ComputerBase Menü
Aktuelles

Datenrettung von gerade eben gelöschten Dateien auf einem gerooteten Samsung Galaxy S6 Edge (Android 7) möglich?

Interessant. Hätte ich nicht mit gerechnet. Danke für die Rückmeldung.
 
  • Gefällt mir
Reaktionen: redjack1000 und Marvolo
Das ist doch eine gute Nachricht.
Marvolo schrieb:
Es wurden extremst wenig gelöschte Dateien gefunden, zum Glück waren meine gesuchten dabei.
Zum Vergrößern anklicken....
Vielleicht macht Android das ähnlich wie Windows, das 1 mal pro Tag via Aufgabenplanung die Laufwerksoptimierung durchführt.
 
redjack1000 schrieb:
Spreche aus: "Lob und Anerkennung!"
Zum Vergrößern anklicken....

Dankeschön.

Dennoch: ein bisschen mehr Optimismus deinerseits wäre manchmal auch nicht schlecht. Sicherlich gibt es Szenarien, die nicht immer hinhauen und wo dann Daten einfach unwiederbringlich verloren sind.
Aber sowas dann direkt im Voraus schon anzunehmen, noch bevor irgendwelche Rettungsversuche unternommen wurden, halte ich nicht (immer) für zielführend.

Wobei ich in diesem speziellen Fall wohl mehr Glück als sonst was hatte. Erstens, weil es ohnehin nur ein paar wenige Dateien (6 Stück) waren und die zudem auch gar nicht soooo mega wichtig gewesen wären und zweitens sie wohl nur deshalb noch da waren, da ich sofort nach Bekanntwerden der Löschung den Flugmodus eingeschaltet und keine weiteren Schreibzugriffe mehr vorgenommen habe.

Sonst wäre vermutlich nichts mehr machbar gewesen. Trotz 1:1 dd image des internen Speichers.
 
Hast eben auch Glück dass du dank Root ein komplettes Abbild erstellen konntest. Der Normalzustand dürfte eher Non-Root sein und dann gehen einem in solchen Fall auch schnell die Möglichkeiten aus.

Aber schön dass es in diesem Fall klappte.
 
  • Gefällt mir
Reaktionen: Marvolo
Der Lord schrieb:
Hast eben auch Glück dass du dank Root ein komplettes Abbild erstellen konntest.
Zum Vergrößern anklicken....

Das kommt natürlich auch noch dazu. Und vermutlich das Alter des gerooteten Geräts (Galaxy S6 Edge).
 
Genau. Android Datenträger werden schon sehr lange verschlüsselt. Da geht gar nichts mehr mit Wiederherstellung. Auch nicht mit Root und der Umweg eines Images.

Ich würde mich einfach mal von Apps verabschieden, die ungefragt Daten aus dem Userordner löschen.
 
Zuletzt bearbeitet:
BlubbsDE schrieb:
Genau. Android Datenträger werden schon sehr lange verschlüsselt.
Zum Vergrößern anklicken....

Die Verschlüsselung gilt doch nur, solange das Gerät gesperrt oder ausgeschaltet ist, oder nicht?
Entsperrt und dann sogar noch mit ROOT dürfte das genauso lesbar sein, wie jeder andere Datenträger.
Zeigt sich ja auch daran, dass die nicht gelöschten Dateien auch auf dem Image komplett auslesbar waren. Die müssten dann ja eigentlich auch nicht lesbar sein durch eine Verschlüsselung...
 
Dateibasierte Verschlüsselung (FBE) wird seit Android 7.0 unterstützt, ist aber dort noch optional. Gut möglich, dass die Verschlüsselung bei deinem System gar nicht aktiv war.
 
  • Gefällt mir
Reaktionen: Der Lord
Marvolo schrieb:
Die Verschlüsselung gilt doch nur, solange das Gerät gesperrt oder ausgeschaltet ist, oder nicht?
Zum Vergrößern anklicken....

Wie soll das denn funktionieren? Entweder liegen Daten verschlüsselt auf dem Datenträger oder eben nicht. Wenn sie verschlüsselt sind, werden sie eben während der Nutzung vom Gerät entschlüsselt.

Keine Ahnung seit welcher Android Version. Aber auch Android verschlüsselte heute seine Datenträger.
 
BlubbsDE schrieb:
Wie soll das denn funktionieren?
Zum Vergrößern anklicken....

Das funktioniert so, dass die Polizei bei Hausdurchsuchungen darauf geschult und getrimmt ist, die Geräte möglichst im nicht-ausgeschalteten, bestenfalls noch entsperrten Zustand zu beschlagnahmen, da es dann am einfachsten ist, sie auszulesen.

Sind Geräte gesperrt oder gar ausgeschaltet, ist die Verschlüsselung aktiv. Nach dem ersten Einschalten/Hochfahren wird der interne Speicher erst dann entschlüsselt, sobald man das Passwort und/oder Entsperrcode/Muster eingegeben hat.

Vorher nicht. Sobald das Gerät eingeschaltet wurde und mit dem ersten Passwort / Muster entsperrt wurde, befindet sich der Schlüssel (oder zumindest große Teile davon) im RAM. Daher bietet auch ein einfaches Sperren, sofern das Gerät bereits hochgefahren und zum ersten Mal entschlüsselt wurde, keinen wirklich guten Schutz, sondern nur das komplette Runterfahren/Ausschalten, wodurch dann der RAM wieder geleert wird.

