Wir haben einen Laptop mit Dual-Boot, primär Win 7 Pro und sekundär Win XP, die Win 7-Festplatte wurde installiert, um moderne Programme etc. auszuführen. Die XP-Festplatte haben wir für ältere Gebäudemanagementsysteme behalten. Der verärgerte Techniker hat die XP-Festplatte formatiert und alles gelöscht, das einzige, was in Windows angezeigt wird, sind 100 MB (was, wie ich annehme, für die Indizierung ist), die Festplatte zeigt lediglich 297 GB freien Speicherplatz an. Unter Eigenschaften gibt es kein Erstellungsdatum. Wir müssen (falls möglich) herausfinden, wann die Festplatte formatiert wurde (Volume erstellt), um die Absicht nachzuweisen, Daten innerhalb eines bestimmten Zeitraums zu zerstören. Auch hier ist es nun eine leere, aber einbindbare Festplatte ohne Betriebssystem. Kann das Erstellungsdatum bestimmt werden, vorausgesetzt, sie hat eine Volume- und Seriennummer? Ich bin kein Programmierer, also wäre eine einfache Formulierung toll. Danke im Voraus für jede mögliche Hilfe.
Antwort1
wenn möglich, schnappen Sie sich eine Kopie von gpart oder gdisk (nicht gparted, das ist ein Partitionierungstool) oder einer beliebigen Linux-Distribution und suchen Sie die fragliche Partition/das Laufwerk. (Die Ausführung von lsblk ist hierfür sehr hilfreich.) Wenn Sie den Namen kennen, führen Sie gpart -f -d -l (ein Dateiname) aus {was auch immer angezeigt wird – Beispielsyntax unten, vorausgesetzt, es befindet sich in einem externen Gehäuse.)
$ lsblk
[Server@Server ~]$ lsblk
NAME MAJ:MIN RM GRÖSSE RO TYP MOUNTPUNKT
sda 8:0 0 232,9 G 0 Festplatte
├─sda1 8:1 0 2M 0 Teil
├─sda2 8:2 0 518M 0 Teil
│ └─server.boot-boot 253:0 0 512M 0 lvm /boot
└─sda3 8:3 0 232,4G 0 Teil |
└─luks-11cc71b0-109f-47e0-8951-8a96195755ef
253:1 0 232.4G 0 crypt
{DER KURZE halber gekürzt}
sdb 8:16 0 7,5G 0 Festplatte
(Ziellaufwerk wäre in diesem Fall SDB)
$ gpart -b -f -l Forensik-Protokoll /dev/sdb