Announcement

Collapse
No announcement yet.

Gelöschte Dateien entfernen?

Collapse
X
Collapse
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    Gelöschte Dateien entfernen?

    Hallo,

    der Titel klingt wohl etwas redundant...

    Nach längerer Zeit beschäftige ich mich wieder
    mit dem Thema: "Sicheres Löschen unter Windows". Das korrekte Anwenden der Gutmann- oder DoD-Methode ist easy: MMF-file (noCache) erzeugen und die Datei mit den Bitmustern überschreiben.
    Anschliessend löschen und: Pech gehabt!
    Davory findet die gelöschte Datei und restauriert sie.

    Ein Gegencheck mit dem Eraser schafft Selbstzweifel. Davory konnte die mit diesem
    Tool gelöschten Dateien nicht reaturieren.
    Den Sourcecode von Eraser 5.3 habe ich mir angeschaut. Beim "Überfliegen" konnte ich nichts Besonderes entdecken: das C++ Programm nutzt offenbar viele DOS-Funktionen. Von einem Zugriff auf die FAT/MFT habe ich nichts gesehen. Ein spezieller Treiber (vxd;sys)
    wird auch nicht benutzt.

    Wer kann noch einen Tipp geben, wie man mit Delphi Dateireste sicher von den Datenträgern entfernt?
    Das Problem liegt nicht am Sicheren Überschreiben, sondern wohl eher daran, unter
    Windows die verbleibenden Einträge wirklich zu löschen. Möglicherweise muss man ja wirklich den komplizierten Weg über den Bootsektor zur MFT und die entsprechenden Dateicluster gehen?

    Vielen Dank für jede Info.
    Jochen
    Tags: None
  • #2
    Hallo,

    bei einer NTFS-Partition wird die Sache deutlich komplizierter (Zitat aus der MS Platform-SDK-Hilfe: ".... <i>Reparse points enable new behavior that you should be aware of when writing applications that manipulate files....</i>):

    A) Eine Anwendung kann Daten in separaten <b>NTFS Streams</b> (alias "Unterverzeichnisse in der Datei") verstecken bzw. gruppieren. Wenn man nur auf die "nackte" Datei zugreift und diese löscht, wird der separate Stream nicht überschrieben, so dass der Inhalt völlig unbeschädigt bleibt. Auch wenn die Datei mit 0 Byte Dateigröße im Windows-Explorer angezeigt wird, können noch Megabytes in den Streams stecken!

    A) Eine Anwendung kann auf <b>NTFS Reparse Points</b> zurückgreifen - auch hier reicht der Zugriff auf die "nackte" Datei nicht aus.

    Die Hilfedatei aus dem <i>Microsoft Platform SDK</i> bzw. die DVD der MSDN-Library liefert dazu weitere Infos.

    &gt;..wie man mit Delphi Dateireste sicher von den Datenträgern entfernt?

    Wenn die Datei vom <b>eigenen</b> Programm erzeugt wurde (d.h. man selbst den Zugriffsmechanismus kennt), kann man diese auch wirklich sicher löschen. Stammt die Datei von einer fremden Anwendung, muss man alle Freiräume abdecken, die Win32 einräumt (im Fall einer NTFS-Partition sind das dann entsprechend viele)

    Comment

    • #3
      Hi Andreas,

      danke für die Antwort!
      Ich hatte erst später den "gleichen" Thread (unter Diverses) gesehen, wo du und Hagen zu diesem Sachverhalt Stellung nehmt >> Ich geb's auf! Zu den obigen SDK-Fakten kommt noch hinzu, dass Dateien <= 2KB offenbar direkt in der MFT und deren Kopien abgelegt werden....
      Ich weiß nun wieder, warum ich dieses "Projekt" damals beiseite legte.

      Gruss, Jochen

      NS: Ich bleibe bei meiner Überzeugung, dass nur
      vollverschlüsselte HDD's einen gewissen Schutz bieten

      Comment

      Previous template Next
      Working...
      X