USB-Stick formatiert und Recuva hat 3 Dateien wiederhergestellt

Hallo,
ich habe einen USB-Stick, wo viele Dateien drauf waren und den ich einmal komplett formatiert habe (jedes mal NTFS). Recuva konnte 3 Dateien herstellen.
$TxfLog.blf 64KB
$TxfLogContainer00000000000000000001 10.240KB
$TxfLogContainer00000000000000000002 10.240KB
https://www.dropbox.com/sh/q2z3qeejkeez6r5/AADm4-GhfEvXeQJ9f-VENaIJa?dl=0

Wie kann man sich erklären, dass trotz Formatierung eine Art von Daten zu Tage gefördert werden?
Oder jmd. ne Idee, was das ist?

Es geht hier nur rein ums Interesse von meiner Seite aus, da ich es verstehen will. Die Situation ist für mich kein Problem.

Könnte vllt vom MFT stammen.

Bei einer High-Level-Formatierung sind in dem neuen Dateisystem die alten Daten nicht verfügbar, da sie nicht mehr durch entsprechende Verweise im Dateisystem referenziert werden. Sie werden jedoch nicht notwendigerweise gelöscht. Meistens verbleiben sie rein physikalisch auf der Festplatte, bis sie mit neuen Daten überschrieben werden. Solange die verwendeten Datenblöcke nicht erneut beschrieben werden, ist mit entsprechender Software eine weitgehende Wiederherstellung noch möglich, gestaltet sich jedoch schwerer, als wenn die Dateien einfach nur gelöscht würden. Nicht selten können daher via Software nur die einzelnen Dateien, nicht aber die Ordnerstruktur wiederhergestellt werden.

Zum Vergrößern anklicken....

https://de.wikipedia.org/wiki/Formatierung

Das sind Metadaten, entweder vom Formatierungsvorgang oder von Recuva selbst.


\$Repair:$Config 8 bytes Hidden from Windows API.
\$Txf 0 bytes Hidden from Windows API.
\$TxfLog 0 bytes Hidden from Windows API.
\$TxfLog\$Tops:$T 1.00 MB Hidden from Windows API.
\$Extend\$RmMetadata\$Repair 0 bytes Visible in directory index, but not Windows API or MFT.
\$Extend\$RmMetadata\$Txf 0 bytes Visible in directory index, but not Windows API or MFT.
\$Extend\$RmMetadata\$TxfLog 0 bytes Visible in directory index, but not Windows API or MFT.
\$Extend\$RmMetadata\$TxfLog\$Tops 100 bytes Visible in directory index, but not Windows API or MFT.
\$Extend\$RmMetadata\$TxfLog\$TxfLog.blf 64.00 KB Visible in directory index, but not Windows API or MFT.
\$Extend\$RmMetadata\$TxfLog\$TxfLogContainer00000000000000000001 10.00 MB Visible in directory index, but not Windows API or MFT.
D:\$Extend\$RmMetadata\$TxfLog\$TxfLogContainer00000000000000000002 10.00 MB Visible in directory index, but not Windows API or MFT.

ganz einfach bis vor ein paar Jahren konntest du in jeder Fachzeitschrift Tips und Tricks lesen wie man auch mehrfach überschrieben Daten wieder herstellen konnte ( auf Heise: sogar mal wie man mit einem Elektronenmikroskop anhand der magnetischen Corona wieder Nullen und Einsen wiederherstellt )

Dann kam die Zeit der "großen Überwachungen" und auf einmal hies es überall einmaliges Überschreiben würde vollkommen reichen ;p
Ein Schelm wer Böses dabei denkt!

@KTelwood
Bei der normalen Formatierung werden seit Windows Vista alle Sektoren genullt, sprich alle vorhandenen Dateien sind dann gelöscht und nicht nur die Verweise in der MFT wie bei einer Schnellformatierung. Ich habe keine Schnellformatierung gemacht, sondern eine normale Formatierung.

@Inzersdorfer
Ah, okay. Danke. Das klärt es

@Luxusspur
Hier geht es um Flashspeicher und nicht um Festplatten. Daher bringt hier Restmagnetismus nichts ;-)
Die Datenrettungsunternehmen haben in den letzten Jahren eigl schon immer gesagt, dass Daten nicht wiederhergestellt werden können, wenn sie einmal komplett überschrieben wurden. Die c't hatte mal einen Test dazu. Da haben sie mehrere einmal überschrieben HDDs zu diversen Datenrettern geschickt (anonym, nciht als c't) und niemand konnte was herstellen.

Und vor 6 Jahren hatte heise.de (2009) bereits auch was in der News:
http://www.heise.de/security/meldung/Sicheres-Loeschen-Einmal-ueberschreiben-genuegt-198816.html

Da waren die ganzen Überwachungen noch gar nicht bekannt

Hier noch zum c't-Bericht (2004).
http://www.hardwareluxx.de/communit...d-gleichzeitig-endgueltig-loeschen-76462.html

Man, wie oft soll ich es noch schreiben! Ein einmaliges Überschreiben der Daten reicht aus, damit man sie per Software nicht wiederherstellen kann! Wer die Lust verspürt und die Kohle dazu hat eine ggf. gebraucht erstandene, einmal komplett überschriebene Platte zu einem Datenrettungsunternehmen zu schicken, der kann das gerne tun. Dort ist eine Wiederherstellung, bei "Ausbau der Platter", möglich. Aber auch die können, wie es ein Versuch der c't gezeigt hat, keine Daten, die einmal überschrieben wurden, per Software wiederherstellen (die Platte war intakt und es sollten nur einzelne Dateien wiederhergestellt werden, was keinem getesteten Unternehmen gelang).

