Deine Schlussfolgerung ist korrekt: Wiederherstellen kann man eine Datei so nicht, aber nachweisen, dass sie auf dem PC gespeichert wurde, ist möglich. Kommt halt auf den Anwendungszweck an, aber das sagte ich ja auch bereits
Selbst diesen Nachweis signifikant (d.h. mit einer Signifikanz von >> 0.5) zu erbringen, wird im Allgemeinen kaum möglich sein, da man die genaue Position der Datei auf der Festplatte nicht kennen wird und daher den gesamten Festplatteninhalt durchsuchen muss. Geht man davon aus, dass die zu suchende Datei um viele Grössenordnungen kleiner als die Kapazität der Festplatte ist (was IMHO durchaus eine realistische Annahme ist), müsste ein Einzeltest für eine Position eine Signifikanz von >> 0.99 aufweisen, damit das Gesamtergebnis noch signifikant ist - das ist jedoch bei dem von dir vorgeschlagenen Test kaum der Fall. Hinzu kommt, dass du bei deinem Test nur diejenigen Teile einer Datei einbeziehen kannst, welche mit guter Wahrscheinlichkeit einmalig sind - Header und eventuelle Meta-Daten sind das im Allgemeinen nicht.
Ich habe die erstellte Partition, auf der noch keinerlei Daten waren, trotzdem mittels der Gutmann-Methode, gelöscht. Anschließend Daten auf die Partition kopiert und dann sowohl mit Safe Erase als auch mit dem Heidi Eraser einmal überschreiben (keine Nullen). Nachdem ich bei dem ersten Mal festgestellt habe, dass Daten vorhanden sind, habe ich die Partition wieder mit der Gutmann-Methode gelöscht und dann Daten auf die Partition kopiert und anschließend wieder einmal überschrieben. Zur Wiederherstellung habe ich Ontrack, Unerase von O&O sowie DiskREcovery (auch O&O) genutzt.
Das lässt einige Erklärungsmöglichkeiten offen - entweder haben die von dir verwendeten Tools durch einen Bug nicht den gesamten Speicherbereich überschrieben, oder es lagen noch Kopien der Dateien vor, z.B. in der Auslagerungsdatei auf der Systempatition, von der aus du die Dateien auf die Festplatte kopiert hast.
Mir scheint jedenfalls ausgeschlossen, dass Daten, welche einmalig (mit beliebigen Mustern) überschrieben wurden, noch über die normalen Schreib-/Leseköpfe der Festplatte auslesbar sind. Um ein aussagekräftiges Ergebnis zu erhalten, müsste man den Test unter kontrollierteren Bedingungen wiederholen - mit einer eigenen Festplatte, welche nur zum Testen verwendet und im Anschluss vollständig über die entsprechende ATA-Security-Funktion überschrieben wird. Daraufhin versucht man von einem Live-System aus, die Daten wiederherzustellen, ohne dass dabei eine andere Festplatte angeschlossen ist (insbesondere nicht die zur Vorbereitung verwendete Systemfestplatte).
O.K., dann werde ich lediglich noch das ATA Kommando ausführen. Hierzu eine Frage: es werden nur die gesperrten Sektoren ausgelesen bzw. gelöscht, nicht etwa die gesammte HDD. Je nach dem, wie viele Sektoren defekt/gesperrt sind, kann das lange dauern, oder?
Das Kommando
versucht gemäss Spezifikation, sämtliche Sektoren zu überschreiben, insbesondere auch die als defekt markierten. Daher dürfte die Dauer unabhängig davon sein, wie viele Sektoren als defekt markiert sind, da es diese Information schlicht ignoriert und den Sektor unabhängig davon überschreibt. Insbesondere wird das Kommando in der Regel wesentlich schneller sein als ein softwareseitiges Überschreiben, da die zum Überschreiben verwendeten Muster nicht erst über den Bus zur Platte übertragen werden müssen.
Ist dir einer bekannt, der die Standards einhält?
Nein, zumal das auch nicht trivial zu überprüfen ist, ohne die zum Testen verwendeten Festplatten zu riskieren. Insbesondere gibt es Berichte, deren zufolge Festplatten durch fehlerhafte USB-PATA-Adapter beim Aktivieren der Security-Extensions durch Setzen eines Passworts in einen halb-gesperrten Zustand versetzt wurden und auch mit dem richtigen Passwort nicht mehr zu entsperren waren.
Mein Frage ist: habe ich bei drei Durchgängen drei Mal einen Zufallswert, oder drei Mal die kompletten Muster?
Drei Überschreibungsvorgänge mit (natürlich unterschiedlichen) Pseudo-Zufallszahlen.
