Daten gelöscht wurden. Vielleicht hat jemand noch eine Idee.
Bitte warten ..
Mitglied: 20580
28.09.2008 um 15:56 Uhr
Hallo,

unter Xp/2000 gibt es die Möglichlichkeit gelöschte Dateien/verwaiste Dateien zu Protokolieren.Die einfachste Möglichkeit dieses wieder auszulesen , sind Tools.z.B. XPCLEAN kann die verwaisten Einträge in der Registrierung zufinden.

Damit kann man ein Protokoll erstellen.Vielleicht hilft es.

http://www.netzwelt.de/software-chooser/3899_2-xp-clean.html

Gibt auch eine interne History in XP/2000.

Einfach mal Googlen..

Mfg
Bitte warten ..
Mitglied: 68702
28.09.2008 um 17:02 Uhr
wenn ein Rechner mit angemeldetem Benutzer über
Nacht laufen gelassen wurde.
Autsch, wieso sperrt der Rechner nicht nach 5 - 15 Min. Inaktivität ?
Bitte warten ..
Mitglied: drop-ch
29.09.2008 um 09:48 Uhr
Hi asna71

Beweismaterial in einem Prozess
das mit einer Datenrettungsfirma wird wohl zu teuer

Aus meiner Sicht ein Wiederspruch!
Wenn ein Prozess läuft, dann sind die 1000 oder 2000 Euro einer professionellen Datenrettungsfirma bestimmt nicht zu teuer. Da werden die Anwaltskosten der grosse Teil der Rechnung sein.

Professionelle Datenrettungsinstitute sind in der Lage, Daten welche mehrfach überschrieben wurden, wiederherzustellen.

gretz drop
Bitte warten ..
Mitglied: HightopOne
02.10.2008 um 21:04 Uhr
abgesehen von den Tipps und Schwierigkeiten von den meine Vorredner schon geschrieben haben,möchte dir das Tool WinHex nahe legen,weil damit kannst du dir die festplatte genau anschauen,sektor für sektor und alles was jemals auf einer Festplatte war kann mit diesem Tool wieder hergestellt werde,das tool wird mitunter von Gerichten genutzt,um somit alle möglichen übeltäter zu überführen,um die Bilder und andere nette Sachen wieder sichtbar zu machen.

Hier ein beitrag dazu http://de.wikipedia.org/wiki/WinHex der sehr aufschlussreich ist und da der Link http://www.x-ways.net/winhex/index-d.html zum Prog,du wirst aber nur mit der Vollversion die Daten herstellen können.
Bitte warten ..
Mitglied: gnarff
22.12.2008 um 23:38 Uhr
Das Filesystem einer forensischen Analyse unterziehen, dafuer bedient man sich eines forensichen Analysetools, wie es der Sleuth-kit eines ist.

saludos
gnarff
Bitte warten ..
Mitglied: ITIL-Harry
21.01.2009 um 22:52 Uhr
Die Überwachung von Datenzugriffen muss vorher explizit eingeschaltet werden. Dann können Dateizugriffsaktionen wie z. B. Löschung im Security-Log nachgesehen werden.

Das muss aber für jedes Verzeichnis eingerichtet werden und muss mit Bedacht getan werden, da es sich massiv auf die Rechnerperformance auswirkt.

Gruß
ITIL-Harry
Bitte warten ..
Ähnliche Inhalte
Festplatten, SSD, Raid
Server Daten sicher löschen
gelöst Frage von baxxter333Festplatten, SSD, Raid6 Kommentare

Hallo zusammen, ich habe hier bei mir 3 alte Server, die ich gerne weitergeben möchte. Ich selbst brauche sie ...

Netzwerkmanagement
Tool zum Loeschen von Daten im Netzwerk
Frage von clSchakNetzwerkmanagement4 Kommentare

Guten Morgen! wir sind auf der Suche nach einem Programm oder Tool womit es möglich bestimmte Daten innerhalb des ...

Batch & Shell
Skript für Daten löschen
gelöst Frage von DarkJMBatch & Shell3 Kommentare

Hallo zusammen, ich habe folgendes Problem. Ich muss ein Skript schreiben, womit man Daten in einem Ordner und in ...

Soziale Netzwerke
Facebook muss Daten von Whats App löschen
Information von brammerSoziale Netzwerke11 Kommentare

Hallo, der Hamburger Datenschutzbeauftragte Johannes Casper hat per Anordnung die Nutzung von Daten die von Whats App an Facebook ...

Neue Wissensbeiträge
Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 2 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 3 TagenWebbrowser7 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Sicherheit

Teamviewer Sessions können gekapert werden - Update tw. verfügbar

Information von sabines vor 3 TagenSicherheit6 Kommentare

In bestimmten Konstellationen können Teamviewer Sessions gekapert werden, wahrscheinlich aber ein recht unwahrscheinliches Szenario. Da der Teamviewer gerne für ...

Digitiales Fernsehen

Apple TV: Amazon Prime App ist verfügbar

Information von Frank vor 4 TagenDigitiales Fernsehen4 Kommentare

Die Amazon Prime Video App kann ab sofort auf einem Apple TV ab der 3 Generation installiert werden. Einfach ...

Heiß diskutierte Inhalte
Vmware
Installation Windows 10 VMware
Frage von Ghost108Vmware17 Kommentare

Hallo zusammen, versuche gerade mit Hilfe des vshpere clients eine virtuelle Windows 10 maschine aufzusetzen. 1. virtuelle Maschine erstellt ...

Exchange Server
SBS 2011 E-Mails können gesendet werden, aber nicht von extern empfangen
Frage von andreas1234Exchange Server14 Kommentare

Hallo Community, ich habe das Problem, dass seit knapp zwei Wochen die E-Mails von meinem SBS 2011 einwandfrei gesendet ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Windows Server
Server 2012 über Eingabeaufforderung devmgmt.msc geht nicht
gelöst Frage von achim222Windows Server9 Kommentare

Hallo, ich habe hier einen Server 2012 der im Reparaturmodus startet. Es liegt an einem falschen VirtIO Treiber für ...