Kann man feststellen, wann eine Festplatte formatiert wurde?
Besten Dank
Udo
Datenträger - Festplatten, SSDs, Speichersticks und -Karten, CD/ 19.573 Themen, 110.069 Beiträge
Aragorn75 
w8x „Kann man feststellen, wann eine Festplatte formatiert wurde?“
Nein!!!
WVB-38 w8x „Kann man feststellen, wann eine Festplatte formatiert wurde?“
Normalerweise sicher nicht, aber,
Wenn du eine Partition formatierst, bekommt sie eine (zufällige?) Seriennummer zugeteilt. Mit einem Tool von PartitionMagic, - PartEdit.exe, so glaube ich heist es, kann diese Seriennummer HEXA-Dezimal geändert werden.
-- Dort könnte man das Datum einarbeiten, nach dem Formatietern der Partition..
-- Die Festpltten selber, der Hersteller, haben vermutlich in ihrer "interna" auch das Datum eingearbeitet...
-- Ob Windows (XP oder Vista) diese Seriennummer in seine Hartwareerkennung einarbeitet ? ? - vermute ich mal...
w8x WVB-38 „Normalerweise sicher nicht, aber, Wenn du eine Partition formatierst, bekommt...“
Vielen Dank für die Antworten.
Gehts nicht auch so? Die meisten Daten einer durch format c: formatierten Festplatte kann man ja durch leicht erhältliche Programme wieder herstellen. Da Windows ja ständig irgendwelche Dateien schreibt/ändert, könnte man durch Auslesen des Ertellungs-/Änderungsdatums doch ziemlich nahe an das Formatierungs datum herankommen, oder?
Geht das eigentlich dass man im laufenden Windows-Betrieb format C: durchführt? Will das aus einleuchtenden Gründen nicht ausprobieren.
Gruß
Udo
Andreas42 w8x „Kann man feststellen, wann eine Festplatte formatiert wurde?“
Hi!
Bei meinen Rechnern kann man an den Datumsangaben der Verzeichnisse in Root in etwa abschätzen, wann die Platte zum ersten Mal verwendet wurde.
Bei XP gibt es in C: einige versteckte(!) Systemverzeichnisse, die das Datum offenbar nicht mehr ändern, nachdem sie angelegt wurden (z.B. Recycler).
Bis dann
Andreas
w8x Nachtrag zu: „Kann man feststellen, wann eine Festplatte formatiert wurde?“
So, nun habe ich es ausprobiert.
Vorab noch eine Erklärung/Entschuldigung: Die Frage bezog sich auf eine Festplatte, auf der vorher schon mal ein Betriebssystem aufgespielt war. Nun zum Fall:
In Rahmen der Ermittlungen zu einem Tötungsdelikt ist wichtig festzustellen, wann ein potentieller (nicht sehr computer-kundiger) Täter den Befehl format C: ausgeführt hat, um inkriminierende Daten vom Computer des Opfers verschwinden zu lasen. Vorher hat er sich noch Daten kopiert und dazu den Computer hoch- und wieder heruntergefahren.
Da format C: im laufenden Betreib nicht möglich ist, muss er also das Betriebssystem runtergefahren haben, wobei sich der Zeitstempel mindestens der pagefle.sys (auch anderer Dateien?) geändert hat. Nach Wiederherstellung der Dateien kann man also feststellen, wann der Computer vo dem Formatieren zum letzten Mal heruntergefahren wurde; und darauf kommt es im vorliegenden Fall an, da dieser Zeitpunkt nach dem Tod des Opfers liegt und somit der Computer nach dem Tod des Opfers noch einmal benutzt wurde.
Vielen Dank nochmal für Eure Antworten
Udo
