md0 aus versehen gekillt

Der Lesekopf verändert die magnetischen Eigenschaften der Oberfäche. Da wird keine 0 oder 1 gespeichert. Ich denke mal, dass die magnetische Flussdichte gemessen wird und ab einem Schwellwert HIGH gilt und unter dem Schwellwert ein LOW. Wenn man die Sektoren nun mit 0 überschreibt, wird damit der Schwellwert unterschritten und man bekommt eine logische 0 raus. Die Mittel, die Ontrack zur Verfügung stehen, ermöglichen unter anderem direkt ohne den Controller die Daten auszulesen. Überschriebene Bereiche lassen sich mit viel Glück auch wiederherstellen, wenn man den Schwellwert zur Unterscheidung von HIGH/LOW ändert bzw. nur für diesen Bereich anpasst.

Früher war es auch möglich Festplatten auszulesen, selbst wenn die Daten oft genug überschrieben worden sind. Da die Spuren so weit auseinander gewesen sind, waren noch zwischen den Spuren Informationen vorhanden, die sich dann mit einem Verfahren wieder herstellen lassen.

Mittlerweile sind die Spuren der Festplatten so eng zusammen, dass diese überlappen. Da die Platten immer größer werden, wird auch der reservierte Speicherplatz für kaputte Sektoren immer größer werden. D.h. zwischen den Spuren wird man nicht mehr so einfach die Möglichkeit haben alte Informationen auszulesen, da diese schon von vorne herein überlagert sind. Man weiß aber auch nicht, wo die Festplatte ihre Daten speichert. Der Controller ordnet kaputte Sektoren neu zu und die alten werden nicht mehr verwendet. Dort sind aber auch noch Daten vorhanden.

Man kann niemals mit Sicherheit sagen, dass sich Daten von einer Festplatte nicht wieder herstellen lassen, es seiden man zerstört sie Physisch bzw. geht damit ins Cern und hält die mal an so einem supraleitenden Magneten.


Letzendlich ist es nur eine Frage der Wirtschaftlichkeit die Daten retten zu lassen. Die ersten GB betreffen hoffentlich nur das OS. Jetzt ist die Frage in wie weit man die Daten ab den 1GB wieder herstellen kann.

Ich würde versuchen mit dd ein Duplikat der Platte anzufertigen um dann mit der Kopie arbeiten zu können. Die Kopie kann auch eine Datei sein. Wenn du Glück hast, findest du mit Testdisk die Partitionen. Danach muss man irgendwie versuchen das FS wieder herzustellen (alles mit dem Duplikat). Dafür wird es sicherlich auch jede menge Tools geben.
 
Joe User said:
Es muss ja auch nur eine einzelne Platte gerettet werden und nicht alle sechs
Click to expand...
Denk bitte daran das RAID 10 aus einem übergeordnetem Raid 0 besteht. Da wirst du nicht mit einer einzelnen platte auskommen ;)

In diesem Fall brauchst du mindestens 3 platten. Je eine aus jedem raid 1 pair.
 
Last edited by a moderator:
MadMakz said:
Denk bitte daran das RAID 10 aus einem übergeordnetem Raid 0 besteht.
Click to expand...
Das SW-RAID10 im Linux-Kernel ist kein RAID1+0 sondern hat eine andere Verteilung der Chunks. Das sieht man schon daran, dass man das SW-RAID10 auch mit einer ungeraden Anzahl an Platten erstellen kann.

Man braucht vermutlich trotzdem mehr als die eine Platte und wird das 1GiB Daten trotzdem nicht rekonstruieren können. Selbst wenn man dafür massenhaft Geld auszugeben bereit ist.

Da nur der Content des RAID zerstört wurde, sollte das RAID selbst ja immer noch fein vom Kernel zusammengebaut werden. Insofern ist der beste Ansatz, die Sachen nach dem 1. GiB zu retten und die Verlorenen Daten als Lehrgeld zu betrachten.
 
DeaD_EyE said:
Die ersten GB betreffen hoffentlich nur das OS. Jetzt ist die Frage in wie weit man die Daten ab den 1GB wieder herstellen kann.
Click to expand...

Wenn dem so ist, dann ist ein Wiederherstellen des ersten GB gar nicht notwendig, da sich die Nutzdaten dann mit Hilfe der verbliebenen Superblocks vollständig recovern lassen.
Das OS ist jederzeit ersetzbar, die Nutzdaten hingegen nicht.

md0 lässt zwar vermuten dass lediglich das OS und keine Nutzdaten betroffen sind, darauf verlassen kann man sich allerdings nicht.


