Unallocated Data (Nicht zugeordnete Daten): Unterschied zwischen den Versionen

Aus IT-Forensik Wiki
(Die Seite wurde neu angelegt: „Daten, die aus der Dateipartition entfernt / gelöscht wurden, sich jedoch noch im Speicher des Gerätes befinden und von Experten der digitalen Forensik wiede…“)
 
Keine Bearbeitungszusammenfassung
 
(2 dazwischenliegende Versionen von einem anderen Benutzer werden nicht angezeigt)
Zeile 1: Zeile 1:
Daten, die aus der Dateipartition entfernt / gelöscht wurden, sich jedoch noch im Speicher des Gerätes befinden und von Experten der digitalen Forensik wiederhergestellt werden können.
== Unallocated Data ==
Daten, die aus der Datenpartition entfernt / gelöscht wurden, sich jedoch noch im Speicher des Gerätes befinden und von Experten der IT Forensik wiederhergestellt werden können.
 
== Beschreibung ==
Wenn eine Datei gelöscht wird, hebt das Betriebssystem die Zuweisung (Zeiger/Pointer)  zum zugewiesenen Speicherplatz der Datei auf, indem es die Zeiger/Pointer darauf entfernt. Der frei gewordenen Bereich auf der Festplatte wird wieder als verfügbar gekennzeichnet. Das Betriebssystem löscht jedoch nicht die Daten, welche die Datei enthalten hat. Die Daten verbleiben im nicht zugewiesenen Speicherplatz, bis das Betriebssystem eine andere Datei im selben Speicherplatz speichert, wodurch die Daten überschrieben werden. Der nicht zugewiesene Speicherplatz enthält also Daten aus allen Dateien, die gelöscht, aber noch nicht überschrieben wurden. Somit können mittels forensischer Methoden auch gelöschte Dateien wiederhergestellt werden.

Aktuelle Version vom 13. Juli 2019, 16:26 Uhr

Unallocated Data

Daten, die aus der Datenpartition entfernt / gelöscht wurden, sich jedoch noch im Speicher des Gerätes befinden und von Experten der IT Forensik wiederhergestellt werden können.

Beschreibung

Wenn eine Datei gelöscht wird, hebt das Betriebssystem die Zuweisung (Zeiger/Pointer) zum zugewiesenen Speicherplatz der Datei auf, indem es die Zeiger/Pointer darauf entfernt. Der frei gewordenen Bereich auf der Festplatte wird wieder als verfügbar gekennzeichnet. Das Betriebssystem löscht jedoch nicht die Daten, welche die Datei enthalten hat. Die Daten verbleiben im nicht zugewiesenen Speicherplatz, bis das Betriebssystem eine andere Datei im selben Speicherplatz speichert, wodurch die Daten überschrieben werden. Der nicht zugewiesene Speicherplatz enthält also Daten aus allen Dateien, die gelöscht, aber noch nicht überschrieben wurden. Somit können mittels forensischer Methoden auch gelöschte Dateien wiederhergestellt werden.