[OT]: Beweis der Datenlöschung.

To: SmartList <debian-user-german@lists.debian.org>
Subject: [OT]: Beweis der Datenlöschung.
From: Christian Stern <der.raecher@googlemail.com>
Date: Tue, 10 Feb 2009 13:57:27 +0100
Message-id: <[🔎] b54926d80902100457l46cf3454gcf6a33d4f154b226@mail.gmail.com>

Ausgangssituation:

Partition mit reiserfs auf der elektronische Nachrichten liegen. Die
Wiederherstellung brachte extrem viele Daten von dieser Partition
wieder zum Vorschein (vorher anderweitig genutzt), doch nicht die
"kurz" zuvor gelöschten Daten.

Die durchnummerierten Nachtichten in den Postfächern weisen Lücken
auf, die Logs, die wiederhergestellt worden sind, verraten an wen und
das verschickt worden ist.

Der Verdacht liegt nah, dass jemand mit Programmen wie dd, destroy,
schred oder ähnlichem diese Nachrichten gelöscht hat, oder das
herkömmliche Wiederherstellungsvarianten nicht funktionierten.

Nun die Frage:

Sind diese Löschvarianten leicht selbst nachzuweisen? Vielleicht durch
Suchen nach auffälligen bzw. immergleichen Strings mit foremost oder
ähnlichem?

Verweise zu Analyse von Festplatten bzw. Daten sind willkommen, aber
auch zu Firmen, Einzelpersonen, die forensische Arbeit leisten
(können).

Christian Stern

Reply to:

Follow-Ups:
- Re: [OT]: Beweis der Datenlöschung.
  - From: Matthias Haegele <mhaegele@linuxrocks.dyndns.org>

Prev by Date: [SOLVED] mit Mutt alte Threads löschen
Next by Date: System-Call interaktiv ausführen [gethostbyname() und uname() etc]
Previous by thread: Re: Virtualbox / VMware
Next by thread: Re: [OT]: Beweis der Datenlöschung.
Index(es):
- Date
- Thread