Letztendlich muss sich der Betroffene für seinen persönlichen Kosten-Nutzen-Faktor entscheiden, wir können lediglich die theoretischen Möglichkeiten aufzeigen, was wir nun auch zu Genüge getan haben.
 
Joe User said:
Wahrscheinlichkeit != Realität
Click to expand...
Was bitte willst du uns damit sagen?

Es hat schon seine Gründe, warum in kritischen Bereichen ein mehrfaches Überschreiben mit Random und Null vor der physikalischen Zerstörung vorgeschrieben ist.
Click to expand...
Ja, diese liegen hauptsächlich in der Profit-Erwartung der diversen Hersteller von Tools, die diese Löschungen durchführen. Und der Unternehmen, die Geld damit verdienen, diese Tools zu zertifizieren. Und den Politikern, die sich genug Angst machen lassen, um diese Zertifizierungen als verbindlich zu definieren.

Alles, was man überschreiben kann, ist weg. Alles was man nicht überschreiben kann ist nicht weg. Wenn also wieder mit Rellocated Sectors argumentiert wird - die bekommt auch kein Tool weg, das über den Controller zugreifen muss.

Für den geneigten Festplattenbesitzer, der gern Daten zerstören möchte, gibt es dann noch die hier: https://www.semshred.com/manual_hard_drive_crusher

Wie es um die Profitorientiertheit der Branche bestellt ist, kann man selber evaluieren, wenn man den Preis des HDD-Crushers mit dem Preis dieses Angebots vergleicht: http://www.amazon.com/Grizzly-G4018-Arbor-Press-Ton/dp/B00FSD5NCE/ref=pd_cp_e_1
 
rolapp said:
Mal eine Frage am Rande.
Wie sieht das jetzt bei SSD Festplatten aus?
Click to expand...
praktisch genau so. solange du nichts überschreibst wird es lediglich "vergessen". solange das system auch kein "trim" sendet kann es sogar dazu kommen das die SSD die blöcke vorerst gar nicht erst wieder beschreibt, also die daten physikalisch überhaupt nicht verändert werden und nur aus dem index verschwinden.
 
Last edited by a moderator:
elias5000 said:
Was bitte willst du uns damit sagen?
Click to expand...
Das Deine Wahrscheinlichkeitsrechnung der Realität widerspricht und vice versa.
Nach mehreren einmalig per dd.../dev/{random|zero} überschriebenen Festplatten(-Bereichen) und deren erfolgreicher Wiederherstellung durch verschiedene Datenrettungsfirmen, sehe ich die Realität anders als Deine Wahrscheinlichkeitsrechnung.


elias5000 said:
Ja, diese liegen hauptsächlich in der Profit-Erwartung der diversen Hersteller von Tools, die diese Löschungen durchführen. Und der Unternehmen, die Geld damit verdienen, diese Tools zu zertifizieren. Und den Politikern, die sich genug Angst machen lassen, um diese Zertifizierungen als verbindlich zu definieren.
Click to expand...
Welch ein Bullshit, das ist ja so gar noch unterhalb des BILD-Niveau...


Sorry, aber heute macht eine Diskussion mit Dir keinen Sinn mehr. So kenne ich Dich gar nicht...
 
Joe User said:
Und ja, überschriebene Bereiche lassen sich durchaus wiederherstellen, solange sie nur einmal und nicht mehrfach überschrieben wurden. Kostet zwar etwas mehr als 10€/GB, ist aber immernoch bezahlbar.
Click to expand...

Hast du dafür eine Quelle?

Ich kenne auch nur die Meldung von elias5000, wonach bereits einmal überschreiben genügt.
 
Joe User said:
Welch ein Bullshit, das ist ja so gar noch unterhalb des BILD-Niveau...
Click to expand...
Ein Gutteil des Überwachungs- und National-Security-Sektors basiert auf diesem Niveau...

Dem TE dürfte das allerdings auch nichts nützen. Mich würde mal interessieren, ob er es geschafft hat, von den Sachen nach dem ersten GiB noch was zurück ins Leben zu holen.
 
elias5000 said:
Ja, diese liegen hauptsächlich in der Profit-Erwartung der diversen Hersteller von Tools, die diese Löschungen durchführen.
Click to expand...
Naja, die Sicherheit, dass die Daten wirklich weg sind und nicht zu 99% kommt auch noch dazu.
Vielleicht kann man keine gazen Dateien wiederherstellen, aber bei entsprechenden Informationen reichen ja manchmal schon Ausschnitte.

Aber auch da überschreibt man inzwischen weniger: Gutmann (35fach) gilt als veraltet und das BSI hält 2 mal Überschreiben und 2 mal Verifizieren für okay.
 
You must log in or register to reply here.
Back
Top