Hi Dackel,
das verstehe ich nicht ganz, Photorec ist doch ein Programm zur Wiederherstellung von Dateien und nicht zur Entschlüsselung.
Beim Verschlüsseln wird der zugehörige Record des Dateisystems ja nicht geändert, die Datei ist ja noch da.
Falscher Post zum richtigen Thema oder richtiger Post zum falschen Thema, oder peil ich was nicht ?

Grüße
Arris

Hallo Arris,

zum Gedankengang:

Dass Schreibprogramm speichert während des Arbeitens mit einem Dokument eine gesperrte Kopie für den Falle eine Absturzes, dass Original ist selbstverständlich verschlüsselt, die Kopie aus dem Tempfiles ist gelöscht und daher nicht involviert.

Beispiel 2:
Mustermännchen bestellt sich ein Fotobuch oder brennt eine selektierte Zusammelstellung
seiner Urlaubsbilder, erstellt dafür einen neuen Ordner, kopiert die Wunschbilder dort
rein, löscht nach getaner Ausführung den Kopieordner.
Schwupps haben wir wieder gelöschte Bilder auf Platte.

Beispiel 3:
Persönchen 3 überträgt die Bilder von seiner Digitalkamera auf Platte,
verschiebt die Daten auf seine externe Festplatte, da die Orginale beim
verschieben gelöscht werden, sind auch hier wieder Optionen vorhanden.

Beispiel 4:
Anhänge kommen per E-Mail rein, Anhänge werden auf Platte gespeichert - später verschlüsselt, sind aber irgendwo noch in der Mailboxdatei noch gespeichert.
Da nur der Header verschlüsselt wird, müssten auch hier weiter hinten
aus der Datei Rohdaten extrahiert werden können.

Ich hoffe, es ist so etwas besser verständlich.

*wink* fdy

Zitat:

Zitat von fdy

Hallo Arris,

zum Gedankengang:

Dass Schreibprogramm speichert während des Arbeitens mit einem Dokument eine gesperrte Kopie für den Falle eine Absturzes, dass Original ist selbstverständlich verschlüsselt, die Kopie aus dem Tempfiles ist gelöscht und daher nicht involviert.

Beispiel 2:
Mustermännchen bestellt sich ein Fotobuch oder brennt eine selektierte Zusammelstellung
seiner Urlaubsbilder, erstellt dafür einen neuen Ordner, kopiert die Wunschbilder dort
rein, löscht nach getaner Ausführung den Kopieordner.
Schwupps haben wir wieder gelöschte Bilder auf Platte.

Beispiel 3:
Persönchen 3 überträgt die Bilder von seiner Digitalkamera auf Platte,
verschiebt die Daten auf seine externe Festplatte, da die Orginale beim
verschieben gelöscht werden, sind auch hier wieder Optionen vorhanden.

Beispiel 4:
Anhänge kommen per E-Mail rein, Anhänge werden auf Platte gespeichert - später verschlüsselt, sind aber irgendwo noch in der Mailboxdatei noch gespeichert.
Da nur der Header verschlüsselt wird, müssten auch hier weiter hinten
aus der Datei Rohdaten extrahiert werden können.

Ich hoffe, es ist so etwas besser verständlich.

*wink* fdy

Und zu guter letzt wurden ja die Originaldateien zuerst verändert, dann unter neuem Namen gespeichert und dann erst gelöscht
Aber jede neu gespeicherte Datei kann schon wieder die gelöschte vorherige Originaldatei überschrieben haben
Gruß DevilTH

Huhu Devil,

davon würde ich nicht ausgehen, wenn du dass im Bezug auf den Virus meinst,
wenn er jede Datei erst lesen, ändern, schreiben würde, käme er nicht
auf diese affige Performance beim verschlüsseln.

Da können wir ganz stumpf davon ausgehen, dass er tatsächlich die Datei von
Platte nimmt, die ersten Bytes stumpf überschreibt und den
Rest unangetastet lässt. Quasi dass, was du mit einem Hex-Editor auch
machen würdest.

In diesem Punkt also kein Pluspünktchen für
unsere Daten.

Zitat:

Zitat von fdy

Huhu Devil,

davon würde ich nicht ausgehen, wenn du dass im Bezug auf den Virus meinst,
wenn er jede Datei erst lesen, ändern, schreiben würde, käme er nicht
auf diese affige Performance beim verschlüsseln.

Da können wir ganz stumpf davon ausgehen, dass er tatsächlich die Datei von
Platte nimmt, die ersten Bytes stumpf überschreibt und den
Rest unangetastet lässt. Quasi dass, was du mit einem Hex-Editor auch
machen würdest.

In diesem Punkt also kein Pluspünktchen für
unsere Daten.

Klingt logisch, könnte sein... hoffen wir für die Opfer das es nicht so ist
Gruß DevilTH