Toon posts:

(Faronics) DeepFreeze probleem

Pagina: 1
Acties:

Onderwerpen

Datarecovery

donderdag 26 april 2012 19:49

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Weet iemand hoe DeepFreeze precies de wijzigingen in Windows "ongedaan" maakt?
Heb het programma draaien op een systeem hier en de gebruiker heeft belangrijke data op de desktop bewaard en hierna is het systeem afgesloten.

Mijn vraag is, kan dit (relatief) grote bestand (150MB) nog worden hersteld (data recovery) of is het verloren?

Tevens de vraag dan wel forensic software we moeten gebruiken om dit te herstellen, zeker in samenwerking met Faronics DeepFreeze.

Ik hoop op wat concreet advies voor dit probleem.... :? :? :?

Systeem: Windows 7 HomePremium, DeepFreeze Standard (nieuwste versie).
HDD: SATA 500GB TOSHIBA

[ Voor 11% gewijzigd door Verwijderd op 26-04-2012 19:50 ]

donderdag 26 april 2012 20:44

Acties:
  • 0 Henk 'm!
  • Hero of Time
  • Registratie: Oktober 2004
  • Nu online

Hero of Time

Moderator LNX

There is only one Legend

Het bestand is er op een of andere wijze op gekomen, dus er moet een kopie wezen die iets ouder is dan het bestand wat je zoekt. Wat heb je verder geprobeerd om het bestand terug te krijgen? GetDataBack gedraaid via een andere computer en de schijf als slave gebruiken? Contact opgenomen met de software leverancier?

Ik vind het toch wel een beetje apart dat iemand die met een groot belangrijk bestand werkt geen USB stick gebruikt of netwerkschijf oid en er zomaar van uit gaat dat het bestand er na een reboot nog is. Zeker als iedereen in de organisatie weet (of hoort te weten) dat DeepFreeze gebruikt wordt op de systemen.

Hoe het programma werkt kan ik je niet vertellen, maar ik heb wel een vermoeden. Ik denk dat het een soort van image maakt van het systeem en de delta (dus wijzigingen) ongedaan maakt door het te vergelijken met z'n image. Het kan ook alle wijzigingen via een soort van RAM disk laten uitvoeren, zoals je met een Linux Live CD hebt.

Commandline FTW | Tweakt met mate

donderdag 26 april 2012 21:05

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Ja inderdaad, de werking van DeepFreeze had ik ook zo in gedachten.
Faronics zelf zegt het volgende:

Quote:

[Thank you for contacting Faronics Technical Support.

I completely understand your situation, but in regards to your email, it is not possible to recover any data lost due to Deep Freeze.

You can try some third party forensic level file recovery tools but there is no guarantee on the recovery of data and is out of the scope of Faronics Support. We also do not have any professional services to do that.

Please let me know if any additional information is needed.]

Als Deep Freeze daadwerkelijk een soort van RAMDisk gebruikt, dan is er weinig hoop. Faronics wil dit niet bevestigen, maar ook niet ontkennen.
Dit zou echter wel limitaties kunnen geven, aangezien dan alleen de hoeveelheid RAM kan worden gebruikt voor wijzigingen, dus het lijkt me sterk dat dit de enige methode is.
Twee situaties eigenlijk:
1) Het bestand is NOOIT weggeschreven naar de HDD, maar in RAM.
--> Geen recovery mogelijk.

2) Het bestand is WEL weggeschreven naar de HDD: hier ook 3 mogelijkheden lijkt me:
A) Bestand opgeslagen op HDD, maar DeepFreeze verwijdert deze na reboot.
B) Bestand opgeslagen in een soort van swap file, al dan niet encrypted.
C) Bestand opgeslagen op een virtuele HDD/partitie aangemaakt door DeepFreeze.

Al deze opties geven hoop dat het bestand terug te halen is.

De kennis echter om het bestand terug te halen, de forensische technieken / software, zijn mij echter niet bekend. Ik heb de beschikking over R-Studio, maar na een opstelling die je al voorstelde, is er geen zicht op de verloren data.
Wellicht is de software de verkeerde keuze?

Wellicht dat anderen ook nog hun licht op de kwestie kunnen laten schijnen? Alle informatie is welkom!

donderdag 26 april 2012 23:42

Acties:
  • 0 Henk 'm!
  • Hero of Time
  • Registratie: Oktober 2004
  • Nu online

Hero of Time

Moderator LNX

There is only one Legend

Zoals ik al zei, wat geeft GetDataBack weer? Ik heb 't nog eens bestanden zien vinden waarvan ik dacht dat die al 10x overschreven waren (of zelfs niet eens verwijdert, maar gewoon bijgewerkt waren). Hoe dan ook, het geeft geen perfect beeld en herstellen is nog maar de vraag, maar je kan met herstel software wel zien of er ook maar iets is wat je kan vinden. Probeer het desnoods met een ander systeem, waarbij je een bestand op de schijf laat maken, PC afsluit en aan een ander systeem hangt. Zie je 't bestand dan nog of niet.

Commandline FTW | Tweakt met mate

Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq