Anzeige
1 Monat GRATIS testen, danach für nur 9,90€/Monat!
Startseite »

Computerforensiker verwenden für

Allgemein

Computerforensiker verwenden für

Computerforensiker verwenden für die Rekonstruktion der Daten die gleichen Software-Werkzeuge wie bei der Datenrettung. Dabei handelt es sich um teils kommerziell erhältliche Programme, die die scheinbar gelöschten Daten wieder finden, aber auch um eigene Entwicklungen der Datenrettungslabors, die Dritten nicht zugänglich sind.

Wenn ein PC-Nutzer eine Datei löscht, so ist diese weiterhin vollständig auf der Festplatte vorhanden. Ein echter Löschvorgang würde viel zu lange dauern. Stattdessen wird lediglich der Eintrag in einem Inhaltsverzeichnis gelöscht, der dem Computer bislang signalisiert hat, wo auf der Festplatte eine bestimmte Datei zu finden ist.

Dazu hat jedes Betriebssystem ein Dateisystem, das weitgehend unabhängig von der Art des Speichermediums – wie Festplatte oder Diskette – arbeitet. Neben verschiedenen Windows-Dateisystemen (Windows XP hat beispielsweise ein anderes als Windows 3.1 oder DOS) gibt es verschiedene Dateisysteme für den Macintosh, fast 20 in der Linux- und Unix-Welt sowie eigene Dateisysteme für Großrechner, die beispielsweise in Rechenzentren zum Einsatz kommen.

Datenträger wie Festplatten oder CDs bestehen aus vielen kleinen Speicherzellen, den Blöcken oder Sektoren. Ein solcher Block ist die kleinste unteilbare Einheit des Speichermediums und hat eine Größe von 512 Byte. Wenn also zum Beispiel ein Betriebssystem wie Windows eine Datei auf eine Festplatte schreibt, so verteilt es diese als Informationshäppchen auf viele verschiedene Blöcke. Eine Datei kann sich dabei über eine beliebige Zahl von Blöcken erstrecken. Damit das Betriebssystem weiß, welche Blöcke mit welcher Datei zusammenhängen, werden diese Verwaltungsinformationen ebenfalls in der Datei verzeichnet. Zu diesen Informationen gehören die Größe und der Typ der Datei (zum Beispiel Text- oder Bilddatei), die Beziehungen zwischen den verwendeten Blöcken (Welche Blöcke müssen in welcher Reihenfolge gelesen beziehungsweise beschrieben werden?) und die Zugriffsrechte (Wer darf die Datei öffnen oder gar ändern?).

Löscht ein PC-Nutzer eine Datei, bleiben die einzelnen Blöcke weiter erhalten, sind aber zum Überschreiben freigegeben. Neue Dateien können also in einem Teil oder in allen der freigegebenen Blöcke abgelegt werden.

Anzeige

Doch selbst nach einem solchen Überschreiben können Computerforensiker noch Teile der alten Datei rekonstruieren: Ist die neue beispielsweise kleiner als die alte, so nimmt sie in den Blöcken weniger Raum ein, und die alte Datei „schimmert noch durch“. Bei Textdateien können in diesem „Slack Space“ durchaus noch verwertbare Informationen gefunden werden. Um sie aufzuspüren, sind allerdings spezielle Software-Werkzeuge erforderlich, die die Blocksicht des Betriebssystems überlisten.

Erst ein dreimaliges, vollständiges Überschreiben gilt als relativ sicher – vorausgesetzt man hat nicht einfach alles mit Nullen überschrieben. Und nur spezielle Löschsoftware erlaubt das wirklich zuverlässige Überschreiben der Informationen auf einem Datenträger.

Anzeige

Wissenschaftsjournalist Tim Schröder im Gespräch mit Forscherinnen und Forschern zu Fragen, die uns bewegen:

  • Wie kann die Wissenschaft helfen, die Herausforderungen unserer Zeit zu meistern?
  • Was werden die nächsten großen Innovationen?
  • Was gibt es auf der Erde und im Universum noch zu entdecken?

Hören Sie hier die aktuelle Episode:

Aktueller Buchtipp

Sonderpublikation in Zusammenarbeit  mit der Baden-Württemberg Stiftung
Jetzt ist morgen
Wie Forscher aus dem Südwesten die digitale Zukunft gestalten

Wissenschaftslexikon

Ibe|ris  〈f.; –, Ibe|ren; Bot.〉 = Schleifenblume [lat. <grch. iberis … mehr

Se|re|na|de  〈f. 19; Mus.〉 1 freies Instrumentalstück, das meist mit mehreren Sätzen besteht 2 Ständchen … mehr

Ta|bak  〈a. [–′–] m. 1〉 I 〈Bot.; unz.〉 Angehöriger einer Gattung nikotinhaltiger Nachtschattengewächse: Nicotiana; Sy Tabakpflanze … mehr

» im Lexikon stöbern
Anzeige
Anzeige
Anzeige