SD-Karte Filesystem Block/Cluster-Versuche

Offshore7 schrieb am 06.09.2025:PhotoRec hat 80 Bilder wiederhergestellt, 40 Querformatbilder und 40 "identische" Thumbnails = 40 "thumbnails and other Formats" of images “IMG_0476.JPG” through “IMG_0609.JPG”.

Moment, also könnte es hier doch wiederhergestellte Bilddateien neben den Tumbnails geben, die durch den Benutzer zwischendrin vorher gelöscht wurden?

cyclic schrieb am 26.07.2025:dass ich einen Abzug der SD-Karte in die Finger bekäme.

Den hätte ich auch sehr gerne zur Analyse.

Aber hierzu mal eine ganz blöde Frage, kann man nicht einfach beim NFI bzw. dem damaligen Forensiker direkt nachfragen. Vielleicht sind die ja gewillt, Antworten zu geben. Es handelt sich hierbei ja offiziell nicht um eine laufende Ermittlung.

@Offshore7
@cyclic

Liebe Leute, bezüglich der Tumbnails habe ich eventuell eine Erklärung gefunden. Bei älteren Windows-Versionen (bis XP) wurde durch den Windows-Explorer in der Miniaturansicht eine entsprechende Datei mit extrahierten Tumbnails im Ordner der Bilder abgelegt. Das hat man dann bei späteren Versionen (ab Vista) wohl geändert und diese werden jetzt ordnerunabhängig irgendwo zentral im System gespeichert.

Gerade bei Behörden kommt es erfahrungsgemäß oft vor, dass da noch PCs mit älteren Betriebssystemen benutzt werden.

Nachtrag: Tut hier nichts zur Sache, aber der Support für Windows XP wurde genau am 08.04.2014 eingestellt, zumindest laut Google. Zufälle gibts.

Ist das hier noch aktiv?

sceptical schrieb:Ist das hier noch aktiv?

Prinzipiell schon. Gibt halt von meiner Seite nichts neues zu berichten.

Mein alter XP-Rechner schreibt übrigens keine solchen Thumbnaildateien. Jedenfalls nicht bei den Aktionen die ich durchgeführt habe (Windows Explorer und Standard Bildviewer).

Ich bin mir aber, wie schon erwähnt, sicher, dass ältere Linux-Versionen sowas machten und habe davon auch noch Überbleibsel in meinen Backups gefunden. Kann schon sein, dass irgendwelche Windows-Versionen bzw. irgendeine Windows-Software das auch gemacht haben, nur gesehen habe ich es nicht und auch keine Angaben welche Version / welche Software.

Ich habe mir jetzt bei Scarlet R. die Auszüge über die Aussagen aus dem NFI-Bericht selbst durchgelesen und sehe die Sache jetzt relativ eindeutig.

Der Forensiker gibt an, in den "Ordnern" Spuren von 64 gelöschten Bildern und 7 Videos gefunden zu haben. Das können mMn nur Gelöschteinträge oder fehlende Bildnummern gewesen sein. Was sonst kann man in den Ordnern an Spuren finden? Selbst wenn da die Tumbnails (40) schon inbegriffen wären, blieben immer noch 24 Bilder aus der Serie übrig, die auch vollständig widerhergestellt wurden. Daher muss es vorher freie Speicherlücken gegeben haben, die von der Kamera offensichtlich nicht genutzt wurden, wass den Schluss nahe legt, dass diese erst sehr spät nach 508 oder sogar erst nach den Nachaufnahmen gelöscht wurden.

Auch ergibt sich für mich sehr eindeutig, was der Forensiker hier als Anomalie ansieht: Die Tatsache, dass diese gelöschten Bilder vollständig wiederhergestellt werden konnten und Bild 509 nicht. Warum dann später in einem Interview daraus ein "Fehler im Dateisystem" gemacht wird, ist mir allerdings auch völlig schleierhaft, das ist natürlich nicht so.

Man müsste genauere Informationen über diese glöschten Bilder haben. Irgendow habe ich mal gelesen, dass es sich hierbei um Bilder handeln soll, die nichts geworden sind, müssten diejenigen, die Zugriff auf die Akte hatten, darüber nicht nähere Informationen haben?

Ich denke aktuell über eine etwas ungewöhnliche Idee nach. Könnte es evtl. sein, dass die Beiden doch eine Nachricht hinterlassen haben in Form der Nachtbilder selbst. Vielleicht sollen diese uns irgendetwas mitteilen.

Nchtrag:

Interessant ist auch, dass der Forensiker davon ausgegangen ist, dass die Tumbnails von der Kamera selbst erzeugt wurden. Wenn die Kamera das nicht macht, dann hat der NFI mti der Kamera selbst auch scheinbar keine Tests durchgeführt, aller Schlussfolgerungen des Forensikers scheinen hier also zunächst nur auf der vorgefundenen Datenstruktur auf der Karte zu beruhen. Wahrscheinlich ging das auch nicht, weil die Kamera selbst auch forensischer Untersuchungsgegenstand war.

Auch wird gesagt, dass beim NFI die Bilder noch vorliegen. Da kann es sogar sein, dass es doch noch ein Image vom Datenträger gibt.

@sceptical
Schau nochmal hier auf Seite 3, da hatte ich Anzahlen der Aufnahmen aufgeschlüsselt (mit den 2 Varianten 40 entweder in 64 + 4 enthalten oder halt nicht).

Die wiederherstellbaren Dateien waren sämtlich kleinere Versionen existierender Bilder.

Bei denen wo nur Spuren zu finden waren kann es sich nur um Verzeichniseinträge handeln (da man Bilder und Videos unterscheiden konnte).

Dann fehlen in jedem Fall noch mehr Dateien zu denen es offenbar keinerlei Spuren gibt - d.h. die Verzeichniseinträge sind auch weg. Das ist normal, sobald der Speicherbereich einer gelöschten Datei neu belegt wird und man noch im selben Monat ist (d.h. selber Monatsordner).

Da gibt es dann ein paar Varianten. Mit einem Image der SD-Karte könnte man einiges mehr sagen, da man anhand der Sprünge in den Speicherbereichen abschätzen könnte wann welche Dateien gelöscht wurden. Irgendwer hat so ein Image (oder auch die Original-SD-Karte), das glaube ich auch.

cyclic schrieb:Die wiederherstellbaren Dateien waren sämtlich kleinere Versionen existierender Bilder.

Wo steht das, auf der Seite von Scarlet habe ich das so nicht gefunden? Könntest du mir bitte eine Quellenangabe dazu machen.

cyclic schrieb:Dann fehlen in jedem Fall noch mehr Dateien zu denen es offenbar keinerlei Spuren gibt - d.h. die Verzeichniseinträge sind auch weg.

Auch das lese ich bislang so nirgendwo. Bitte hier auch um Quellenangabe. Zumindest bei Scarlet steht das so nicht direkt. Hast du das von der Seite von IP oder eventuell sogar aus dem Buch?