Dasselbe Prinzip gilt auch für PCs und dortige Verschlüsselungen, etwa VeraCrypt und Co.
 
OK. dann lassen wir Dich mal in dem Glauben.

Das ist totaler Unfug. Ein Datenträger ist verschlüsselt wenn er verschlüsselt ist. Sicher kommt man an die Daten, wenn das Gerät aktiv ist und ein User angemeldet. Dann arbeitet die Entschlüsselung im Hintergrund beim Zugriff auf die Daten. Ändert aber nichts daran. der Datenträger hält die Daten verschlüsselt bereit. Immer.

Wenn Du Zugriff auf ein entsperrtes Gerät hast, dann kommt Du natürlich an allem dran.

Hätte Dir aber in Deinem Fall auch nichts gebracht. Ein Image Deiner Android Datenpartition ist auch verschlüsselt. Da kommst Du nicht dran.
 
  • Gefällt mir
Reaktionen: redjack1000
Zitat:

Vor Eingabe des Passworts nach einem „Cold Boot“:​

  • Das Gerät ist am sichersten.
  • Fast alle Daten sind vollständig verschlüsselt.
  • Der Hauptschlüssel (z. B. der „user key“ bei Android oder „device key“ bei iOS) ist nicht im RAM.
  • Selbst wenn jemand physischen Zugriff auf das Gerät hätte (z. B. per forensischem Angriff), könnte er die verschlüsselten Daten nicht entschlüsseln, weil der Schlüssel nicht im Gerät aktiv ist.


Nach Eingabe des Passworts und Entsperren:​

  • Der wichtige Schlüssel wird entschlüsselt und in den RAM geladen.
  • Viele Daten bleiben zwar verschlüsselt gespeichert, aber der Schlüssel ist jetzt nutzbar, um Daten auf Abruf zu entschlüsseln.
  • Dadurch gibt es eine potenzielle Angriffsfläche:
    • Ein Angreifer könnte versuchen, den Schlüssel aus dem RAM auszulesen (z. B. mit einem sog. „Cold Boot Attack“ oder spezialisierter Hardware, bei älteren oder unsicheren Geräten).
    • Das Betriebssystem versucht, das durch Techniken wie „Secure Enclave“ (Apple) oder „Trusted Execution Environment“ (Android) zu schützen, aber absolut sicher ist es nie.
  • Manche forensischen Tools können bei laufendem, entsperrtem Gerät deutlich mehr extrahieren als bei gesperrtem Gerät.
  • Nachträgliches Sperren (Bildschirm aus) schützt weniger stark als ein kompletter Reboot oder ein Ausschalten des Geräts.

Quelle (unter anderem auch):
„Lest We Remember: Cold Boot Attacks on Encryption Keys“ (Halderman et al., 2008, Princeton University)
 
Ist doch genau das. was ich sage. Und dann weiter. Machst Du ein Image, einen 1zu1 Clone eines Datenträgers, Partition oder was auch immer. Dann sind die Daten auf ihm genauso verschlüsselt. Ohne ohne die Infrastruktur des Rechners, der das verschlüsselt hat, kommt Du an gar keine Daten dran.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Evil E-Lex, Ja_Ge, Der Lord und eine weitere Person
Marvolo schrieb:
adb shell "su -c 'dd if=/dev/block/dm-0 bs=4096'" > handy-internal-storage.img
Das gibt mir dann ein Image des internen Handyspeichers, das ich dann vermutlich durch DiskDrill jagen kann.
Zum Vergrößern anklicken....
Um die Verwirrung bezüglich der Verschlüsselung aufklären, hilft ein Blick auf den zur Sicherung genutzten Befehl. Hier wird nämlich nicht der Flashspeicher direkt ausgelesen, sondern ein per Device-Mapper bereitgestelltes Blockdevice. Dieses wird durch den Device-Mapper entschlüsselt worden sein, falls die vollständige Datenträgerverschlüsselung aktiv war. Diese gab es bei Android 7.0 nämlich auch noch.

Direkt den Inhalt des Flashspeichers hätte man per /dev/mmcblk0, oder bei älteren Geräten per /dev/sd[a-z] bekommen. Dieser wäre bei aktivierter Verschlüsselung aber in jedem Fall verschlüsselt gewesen, selbst dann wenn der Datenträger entsperrt war. Die Daten auf dem Datenträger selbst bleiben immer verschlüsselt.

Um die entschlüsselten Daten zu sichern, muss man daher "eine Ebene höher" ansetzen und die Daten per Device-Mapper sichern. Das ist dann allerdings keine 1:1-Sicherung des Datenträgers, sondern eine 1:1-Sicherung des Device-Mapper-Blockdevices.
 
  • Gefällt mir
Reaktionen: Marvolo, redjack1000 und Der Lord
Und wie machen das jetzt Forensiker, die Cellebrite und ähnliche "Knack"-Software nutzen, um in jedes beliebige (top-moderne) Handy einsteigen zu können?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 162 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz