The action can't be complete because the file is open in another program...
Meldingen als deze komen nogal eens voor als je onder Windows een bestand wilt verwijderen. Je kunt in dat geval FileAssassin gebruiken. Het wordt lastiger als je een Folder niet kunt verwijderen (hetgeen onder Vista nog wel eens voor wil komen). In dat geval zit er over het algemeen maar 1 ding op: rebooten in Safe mode en de folder verwijderen.
Eerder schreef ik over de tool sdelete, een handig wipe programma om vanuit een dosbox te gebruiken. Zoals je wellicht weet is wipen het daadwerkelijk vernietigen van data op een gegevensdrager. Ik ben er achter gekomen dat sdelete een paar nadelen heeft: het wipe proces duurt met sdelete vrij lang en bovendien blijven namen van mappen en bestanden na het wipen gewoon aanwezig. Dat vind ik persoonlijk een naar fenomeen (waarschijnlijk zullen de namen wel verdwenen zijn na een flink aantal wipe herhalingen met sdelete, maar dat duurt me eigenlijk te lang). Ik heb een beter wipe alternatief gevonden in het gratis programma WipeDisk.
Testdisk en Photorec zijn uitstekend te gebruiken onder Linux. Je kunt het pakket via Synaptic Packet Manager van Ubuntu installeren, maar dan heb je niet de meest recente versie. Je kunt de meest recente versie downloaden via de website van Christoph Grenier, www.cgsecurity.org (momenteel is de meest recente versie 6.10-WIP). Download het pakket dat geschikt is voor Linux kernel 2.6.x en pak het uit onder Ubuntu (het is een tar.bz2 bestand dat bijvoorbeeld via packet manager kan worden uitgepakt). Vervolgens kun je via de command line bladeren naar de volgende map:
/home/gebruikersnaam/testdisk-6.10-WIP/linux
Als je testdisk wilt gebruiken, dan kun je het volgende commando invoeren:
sudo ./testdisk_static
Als je photorec wilt gebruiken, dan kun je het volgende commando invoeren:
sudo ./photorec_static
Ik heb een voorkeur voor command line tools, omdat deze een "light footprint" hebben (het minst zwaar voor de processor) en gewoon doen wat ze moeten doen. Niets meer en niets minder. Zo was ik op zoek naar een tool die de free space van mijn computer kon wipen, zodat verwijderde bestanden niet meer teruggevonden kunnen worden. Na veel zoeken kwam ik terecht bij Sdelete van Sysinternals. Je kunt dit programma'tje bijvoorbeeld opslaan op een USB stick en het vervolgens op iedere willekeurige computer gebruiken.
Bestanden hebben een header. Dat is handig, want zo kun je ze eenvoudig opsporen (ook als de bestanden 'gewist' zijn) met een tool zoals FTK Imager. Het is het meest handig om bestanden te zoeken met behulp van hun hexadecimale header. Ik heb een overzicht van veel voorkomende bestandstypen en hun hexadecimale headers op een rij gezet.
Na alle enthousiaste verhalen over PhotoRec, en het feit dat deze nu ook zou kunnen carven in E01 bestanden, heb ik een en ander uitgezocht. De documentatie over dit onderwerp bleek ernstig mager te zijn. Voor wie het nog niet wist, E01 bestanden zijn bestanden die worden aangemaakt als je images (exacte kopieen) maakt van harddisks of andere gegevensdragers. E01 is een bestand dat normaal gesproken door Encase (wereldwijd gebruikte forensische software) wordt aangemaakt. Het is echter ook mogelijk om E01 bestanden aan te maken met FTK (Imager). Ook zullen er ongetwijfeld nog andere pakketten zijn die E01 bestanden kunnen maken. In elk geval is een E01 bestand (of een serie bij elkaar horende E** bestanden) een forensisch verantwoorde (?) kopie van een harddisk, flashdrive of andere gegevensdrager. In feite is het een EWF (Expert Witness File) formaat.
Laat PhotoRec nu net zijn ingesteld om EWF bestanden te kunnen carven (met dank aan LibEwf van Hoffmann). Volgens de verhalen zou Photorec beter in staat zijn om bestanden te carven uit de unallocated clusters dan Encase of FTK. Tijd voor een test met mijn gratis FTK Imager...
Enige tijd geleden plaatste ik een bericht over PhotoRec. Met het gratis PhotoRec (open source) kun je gewiste bestanden terughalen. Vandaag volgde ik een lezing van Hoffmann forensics over data carving.
Hoffmann (niet de minste geringste) heeft met diverse softwarepakketten testen uitgevoerd, waarbij het doel was om zo efficient mogelijk verloren gewaande bestanden terug te vinden.
De conclusie van Hoffmann: vergeleken met commerciele softwareprogramma's zoals Encase en FTK (die al snel duizend euro of meer kosten) kwam PhotoRec significant beter uit de test op het gebied van terugvinden van 'verloren' bestanden.
Meer informatie over PhotoRec vind je hier.
Met een programma als PhotoRec zijn we soms in staat om gewiste bestanden of een deel daarvan terug te halen. Helaas lukt dat niet altijd voor 100%
Je hebt vast wel eens per ongeluk een bestand op je harddisk verwijdert. Zelfs als je een complete partitie hebt gewiped is het soms nog mogelijk om verloren gewaande bestanden terug te halen. TestDisk en PhotoRec kunnen in sommige gevallen nog uitstekend als reddingsmiddel van dienst zijn.
