Mft: Dateinamen Von Längst Gelöschten Dateien Bereinigung?
#1 _Alx1_
geschrieben 14. April 2010 - 17:20
Denn mir ist aufgefallen, dass sich Einträge von längst gelöschten Dateinamen dort sehr lange halten, selbst wenn bereits die entsprechenden Cluster von anderen Dateien überschrieben wurden.
Danke für Antworten!
Anzeige
#2
geschrieben 15. April 2010 - 10:04
Die MFT wird auch nicht bereinigt oder defragmentiert.
Mit "Total Defrag" von Paragon kannst du die MFT bereinigen oder defragmentieren.
http://www.paragon-software.com/de/home/to...frag/index.html
Lesestoff:
http://de.wikipedia....wiki/File-Slack
Mit Cipher.exe Gelöschte Dateien überschreiben
PS: Ein kostenloses Programm, das Schlupfspeicher löschen kann ist Winhex*:
Unbenutzten Speicher und Schlupfspeicher löschen:
http://www.x-ways.ne...features-d.html
Warnung, das Tool ist eher was für Profis, die wissen was sie tun.
*Full functionality supported on Windows 2000/XP/2003 Server.
Limitations under Windows Vista/2008 Server/7:
Physical RAM currently cannot be opened.
Ability to write sectors in partitioned disk areas not guaranteed.
Colored path feature in Case Data window not available.
Gruß
Spiderman
Dieser Beitrag wurde von Spiderman bearbeitet: 15. April 2010 - 11:02
#3 _Alx1_
geschrieben 15. April 2010 - 17:45
Wieso arbeitet Windows nur so unsauber? Ich meine, es wäre doch wohl kein Thema ne Funktion zu implementieren, die die MFT in gewissen Abständen bereinigt. Denn alles andere macht doch vorne und hinten keinen Sinn.
#4
geschrieben 15. April 2010 - 18:15
Aber was genau soll eine Bereinigung denn bringen? Erhofst du dir Performance-Gewinn oder sowas?
#5 _Alx1_
geschrieben 15. April 2010 - 22:11
Zitat (Lofote: 15.04.2010, 19:15)
Ja, aber wenn die entsprechenden Speicherstellen bereits überschrieben wurden, ist ne Wiederherstellung mehr als unwahrscheinlich. Das was man bekommt, ist lediglich Schrott und dies ist schon nach kurzer Zeit der Fall.
Zitat (Lofote: 15.04.2010, 19:15)
Naja, eine MFT fragmentiert ja schließlich auch mit der Zeit oder?
Außerdem halte ich es für schlampig, Einträge inne zu behalten, die auf eine nicht mehr vorhandene Datei verweisen.
#6
geschrieben 15. April 2010 - 23:50
Zitat (Alx1: 15.04.2010, 18:45)
Das dürfte Absicht sein:
- Windows sammelt jede Menge Daten
- indiziert selbst Inhalte von Dateien, das ist nicht nur für den Benutzer gut, sondern erleichtert es auch den Trojanern Daten zu finden
- löscht nicht wirklich Daten
- jedes Schadprogramm kann unbemerkt Screen Shots erstellen und ins Internet senden
- die Windows Voreinstellungen sind schlecht, z.B. läßt die Firewall alles raus
- der IE kann nur 128 Bit Verschlüsselung, da hat sich seit IE 5.5 nix mehr getan
- es gibt ja auch Programme die suchen nach diesen Datenresten zur Beweissicherung/Spionage
Einfach gesagt, die Amis sind etwas paranoid, die NSA erlaubt es wohl MS einfach nicht.
Das witzige ist, die chinesischen Hacker freut das, so kommen die selbst an gelöschte Daten in Behörden/Firmen der USA.
Alx1 sagte:
Ja das tut sie, die Standard Größe der MFT ist zu klein bemessen, das führt zur Fragmentierung.
Zitat
durch die Defragmentierung von MFT (Master File Table), Verzeichnissen, Auslagerungsdatei, Windows ®-Registry-Dateien und vielem mehr.
Das stimmt, wenn die MFT tausende gelöschte Einträge hat(und das hat sie bei jedem), dauert die Suche in der MFT entsprechend länger, auf älteren 1 Kern CPUs spürt man das schon.
Gruß
Spiderman
Dieser Beitrag wurde von Spiderman bearbeitet: 15. April 2010 - 23:53
#7 _Erazor84_
geschrieben 16. April 2010 - 00:19
#8
geschrieben 16. April 2010 - 00:52
Zitat (Erazor84: 16.04.2010, 01:19)
Danke für die Info.
Das kommt aber zu spät für mich, ich habe schon 2003 auf Firefox gewechselt, der IE 7 (128 Bit) ist installiert, wird aber von der PF geblockt.
Der nächste Wechsel kommt demnächst, dann aber wohl auf Chrome/Opera Kombi.
Gruß
Spiderman
#9 _Char_eleven_
geschrieben 20. April 2010 - 15:46
Nach dem Lesen dieses Threads hab ich nämlich mal einen Test mit dem Programm Recuva gemacht: Von insgesamt 8 (herkömmlich) gelöschten Dateien, war letztendlich nur eine einzige wiederauffindbar.
