Muss man seine Externe-Festplatte nach einem Trojaner nullen/Clearen?

Niclas911

Newbie
Dabei seit
Aug. 2019
Beiträge
3
Wie im titel schon steht "muss man seine Externe-Festplatte nach einem Trojaner nullen/Clearen?"
Ich habe einen Trojaner auf meinem Pc gehabt ich habe meinen Pc bereits zurückgestzt und damit auch die Datei mit welcher ich den Trojaner bekommen habe!
Aber muss ich jetzt noch meine Externe-Festplatte nullen bzw. Clearen das der Trojaner weg ist ?
LG
Niclas911
 

cc_aero

Lt. Junior Grade
Dabei seit
Juli 2013
Beiträge
321
Also nach einem virenbefall formatiere ich die Blatte am liebsten, um sicherzugehen, das nicht vom Schädling uebrig ist. Eine schnellformatierung sollte dabei aber reichen.
 

DarkInterceptor

Captain
Dabei seit
Mai 2014
Beiträge
3.376
eine normale formatierung reicht aus.
schnellformatierung löscht nur die Struktur aber die daten sind alle noch da. zwar weis windows nicht wo sie liegen aber sie könnten wiederhergestellt werden. von daher lieber eine reguläre formatierung durchführen.
 

Niclas911

Newbie
Ersteller dieses Themas
Dabei seit
Aug. 2019
Beiträge
3
Ich habe meine eiene Externe schon einmal Fomatiert so wie es dem Viedeo gesagt wurde
war das richtig ?
 

Yuuri

Fleet Admiral
Dabei seit
Okt. 2010
Beiträge
12.377
Schnellformatierung reicht, da kann Windows sowieso nichts "wiederherstellen". Du willst sie ja noch verwenden und nicht weiterveräußern.
 

Yuuri

Fleet Admiral
Dabei seit
Okt. 2010
Beiträge
12.377
Jap einfach Rechtsklick und Formatieren. diskpart bzw. clean brauchst du dabei nicht, das löscht dir u.a. die Partitionstabelle.
 

Angebot

Ensign
Dabei seit
Juli 2019
Beiträge
134
am Besten mit gparted komplett löschen + mit einer
Linux-Distribution paar mal überschreiben ...dann ist alles weg,
auch für Forensiker -
am Besten noch einen Crypt-Container anlegen und dann Bilder
von Katzen, Hühnern, Feerden + Hunden ein lagern
 

Yuuri

Fleet Admiral
Dabei seit
Okt. 2010
Beiträge
12.377
Auch Forensiker können nicht und konnten nie von einer einmalig überschrieben Platte Daten auslesen - nicht einmalig, nicht mehrmalig, nicht zufällig, nicht mit der Folge 0 und 1 und auch nicht 1 und 0 und auch nicht nach NSA, Navy, Air Force oder 35-maligem Gutmann.

Selbst das NIST besagt nur einen Vorgang mit Nullen: https://en.wikipedia.org/wiki/Data_erasure#Standards

Forensiker sind dazu da, um im Falle eines physischen Schadens die Daten trotzdem auslesen zu können. In dem Falle sind die Daten ja trotzdem vorhanden, aber bspw. in einem Bereich o.ä. hat der Kopf auf dem Platter aufgesetzt. Oder Staub dringt ein oder die Platte läuft nicht mehr an oder oder oder.

Nochmal: Sie sind nicht dazu da um Daten von überschriebenen Platten wiederherzustellen.

Das gilt nicht für SSDs. Aber auch hier sollte ein Secure Erase des Herstellers reichen, denn dieser nullt die Daten im Low-Level und übergeht den Controller bzw. weist ihn explizit zu dieser Aktion an.

Obligatorisch (wie in jedem solcher Art Thread):
Zitat von https://www.heise.de/security/meldung/Sicheres-Loeschen-Einmal-ueberschreiben-genuegt-198816.html:
Der Forensikexperte Craig Wright wollte mit dieser Legende endlich aufräumen. In einer wissenschaftlichen Untersuchung hat er zusammen mit Kollegen Festplatten verschiedener Hersteller und unterschiedlichen Alters unter die Lupe genommen, Daten unter kontrollierten Bedingungen überschrieben und die magnetischen Oberflächen anschließend mit einem Magnetkraftmikroskop untersucht.

Das Ergebnis: Ob uralte 1-GByte-Platte oder (zum Zeitpunkt der Studie) aktuelles Laufwerk, nach einmaligem Überschreiben der Daten ist die Wahrscheinlichkeit, noch etwas rekonstruieren zu können, praktisch null. Na ja, nicht ganz: Wenn es um ein einziges Bit geht, von dem man ganz genau weiß, wo es steht, dann kann man es (in einem der genannten Beispiele) mit 56 Prozent Wahrscheinlichkeit korrekt rekonstruieren. Für ein Byte müsste man dann aber schon 8 Mal richtig liegen, was nur noch mit 0,97 Prozent Wahrscheinlichkeit klappt. Tja, und bei größeren Datenmengen jenseits von einem Byte ...
 

