Unallocated Data (Nicht zugeordnete Daten)

Aus IT-Forensik Wiki
Version vom 13. Juli 2019, 16:26 Uhr von St181805 (Diskussion | Beiträge)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Unallocated Data

Daten, die aus der Datenpartition entfernt / gelöscht wurden, sich jedoch noch im Speicher des Gerätes befinden und von Experten der IT Forensik wiederhergestellt werden können.

Beschreibung

Wenn eine Datei gelöscht wird, hebt das Betriebssystem die Zuweisung (Zeiger/Pointer) zum zugewiesenen Speicherplatz der Datei auf, indem es die Zeiger/Pointer darauf entfernt. Der frei gewordenen Bereich auf der Festplatte wird wieder als verfügbar gekennzeichnet. Das Betriebssystem löscht jedoch nicht die Daten, welche die Datei enthalten hat. Die Daten verbleiben im nicht zugewiesenen Speicherplatz, bis das Betriebssystem eine andere Datei im selben Speicherplatz speichert, wodurch die Daten überschrieben werden. Der nicht zugewiesene Speicherplatz enthält also Daten aus allen Dateien, die gelöscht, aber noch nicht überschrieben wurden. Somit können mittels forensischer Methoden auch gelöschte Dateien wiederhergestellt werden.