Auf digitaler Spurensuche

Post Mortem vs. Live-Analyse

In der IT-Forensik werden grundlegend zwei Formen der Analyse unterschieden, die eine jeweils unterschiedliche Herangehensweise bedingen. Zum einen werden Daten «post mortem» oder offline untersucht. Zum anderen wird live ermittelt. Das System bleibt somit im Betrieb und online.
Klassisches Beispiel für eine Post-Mortem-Analyse, bei der also wie beim Gerichtsmediziner der «Tote» vor einem auf dem Schragen liegt, ist die Untersuchung einer Festplatte. Hier muss zunächst rein physisch verhindert werden, dass die Disk noch mit Daten beschrieben werden kann. Deshalb kommen in der Regel sogenannte «Write Blocker» zum Einsatz. Das sind Hardware- oder Software-basierte Vorrichtungen, mit denen zwar Daten vom Träger gelesen aber nicht auf diesen geschrieben werden können. Diese ermöglichen die Erstellung einer forensischen Kopie, so dass nicht auf den Originaldaten gearbeitet werden muss, denn dieses würde die Informationen womöglich verändern.
Mit einem Write-Blocker wird verhindert, dass die Daten auf der Festplatte nachträglich geändert werden
Quelle: ErrantX/Wikimedia
Zudem ist es gängige Praxis, dass sowohl vom Image als auch vom Original ein Hashwert erstellt wird. Denn nur so lässt sich sicherstellen, dass niemand zwischenzeitlich die Kopie verändert hat. Macht man dies nicht, wird eine juristische Verfolgung schwierig. «Wenn man nicht lückenlos nachweisen kann, dass es zu keinem Zeitpunkt möglich war, den Datenträger zu verändern, hat man vor Gericht ein Problem», sagt Ellenberger deshalb und unterstreicht in diesem Zusammenhang die Einhaltung der sogenannten «Chain of Custody» also der lupenreinen Beweismittelkette.
Steht einmal eine solche forensische Version, lässt sich der Inhalt genauer unter die Lupe nehmen. Dabei wird nicht nur das Dateisystem benutzt, da dieses kein verlässliches Bild aller Inhalte liefert. Denn wenn Dateien gelöscht und aus dem Papierkorb entfernt werden, sind die Informationen immer noch auf der Festplatte vorhanden. Sie sind einfach im File-System nicht mehr sichtbar. Um diese Daten zu bergen, gibt es Methoden und zugehörige Tools, die sich unter der Bezeichnung «File Carving» zusammenfassen lassen.


Das könnte Sie auch interessieren