@OFFshore7 Ich storme auch mal Brain:
Die Release-Notes von
photorec
bzw.
testdisk
legen nahe, dass die Änderungen in Version 7 ziemlich überschaubar sind und fast ausschließlich das Build-System betreffen um für mehr Ziel-Platformen kompilierbar zu sein (das dürfte dann auch der Grund sein die Major-Versionsnummer hochzuzählen, trotz praktisch unverändertem Funktionsumfang).
Mit
photorec
scheint man ohnehin nur alle Einträge eines Speichermediums wiederherstellen zu können (ich sehe keine Möglichkeit eines Vorab-Scans und darauffolgender Auswahlmöglichkeit), wenn die Ermittler also
photorec
genutzt haben, hätten sie zwangsläufig auch alle früheren gelöschten Dateien wiederhergestellt, bei denen das möglich gewesen wäre.
DMDE ist da komfortabler: es macht einen Scan - ggf. kann man noch einen "Full Scan" (mit Raw-Erkennung) über den gesamten Speicher machen.
Full+Raw-Scan hat bisher bei meinen Tests keinen echten Unterschied gemacht (außer dass dann alle drei eingebetteten Bilder einzeln aufgeführt werden), aber für eine partiell überschriebene Datei könnte diese Option den nicht überschriebenen Rest auffinden und der könnte noch ein oder zwei JPG-kodierte Bildversionen enthalten (als erstes geht das Thumbnail hopps, da vorne in der Datei, danach das dahinterliegende Hauptbild und zuletzt erwischt es das Preview-Bild am Ende der Datei). Aber solche Tests mit absichtlichem partiellem Überschreiben stehen noch aus.
Aber immer noch: Partiell ist unter nicht-esoterischen Bedingungen nur eine Datei überschrieben, vielleicht zwei oder meinetwegen drei, aber sicher keine 40 und dass dann immer genau nur das Preview-Bild übrig bleibt wäre noch viel unmöglicher (falls das noch ginge).
Ansonsten müssten die Angaben in den Akten völliger Blödsinn sein (wobei ich das nichtmal ganz ausschließen würde, nur wo soll man dann noch ansetzen, wenn man restlos alles in Frage stellen muss?)
Zu den 64 Dateien: IP behauptet das. Die Akte scheint nichts davon zu erwähnen. Oder doch?
Ich kann mir 64 (oder sind es vielleicht nur 24 = 64-40?) nicht wiederherstellbare Dateien schon vorstellen. Aber nur einen idirekten Nachweis dafür (fehlende Bildnummern, überschriebene Lücken gefunden mit einem Tool wie filefrag). Und dafür hätte man dan schon bewusst die Bilder von vor Ende März analysieren müssen, was man ja angeblich nicht gemacht hat. Auch 64 Dateien können jedenfalls nicht partiell überschreiben worden sein (s.o.).
Stellt sich noch die Frage, woran man bei einem nur indirekten Nachweis vollständig gelöschter Dateien Videos von Bildern unterscheiden kann? Wenn einzelne Dateien gelöscht wurden (also zwischen zwei Dateien nur eine Bild-/Videonummer fehlt) dann vermutlich an der Größe der (überschriebenen) Lücke (oberhalb einer best. Größe kann es nur ein Video gewesen sein). Bei Lücken, wo mehr als eine Nummer fehlt wird es entspr. uneindeutiger.
Jedenfalls macht das für mich schon nochmal einen Unterschied:
Relativ klar ist: Die 40 Bilder haben mit K & L nichts zu tun, die sind später, wahrscheinlich durch irgendetwas entstanden was die Ermittler in Panama angestellt haben (die sie dann vermutlich auch wieder gelöscht haben).
Aber haben auch K & L während ihrer Zeit in Panama Fotos gelöscht? War das sehr selektiv? Wurden jemals einzelne Aufnahmen direkt nach dem Entstehen wieder gelöscht (ggf. mit demselben "Sektor-an-Sektor"-Effekt wie bei #508/#510)? Wenn nicht ist #509 noch mysteriöser, auch wenn es durch seine spezielle Lage ohnehin außergewöhnlich und erklärungsbedürftig ist.
Auch machen es 64 (24) nur indirekt nachweisbare Dateien schon anspruchsvoller diesen Zustand durch Manipulation absichtlich oder zufällig in einer Art und Weise zu erzeugen, die nicht auffällt (jedenfalls bei genauerer Prüfung, die ja aber nicht stattgefunden zu haben scheint). Gibt es nur die 40 offensichtlich später entstandenen und gelöschten verkleinerten Bildversionen ist der Zustand dagegen einfacher auch vom PC erreichbar (je nachdem was man Anstellen will mit oder ohne zusätzliche Manipulation von Dateinamen, EXIF-Daten und Filesystem-Zeitstempeln)