Zum Vergrößern anklicken....

Und noch was interessantes von heise.de
http://www.heise.de/ct/artikel/Datenpuzzle-763739.html

Löschmythen

Um Daten endgültig von einer Festplatte zu tilgen, sodass sie kein Schnüffler oder Datenretter wiederherzustellen vermag, genügt es, sie ein einziges Mal mit Nullen zu überschreiben.

Der Mythos, dass es Datenrettern oder gar Geheimdiensten mit aufwendigen Gerätschaften gelingen könnte, einmal überschriebene Daten wieder hervorzuzaubern, hat sich nie bestätigt. Jeder professionelle Datenretter hat uns in den letzten Jahren versichert, dass dies technisch nicht möglich sei.

Dennoch bauen viele Software-Hersteller aufwendige Löschroutinen in ihre Produkte ein, die Platten etwa mehrfach mit Zufallsmustern überschreiben. Selbst Apples Festplattendienstprogramm bietet eine solche Option.

Um eine Festplatte mit Nullen zu füllen, kann man unter Linux zum Standard-Werkzeug dd greifen. Unter Windows kommen Sie mit dem Windows-Bordmittel diskpart zum Ziel. Dessen Kommando „clean all“ säubert eine zuvor per „select disk“ ausgewählte Platte porentief von allen zuvor gespeicherten Bytes.

Zum Vergrößern anklicken....

Und jetzt auch mal Wikipedia als Quelle, da ich den Abschnitt gerade interessant fand
https://de.wikipedia.org/wiki/Gutmann-Methode

Diese Methode ist sehr zeitaufwändig, gilt aber für Festplatten, die noch kein PRML oder EPRML verwenden, als die sicherste Methode der softwaregesteuerten rückstandslosen Datenlöschung. Dies sind in der Regel Festplatten bis spätestens zum Herstellungsdatum 2001 bzw. bis höchstens 15 GB Kapazität. Ist das genaue Kodierungsverfahren der Festplatte bekannt, ist es möglich, sich auf einen Teil der Gutmann-Methode zu beschränken. Neuere Festplatten werden durch die im Verfahren enthaltenen acht Durchgänge mit Zufallsdaten ebenfalls zuverlässig überschrieben, die anderen 27 Durchgänge sind unnötig.[1] Tatsächlich reicht bei den heutigen Datendichten schon ein Zufallsdurchgang.

Zum Vergrößern anklicken....

Früher war die Wiederherstellung mittels Auslesen des Restmagnetismus durchaus möglich, aber auf Grund der immer weiter steigenden Datendichte wird es immer schwieriger.

Die Überwachungsmechanismen sind ja auch perfider als der Verspätete Zugriff auf lokale Daten.
Von MetaDaten bis zum Hardware-key-Logger in der Tastatur ist ja alles schon Realität. Mit UEFI und generell 'mächtigeren' FirmWares
wirds ja nicht besser.

Bei der Überwachung müssen wir uns nichts vormachen. Die NSA macht alles, was technisch möglich ist (und was deren Milliardenbudget zulässt). Ich habe Luxuspurs Aussage so verstanden, dass alle Geheimdienste auf Grund ihrer Überwachungstätigkeiten dafür gesorgt haben, dass eine "Propaganda" verbreitet würde, welche besagt, dass einmal überschreiben reichen würde. Und dem schließe ich mich nicht an, auch wenn die Überwachungsmöglichkeiten immer weiter zu nehmen.

Luxusspur, vor Windows wurde beim normalen Formatieren von Windows nicht alles überschrieben, es wurden nur die Sektoren gelesen um zu prüfen ob die lesebar waren, daher wurde dabei auch nichts gelöscht, außer durch das Anlegen neuer, leerer Metadateien für das Filesystem. Dann wurde bei den HDDs auch schon seid etwa 2010 die Auszechnungstechnik von Longitudinal Recording bei dem es wirklich möglich ist die alten Daten halbwegs an den Rändern der Bereich eines Bits zu rekonstruieren auf Perpendicular Recording mit senkrechte Aufzeichnung umgestellt, womit dies nicht mehr möglich ist. Diese beiden technischen Unterschiede werden aber eben oft überstehen und es an den überholten alten Vorstellungen festgehalten, denen die Fortschritt schon längst die Grundlagen entzogen hat.

Man geht bei Autos heute auch nicht mehr hin und schmiert regelmäßig die Schmiernippel am Fahrwerk ab oder wechselt im Frühjahr und Herbst zwischen Sommer- und Winteröl wie es noch in den alten Ratgebern für Automobilisten zu lesen ist, sondern nur noch zwischen Sommer- und Winterreifen, wenn man keine Ganzjahresreifen hat.