korrupte .PDFs und .DOCs retten

[wolfgangesgang]

Hi alle,
wir haben von einer fälschlicherweise gelöschten internen SSD eines Laptops (kein Backup vorhanden- bitte nicht danach fragen ) diverse Dateien per Datarescue gekratzt.

Leider bestehen die meisten aus Nullen, einige jedoch sehen zumindest teilweise im Hex-Viewer OK aus, lassen sich aber nicht öffnen.

Für Quicktime Movies gibt es ja versch. Möglichkeiten, korrupte Dateien zu retten, und auch für PDFs gibt es viele Anbieter, die vermeintlich diese Dateien reparieren.

Ich möchte aber nichts einfach unbedarft in irgendwelchen Clouds ablegen. Kennt Ihr seriöse Services oder Möglichkeiten, lokal die Dateien zu überprüfen und gg.falls zu reparieren?

Vielmals DANKE!

 

[Smily]

per Datarescue

Vielleicht war einfach nur die Software schlecht? Welche Software?
Vielleicht das Image (niemals das Original) mit einem anderen Programm bearbeiten.
Habt ihr das gemacht oder eine Datenrettungsfirma?
SSDs sind leider schlechter zu retten als HDDs

 

[wolfgangesgang]

Hi,
das waren Data rescue und recoverit. Selber gemacht..
Warum sind SSDs problematischer?
Danke!

 

[Smily]

Eine HDD hat ja auch schon immer nicht die Datei, sondern lediglich den Verweis auf die Datei aus ihrem Inhaltsverzeichnis gelöscht. Nimm ein Lexikon, streich einen Begriff aus dem Inhaltsverzeichnis. Seite im Buch zu dem Begriff noch da, aber aus dem Inhaltsverzeichnis weg. Das gibt den Bereich zum Ablegen neuer Dateien frei. Dann liegt die Datei so lange da, bis der Speicher durch eine neue Datei belegt wird. Ist Zufall.

SSDs führen den TRIM Befehl aus, um Lebensdauer und Leistung zu verbessern.
Dabei werden Dateien, die nicht mehr im Inhaltsverzeichnis stehen, regelmäßig wirklich aus den Speicherzellen geputzt.

 

[wolfgangesgang]

ok, das klingt ja gar nicht gut.. also möglichst schnell runter mit den Daten und nicht lange am Strom hängen lassen?

Kennst Du noch ein gutes Tool für .DOCs? Bin gerade am Suchen.. Für .PDFs scheint mir dieses hier ganz brauchbar:
https://www.pdf-online.com/osa/repair.aspx

 

[Smily]

Definitiv niemals von der SSD Daten retten. Sondern (gilt eigentlich für jeden Datenträger) erst eine 1:1 Image anfertigen und davon die Daten retten.

Weil wenn Teile eines Dokuments fehlen ... dann fehlen die eben. Kenne ich mich aber zu wenig aus....

 

[Dr. McCoy]

Es wurden hier bei dem Vorgehen einfach schon wieder viele konzeptionelle Fehler begangen. Eine SSD darf zu solchen Zwecken des Versuchs der Datenrettung niemals "gemountet", also als aktives Laufwerk eingebunden werden. Genau das ist aber immer dann der Fall, wenn man die Festplatte, wie hier unter Windows, anschließt, und dann mit solchen RecoveryTools darauf "herumfuhrwerkt".

Lektüre dazu:
-> https://articles.forensicfocus.com/...of-solid-state-drives-with-open-source-tools/

Stattdessen sollte man spezielle "Forensik-Werkzeuge" wie Caine Live nutzen, wobei Laufwerke auch standardmäßig nicht automatisch "gemountet" (eingehangen) werden:
-> https://www.caine-live.net/

Aufgrund des bisher mit fatalen Fehlern behafteten Vorgehens, sehe ich die Chancen einer weitestgehenden Datenwiederherstellung als ziemlich aussichtslos an. Ich rate dringend dazu, jetzt und künftig in solchen Fällen nur solche speziellen Wiederherstellungssysteme zu verwenden!

 

[Holt]

also möglichst schnell runter mit den Daten und nicht lange am Strom hängen lassen?

Vergiss es, wenn der TRIM Befehl beim Löschen aktiv was,. was bei Windows normalerweise seit Win 7 der Fall ist, dann reichen Sekunden bis wenigen Minuten damit der Controller die Daten verschwinden lässt.

erst eine 1:1 Image anfertigen und davon die Daten retten.

Vergiss es, was da im Artikel steht, bezieht sich auch nur auf einen bestimmten Fall:

When connected to the forensic workstation with auto-mount enabled, the TRIM function is issued and file 37, which contains the inculpating or exculpating evidence, is removed and evidence is no longer recoverable.

Nämlich das hier ein Batch TRIM ausgeführt wird, wo vorher kein Online TRIM ausgeführt wurde. Dies ist unter Windows aber unüblich, denn normalerweise wird da immer Online TRIM ausgeführt und ab Win 8 bei der SSD Optimierung im Rahmen des Defragmentierdiestes dann auch ein Batch TRIM. Die sollte man einfach unterbinden, dann hat man den gleichen Effekt, nämlich das keine TRIM Befehle mehr geschickt werden. Die beim Online TRIM, also direkt beim Löschen der Datei geschickten TRIM Befehle reichen aber normalerweise um die Datei verschwinden zu lassen, außer der Controller hat sie unter den Tisch fallen lassen, was erlaubt ist wenn er andere I/O Requests hat, deshalb gibt es ja das zusätzlich das Batch TRIM.

Online TRIM, also das was sofort beim Löschen der Datei greift, wird bei Linux mit der Mountoption discard aktiviert, keine Ahnung welche Distrubtionen das wie bzgl. des automatischen Eintrags handhaben, bei Windows mit "fsutil behavior set DisableDeleteNotify 0", was wie gesagt die Standardeinstellung ist. Batch TRIM läuft wie gesagt bei Windows über den Defragmentierdienst und bei Linux über den Befehl fstrim und die meisten Distributionen dürften zumindest automatisch einen cron job anlegen der dies regelmäßig macht, ggf. und das ist der Moment den die dort wohl vermeiden wollen, auch gleich für jedes frisch gemountete Volumen. Dies sollte man aber auch anderes als durch das Vermeiden des Mountens unterbinden können.

 

[wolfgangesgang]

Vielen Dank für die Aufklärung. Sehr interessant!

Beim nächsten Mal weiß ich dann mehr