Löschdatum oder User oder sonst was herausfinden?

Hallo,

auch nach längerem Googlen und der Forensuche hier bin ich noch nicht wirklich sicher, ob es für mein Problem überhaupt eine Lösung gibt. Manchmal hat es den Anschein, dann sagt die nächste Quelle wieder nein.

Ich habe sämtliche Dateien auf 3 von 4 Partitionen einer USB2 Platte (1TB) verloren. Jetzt bin ich aber gar nicht darauf aus diese Dateien wiederherzustellen. Stattdessen will ich einfach nur nachvollziehen wie es zu dem Verlust kommen konnte. Physisch scheint die Platte total in Ordnung und auch die Dateisysteme (NTFS) scheinen keinen Schaden genommen zu haben. Es sieht so aus als hätte jemand (vielleicht auch ich im Schlaf) sämtliche Dateien einfach nur gelöscht. Nein, sie sind nicht einfach nur versteckt

Zum Glück ist diese Platte nur 4 mal seit Mai an unterschiedlichen Systemen gewesen. Kann ich also in den Systemen (auch einmal Linux) oder auf der Platte irgendwelche Spuren finden, aus denen ich Rückschlüsse ziehen kann? Ich habe schon etwas über USB Connection Events in den Windows Logs gelesen, aber die sagen mir ja nur wann die Platte angeschlossen war und nicht was passiert ist.

Jage mal Testdisk drüber, vielleicht kann der ja die Datenen wiederherstellen oder kann dir anzeigen wann das letzte Mal darauf zugegriffen wurde. Vielleicht hat ja auch einfach nur die FAT einen Lesefehler und somit ist quasi das Inhaltsverzeichnis der Platte kaputt gegangen. ( Dann hättest du selbst gar nichts selbst gelöscht )

Wenn die Platte mit NFTS formatiert ist, dann Vorsicht mit Linux, die alte Linux NTFS Treiber machen zuweilen Probleme.

Das war das abgespeckte Linux auf einem Sony R515 Kinoprojektor und das war auch das erste Mal, dass ich keine Daten auf den Partitionen gesehen habe. Ich habe es so interpretiert, dass der nur Daten anzeigt mit denen er auch was anfangen kann und das waren meine wohl nicht.

Sollte das also der Grund gewesen sein (übrigens auch mein erster Verdacht ins Blaue hinein) wie kann ich das bestätigen? Ich versuche mal rauszufinden welche NTFS Treiberversion da integriert ist.

Nimmt eine Platte, wo keine wichtigen Daten drauf sind, richte sie ähnlich ein (Partitionen, Formate, etc.), kopier einige "Testdaten" drauf und mach all das mit der Testplatte noch einmal (also an den Sony anschließen, ggf. was von Partition X abspielen, etc.). Am Ende schaust du dann am PC, ob noch alles OK ist und deine "Testdaten" noch vorhanden / lesbar sind.

cbgilb schrieb:

Kann ich also in den Systemen (auch einmal Linux) oder auf der Platte irgendwelche Spuren finden, aus denen ich Rückschlüsse ziehen kann?

Zum Vergrößern anklicken....

Ja, wenn die Partition NTFS-formatiert ist, kann das funktionieren; NTFS speichert viele Metainformationen. Thema Dateisystem-/NTFS-Analyse im Bereich der IT-Forensik. Bei Interesse selbst einlesen, würde den Rahmen hier sprengen.

Ok, auf die Linux Sache warte ich selbst noch.

Mittlerweile habe ich Testdisk drüber gejagt. Alle Partitionen werden locker erkannt in korrekter Größe, allerdings ohne Partitionsnamen anzuzeigen. Wenn ich auf "List Files" gehe wird mir genau so wenig (gar nichts) angezeigt wie unter Windows auch. Wenn ich über "Undelete" versuche daten wiederherzustellen sieht es schon anders aus. Da zeigt er mir tausende inodesXXXXX und ein paar Daten mit Namen und Erweiterung. Toll ... DAS sind die Daten die ich selbst manuell gelöscht habe. In den inodes verstecken sich aber die Daten die ich verloren habe. Ich habe mal eine zufällige wiederhergestellt (keine Dateiendung) und mit VLC auf gut Glück geöffnet. Super, war ne MP3, aber jetzt tausende Namen neu eintragen, neeeee.

Wieso erkennt er manuell vor 3 Jahren gelöschte Daten mit Namen aber nicht die anderen ?


Ja, ok ... sieht so aus als wenn die Partitionstabellen der zweiten, dritten und vierten primären Partition gelöscht worden oder neugeschrieben worden sind. Das erklärt mir zwar die "inodes" aber nicht die alten gelöschten Daten die noch mit Namen angezeit werden. Ich glaub sieht schlecht aus, ich lass noch ne Deep Search drüberlaufen in der Hoffnung die alten Partitiontables wiederzufinden, aber das dauert wohl die Nacht.

Es gibt nur eine Partitionstabelle auf einer Platte und nicht eine für jede Partition.

Ja sorry, war blöde ausgedrückt, ich meinte die betroffenen 3 Teile in der einen Tabelle.

Ok, Sony sagt natürlich nichts zu den NTFS Treibern in ihren Projektoren. Ob sie der Sache wirklich nachgehen bezweifele ich, und wenn, dann bestimmt ohne sich nochmal zu melden. Aber nächste Woche werde ich versuchen den "Unfall" nachzustellen.

Ob ich meine Daten jetzt rette überlege ich noch, TestDisk findet ja alle sehr schnell, dafür ohne Dateinamen. EaseUs Recovery Wizard braucht sehr lange zum scannen, aber scheint dafür unter anderem z.B. die ID3 Tags auszulesen und zumindest die Hälfte des Dateinamens wieder herzustellen.

Kein Programm konnte mir bis jetzt die verlorenen Teile der Partitionstabelle wiederbringen.

Deswegen verstehe ich ein paar Sachen nicht so ganz:
- Wieso haben die 3 Partitionen noch ihren alten Namen und Größe und werden als völlig in Ordnung angezeigt? Sagt das etwas über den "Unfall" aus?
- Wieso erkennt TestDisk alte, manuell gelöschte Daten mit Namen, aber nicht die vom "Unfall" betroffenen?
- Wieso ist die erste Primäre Partition von den 4 überhaupt nicht betroffen? Mag das am Treiber gelegen haben, weil er vielleicht nur die erste Primäre Partition mag?

Habe den Unfall gestern nachgestellt. Es war der Sony Projektor! Es steht wohl in der Anleitung, dass man nur einfach partitionierte Platten anhängen soll, aber nichts davon, dass er die anderen gleich löscht. Naja, halb so wild.

Ich habe versucht mich in NTFS reinzugraben, aber ohne eine kommerzielle Lizenz für diese netten Tools https://tzworks.net/prototypes.php war es mir dann doch etwas zu aufwändig.