SECURITY: Computer Forensics - Die digitale Autopsie

In der dritten Phase werden die Kopien der ursprünglichen Datenträger schliesslich auf Spuren untersucht und ausgewertet. Eine Voranalyse überprüft die Vollständigkeit des Beweismaterials. Dabei müssen Arbeitskopien der zu analysierenden Daten erstellt werden und eine Zusammenstellung der vorhandenen Datenträger und deren Inhalte angefertigt werden. Bei entsprechendem Verdacht sollte ausserdem nach versteckten Aufzeichnungen gesucht werden. Diese können sich auf unbenutzten Bereichen von Backupmedien oder auf speziellen Speicherbereichen befinden. Gelöschte Daten werden soweit möglich rekons-truiert.
Die vierte Phase schliesslich umfasst die Analyse sowie die Berichterstattung. Die gefundenen Beweise werden unter Umständen während eines Gerichtsverfahrens diskutiert und ausgewertet. Die Beschreibung der Resultate, die Dokumentation und die Schritte, die unternommen wurden, um Beweismittel zu schützen und zu analysieren, können eine Ermittlung glaubwürdig oder unglaubwürdig machen. Dazu gehören unter anderem das Erstellen einer Liste von Suchwörtern und Signaturen gesuchter Muster, die Analyse der zugänglichen Bereiche bezüglich dieser Kriterien, die Suche sowie die Dokumentation von Zusammenhängen von Anomalien. Zudem ist es die Pflicht eines Computer-Forensikers, die manchmal komplexen technischen Vorgänge für nicht technisch versierte Laien verständlich und nachvollziehbar zu beschreiben.