Nicht die Mama

Cadet 3rd Year
Dabei seit
Mai 2019
Beiträge
62
Wie verhält sich das denn bei einer SSD? Nehmen wir mal an man fängt sich einen Trojaner (was auch immer) ein und der macht sich auf der SSD breit. Nun möchte man diese sicherheitshalber komplett plätten ... esd bei Flash-Speicher mit einer normalen Formatierung nicht möglich zu sein scheint. Ich beziehe mich auf diesen Artikel: https://www.heise.de/ct/artikel/Sicher-Loeschen-Daten-von-Festplatten-SSDs-und-Handys-entfernen-3891831.html

Zitat aus dem Artikel:

Das Überschreiben von SSDs mit Nullen oder Zufallswerten reicht deshalb nicht aus: Die Datenreste, die noch im Overprovisioning-Bereich vorhanden sein können, erwischt man damit nicht.


Ich habe keinen Plan von dem ganzen aber es scheint ja Bereiche zu geben die man so nicht erwischen kann und wo sich (theoretisch vielleicht) ein Trojaner/Virus festsetzen könnte und dort bleibt. Im Artikel wird zwar etwas von diesem ATA-Standard und mitgelieferten Tools geblubbert aber das sagt mir nun nichts. Zumindest bei meinem Bekannten gab es kein extra Tool zu der SSD mit.
 

Yuuri

Fleet Admiral
Dabei seit
Okt. 2010
Beiträge
12.377
Wie verhält sich das denn bei einer SSD? Nehmen wir mal an man fängt sich einen Trojaner (was auch immer) ein und der macht sich auf der SSD breit. Nun möchte man diese sicherheitshalber komplett plätten ...
Das ist überflüssig. Wenn die Partitionstabelle weg ist (= Schnellformatierung), hat jedes OS keinen Zugriff mehr, da das Dateisystem einfach mehr nicht vorhanden ist. Somit lässt sich keine Datei mehr vom alten Dateisystem ansprechen. Du kannst dann höchstens noch was auslesen, wenn du direkt vom Gerät blockweise ausliest (wie es bspw. PhotoRec macht).
Das Überschreiben von SSDs mit Nullen oder Zufallswerten reicht deshalb nicht aus: Die Datenreste, die noch im Overprovisioning-Bereich vorhanden sein können, erwischt man damit nicht.
Wie auch zwei Zeilen drunter steht und ich auch schon beschrieben habe: Dafür gibts Secure Erase. Das ist ne direkte Low-Level-Formatierung, weil du im OS jeweils nur eine Mid-Level-Formatierung hinbekommst, welche nie den Controller umgehen kann.
Ich habe keinen Plan von dem ganzen aber es scheint ja Bereiche zu geben die man so nicht erwischen kann und wo sich (theoretisch vielleicht) ein Trojaner/Virus festsetzen könnte und dort bleibt.
Der kann da auch problemlos rumliegen. Wenn der nie ausgeführt wird, ist das vollkommen egal. Und wenn der Bereich nirgendwo in der Partitionstabelle erfasst ist in genau der Reihenfolge, wie die Blöcke beim Befall drauf geschrieben wurden, sind das einfach nur 1en und 0en wie ein x-beliebiges JPG-Bild in deinem Fotoordner. Das Original daraus lässt sich einfach nicht mehr wiederherstellen, sodass es Sinn ergeben könnte.

Bei Festplatten könnte man sowas wiederherstellen, denn die legen Daten sequentiell ab. SSDs machen aber das komplette Gegenteil: Daten zufällig im NAND ablegen, damit u.a. das Wear Leveling greift und sich die Zellen gleichmäßig abnutzen.
Im Artikel wird zwar etwas von diesem ATA-Standard und mitgelieferten Tools geblubbert aber das sagt mir nun nichts. Zumindest bei meinem Bekannten gab es kein extra Tool zu der SSD mit.
Genau dafür ist das Tool da. Und im Zweifel gehst du auf die Homepage vom Hersteller und lädst dir dort dessen Tools runter. Wenn du verstehst, dass es dafür Secure Erase gibt, kannst du aber auch jedes x-beliebige Tool nehmen, was ATA Secure Erase unterstützt. Aber nicht irgend ein Tool, was sich Secure Erase nennt und dann keinen ATA Secure Erase unterstützt.
 

DatAres

Cadet 4th Year
Dabei seit
März 2017
Beiträge
117
Festplatte überschreiben ist eigentlich komplett Overkill. Da bräuchtest du schon eine extrem hartnäckige Malware, die nicht nur einen Software, sondern schon einen Hardware-Wirt hätte, wie ein Rootkit oder so was. Normales Formatieren, wie bei ner Windows Installation reicht da aus.
Ganz davon abgesehen, dass du mit so Überschreib-Programmen, je nachdem, wie viel Durchläufe du machst, eher die Lebenszeit deiner Festplatte verkürzt.
 

Nicht die Mama

Cadet 3rd Year
Dabei seit
Mai 2019
Beiträge
62
Danke euch soweit. Ich werde mir das Tool "Secure Erase" dann mal anschauen. Nicht dass ich es derzeit nötig hätte ... aber ich habe sowas immer lieber in der Hinterhand. Man weiß ja nie.

Das ganze wird, von mir aus so gesehen, immer komplizierter und komplexer. Früher war das noch so schön einfach. Ich persönlich bin ja nun eh nicht so begeistert von einer SSD (in meinem speziellen Fall - wo die SSD das ganze System ausbremst). Das hat aber nichts weiter mit der SSD ansich zu tun sondern mit meiner anderen Hardware (Samsung SSD + AM3 Chipsatz auf dem Mainboard). Wie dem nun auch sei, danke für die Informationen. :)
 
Top