Offshore7 schrieb:Diese Schlussfolgerung kann ich nach wie vor nicht nachvollziehen, denn warum sollten aus den 3 TMP-Dateien die enthaltenen mind. 6 Fotos / Thumbnails nicht wiederherstellbar gewesen sein?
Generell müssen wir das was IP schreibt mal auf Konsistenz prüfen. Ich habe IP in meinen letzten Posts ignoriert und mich nur auf das von
@Doctective bezogen - sprich 40 gelöschte kleinere Bildversionen existierender Bilder waren rekonstruierbar und das ist alles was bzgl. gelöschter Dateien (Bilder/Videos) in den Akten steht.
IP verwirrt mich bisher nur. Aus deinem Link:
With image recovery software 64 images and 4 videos that were deleted and partially overwritten were found. No trace of image 509 was found or recovered, but 40 JPG images could be recovered.
Gut auch 40 wiederherstellbare Bilder, das passt. Aber wo kommen die 64 Bilder und 4 Videos nun her, wenn nichts davon in den Akten steht? Und sind die 40 in den 64 enthalten? Und was soll "partiell überschrieben" heißen. Partiell kann normalerweise nur eine Datei überschrieben sein. Die anderen sind ganz oder gar nicht überschrieben.
Nach längerem Nachdenken: es gäbe dann doch eine exotische Sequenz mit der man mehrere teilweise überschrieben Dateien generieren kann: Löschen, dann mit kürzeren File(s) überschreiben (dazwischen wie immer SD-Karte "rebooten"), dann andere ältere Datei
davor löschen und mit kürzerem File überschreiben ("Reboot" nicht vergessen) usw. usf. - aber das wäre schon sehr speziell.
Dann geht's weiter:
All recovered images were thumbnails and other formats of images “IMG_0476.JPG” through “IMG_0609.JPG”. Forensics commented that those thumbnails were likely created by the camera to preview images when they are replayed in the camera. However, this is not correct as the camera does not create or store thumbnails and the [p]review images are created from small versions of the image that are embedded in the EXIF information, which can be seen in Picture 2 below.
Da haben sie den falschen Teil extra noch fett gemacht. Richtig ist, dass die Kamera keine Thumbnails als
separate Dateien ablegt, aber wie in meinem letzten Post gezeigt, sowohl 160x120-Pixel Thumbs als auch 1440x1080-Pixel Preview-Bilder in die Bilddatei
einbettet. Und
photorec
stellt ja nun genau diese Thumbs aus irgendeinem Grund zusätzlich extra als eigene Dateien wieder her. Das macht also irgendwie auch keinen Sinn, oder ich verstehe da was ganz falsch.
Und dann noch der folgende Abschnitt zu dem TMP-Dateien:
Another noteworthy observation are the image names of images 505, 506 and 507, which do not have the expected image name of “IMG_0xxx.JPG” but contain an appended string “~RF1xxxxx.TMP”, e.g. “IMG_0505.JPG~RF17df08.TMP”.
Das ist seltsam, aber das können mE keine wiederhergestellten gelöschten Dateien sein (steht da auch nicht, soweit ich sehe).
photorec
jedenfalls stellt keine Dateinamen wieder her und das macht auch Sinn, denn der Dateiname dürfte nicht rekonstruierbar sein. Warum sind nur diese TMP-Dateien (also offenbar temporäre Dateien) erhalten, nicht aber die richtigen Jpeg-Files? Egal, die originalen wären dann jedenfalls gelöscht worden und könnten theoretisch von einer SW wie
photorec
wiederhergestellt werden. Da gilt aber wieder dasselbe: nur eine davon kann nur partiell überschrieben worden sein, die andere ganz (nichts wiederherstellbar) oder gar nicht (ganze Datei wiederherstellbar, nicht nur Thumb oder Preview).
Bei einer partiell überschriebenen Datei kann dann auch nur das eingebettete Preview-Bild rekonstruierbar sein, denn das Thumbnail liegt vor dem Hauptbild und würde zuerst überschrieben. Könnte man mal testen was
photorec
in diesem Fall macht, also ob es dann doch das Preview-Bild erkennt und rettet - gilt aber trotzdem unter normalen Umständen nur für max. eine einzige Datei.
Und was ich überhaupt nicht einschätzen kann: ist da irgendetwas wirklich noch sinnvoll interpretierbar oder ist da zuviel einfach falsch.