Und noch etwas hab ich festgestellt: Zwar geht es hier ja um die Fragmentierung der MFT, aber will man beispielsweise eine sensible Datei sicherheitshalber mit Cipher löschen und auch verhindern, dass man den Dateinamen noch findet, reicht es anscheinend die Datei vor dem sicheren Löschen einfach umzubenennen. Zumindest Recuva findet dann nämlich nur noch den neuen Dateinamen.
Dieser Beitrag wurde von Char_eleven bearbeitet: 20. April 2010 - 15:48
#10
geschrieben 20. April 2010 - 16:57
Zitat (Alx1: 15.04.2010, 18:45)
Wieso arbeitet Windows nur so unsauber? Ich meine, es wäre doch wohl kein Thema ne Funktion zu implementieren, die die MFT in gewissen Abständen bereinigt. Denn alles andere macht doch vorne und hinten keinen Sinn.
Och Windows arbeitet nicht unsauber... Es ist leider ein Manko an NTFS.
Aber ein Tipp wie es ohne Zusatzsoftware geht... führe CHKDSK aus. der findet dann die toten Querverweise und schneidet die ab (die sogen. Datenträgerkonsistenzprüfung die nahezu jeder schonmal beim Starten von Windows gesehen hat).
Im Groben und Ganzen macht es sogar ansatzweise Sinn die Einträge etwas länger zu behalten. Es hilft ungemein bei dem Dateirecover von versehendlich gelöschten Dateien.
#11
geschrieben 20. April 2010 - 17:17
Zitat
Und?
Zitat
Und wo ist das nun die Schuld eines Index? Trojaner verwenden keine suchroutinen sondern weiß in der Regel wo Dateien liegen die es will.
Zitat
Liegt am Dateisystem, beschleunigt freigabe von Speicher, kein Problem, wieso bemängelst du das?
Zitat
Oh mann....
Zitat
Der Punkt kann man fast so stehenlassen.
Zitat
Weltverschwörung?
#12 _Char_eleven_
geschrieben 20. April 2010 - 18:26
Zitat (Stefan_der_held: 20.04.2010, 17:57)
Hab ich mal testweise gemacht...
Anschließend nochmal mit Recuva geguckt und ich habe trotzdem noch immer Dateien finden können.
Oder hab ich was falsch gemacht?
#13
geschrieben 20. April 2010 - 18:34
Zitat (Char_eleven: 20.04.2010, 19:26)
Anschließend nochmal mit Recuva geguckt und ich habe trotzdem noch immer Dateien finden können.
Oder hab ich was falsch gemacht?
da hast du was missverstanden - sry war beim Posten schon uffe Sprung in den Feierabend.
Dateien können solange wiederhergestellt werden wie dessen ehem. Speicherbereich nicht (mehrmals) überschrieben wurde.
Die Rückstände in der MFT können dazu herbeigezogen werden um den DATEINAMEN entsprechend mit wiederherzustellen. Sonst hat die wiederhergestellte Date idR. - von Programm zu Programm unterschiedlich - lediglich als Namen den Sektorblock in dem diese gefunden wurde.
so ich zock dann mal ne Runde STO
Gruß,
Stefan
Nachtrag:
damit CHKDSK die Einträge wirklich findet/löscht muss folgendes sicher gestellt sein:
im Papierkorb ist das File nicht mehr
CHKDSK muss "offline" suchen - d.h. bevor Windows vollständig geladen ist.
letzteres kannst du durch ein Häckchen bei "Dateisystemfehler automatisch korrigieren" festlegen.
Dieser Beitrag wurde von Stefan_der_held bearbeitet: 20. April 2010 - 18:36
#14 _Char_eleven_
geschrieben 21. April 2010 - 01:56
Hab auch mal nen Test mit nem Wechseldatenträger (USB-Stick) gemacht, der auf FAT32 formatiert ist. Da scheint es hingegen aber nicht zu funktionieren
#15
geschrieben 21. April 2010 - 08:33
Zitat (Stefan_der_held: 20.04.2010, 17:57)
Doch natürlich ist Windows unsauber, das Verhalten gibt es auch schon seit MS-DOS und gilt natürlich auch für FAT.
Wenn man Dateien nicht sofort mit speziellen Tools löscht, passiert folgendes:
- die Cluster der gelöschten Datei werden freigegeben
- die freigegebenen Cluster werden von neuen/geänderten Dateien benutzt
- dadurch kann z.B. ein gelöschter Lebenslauf plötzlich Teil von jeder beliebigen Datei werden
Der gelöschte Lebenslauf ist nun File-Slack einer neuen Datei, dadurch ist der Lebenslauf weiterhin geschützt, und auch nach Jahren noch lesbar, und das macht MS mit Absicht und das ist unsauber.
Defragmentieren/Chkdsk hilft da nix, die MFT wird dadurch nicht bereinigt, und der File/MFT -Slack auch nicht gelöscht.
Noch einmal den Wiki Link: http://de.wikipedia....wiki/File-Slack
Gruß
Spiderman
Dieser Beitrag wurde von Spiderman bearbeitet: 21. April 2010 - 08:35
- ← Share Manager Deinstallieren
- Windows 7 - System & Software
- Dynamische Partition Und Vhd: Bootmanager Zerschossen? →