korrupte .PDFs und .DOCs retten

wolfgangesgang

Cadet 4th Year
Dabei seit
Apr. 2010
Beiträge
95
Hi alle,
wir haben von einer fälschlicherweise gelöschten internen SSD eines Laptops (kein Backup vorhanden- bitte nicht danach fragen :freak:) diverse Dateien per Datarescue gekratzt.

Leider bestehen die meisten aus Nullen, einige jedoch sehen zumindest teilweise im Hex-Viewer OK aus, lassen sich aber nicht öffnen.

Für Quicktime Movies gibt es ja versch. Möglichkeiten, korrupte Dateien zu retten, und auch für PDFs gibt es viele Anbieter, die vermeintlich diese Dateien reparieren.

Ich möchte aber nichts einfach unbedarft in irgendwelchen Clouds ablegen. Kennt Ihr seriöse Services oder Möglichkeiten, lokal die Dateien zu überprüfen und gg.falls zu reparieren?

Vielmals DANKE!
 

wolfgangesgang

Cadet 4th Year
Ersteller dieses Themas
Dabei seit
Apr. 2010
Beiträge
95
Hi,
das waren Data rescue und recoverit. Selber gemacht..
Warum sind SSDs problematischer?
Danke!
 

Smily

Fleet Admiral
Dabei seit
Apr. 2004
Beiträge
21.865
Eine HDD hat ja auch schon immer nicht die Datei, sondern lediglich den Verweis auf die Datei aus ihrem Inhaltsverzeichnis gelöscht. Nimm ein Lexikon, streich einen Begriff aus dem Inhaltsverzeichnis. Seite im Buch zu dem Begriff noch da, aber aus dem Inhaltsverzeichnis weg. Das gibt den Bereich zum Ablegen neuer Dateien frei. Dann liegt die Datei so lange da, bis der Speicher durch eine neue Datei belegt wird. Ist Zufall.

SSDs führen den TRIM Befehl aus, um Lebensdauer und Leistung zu verbessern.
Dabei werden Dateien, die nicht mehr im Inhaltsverzeichnis stehen, regelmäßig wirklich aus den Speicherzellen geputzt.
 

Smily

Fleet Admiral
Dabei seit
Apr. 2004
Beiträge
21.865
Definitiv niemals von der SSD Daten retten. Sondern (gilt eigentlich für jeden Datenträger) erst eine 1:1 Image anfertigen und davon die Daten retten.

Weil wenn Teile eines Dokuments fehlen ... dann fehlen die eben. Kenne ich mich aber zu wenig aus....
 

Dr. McCoy

Commander
Dabei seit
Aug. 2015
Beiträge
2.536
Es wurden hier bei dem Vorgehen einfach schon wieder viele konzeptionelle Fehler begangen. Eine SSD darf zu solchen Zwecken des Versuchs der Datenrettung niemals "gemountet", also als aktives Laufwerk eingebunden werden. Genau das ist aber immer dann der Fall, wenn man die Festplatte, wie hier unter Windows, anschließt, und dann mit solchen RecoveryTools darauf "herumfuhrwerkt".

Lektüre dazu:
-> https://articles.forensicfocus.com/2018/03/13/forensic-acquisition-of-solid-state-drives-with-open-source-tools/

Stattdessen sollte man spezielle "Forensik-Werkzeuge" wie Caine Live nutzen, wobei Laufwerke auch standardmäßig nicht automatisch "gemountet" (eingehangen) werden:
-> https://www.caine-live.net/

Aufgrund des bisher mit fatalen Fehlern behafteten Vorgehens, sehe ich die Chancen einer weitestgehenden Datenwiederherstellung als ziemlich aussichtslos an. Ich rate dringend dazu, jetzt und künftig in solchen Fällen nur solche speziellen Wiederherstellungssysteme zu verwenden!
 

Holt

Fleet Admiral
Dabei seit
Mai 2010
Beiträge
55.331
also möglichst schnell runter mit den Daten und nicht lange am Strom hängen lassen?
Vergiss es, wenn der TRIM Befehl beim Löschen aktiv was,. was bei Windows normalerweise seit Win 7 der Fall ist, dann reichen Sekunden bis wenigen Minuten damit der Controller die Daten verschwinden lässt.
erst eine 1:1 Image anfertigen und davon die Daten retten.
Vergiss es, was da im Artikel steht, bezieht sich auch nur auf einen bestimmten Fall:
Nämlich das hier ein Batch TRIM ausgeführt wird, wo vorher kein Online TRIM ausgeführt wurde. Dies ist unter Windows aber unüblich, denn normalerweise wird da immer Online TRIM ausgeführt und ab Win 8 bei der SSD Optimierung im Rahmen des Defragmentierdiestes dann auch ein Batch TRIM. Die sollte man einfach unterbinden, dann hat man den gleichen Effekt, nämlich das keine TRIM Befehle mehr geschickt werden. Die beim Online TRIM, also direkt beim Löschen der Datei geschickten TRIM Befehle reichen aber normalerweise um die Datei verschwinden zu lassen, außer der Controller hat sie unter den Tisch fallen lassen, was erlaubt ist wenn er andere I/O Requests hat, deshalb gibt es ja das zusätzlich das Batch TRIM.

Online TRIM, also das was sofort beim Löschen der Datei greift, wird bei Linux mit der Mountoption discard aktiviert, keine Ahnung welche Distrubtionen das wie bzgl. des automatischen Eintrags handhaben, bei Windows mit "fsutil behavior set DisableDeleteNotify 0", was wie gesagt die Standardeinstellung ist. Batch TRIM läuft wie gesagt bei Windows über den Defragmentierdienst und bei Linux über den Befehl fstrim und die meisten Distributionen dürften zumindest automatisch einen cron job anlegen der dies regelmäßig macht, ggf. und das ist der Moment den die dort wohl vermeiden wollen, auch gleich für jedes frisch gemountete Volumen. Dies sollte man aber auch anderes als durch das Vermeiden des Mountens unterbinden können.
 
Zuletzt bearbeitet:

wolfgangesgang

Cadet 4th Year
Ersteller dieses Themas
Dabei seit
Apr. 2010
Beiträge
95
Vielen Dank für die Aufklärung. Sehr interessant!

Beim nächsten Mal weiß ich dann mehr ;)
 
Top