Live-Forensik: Unterschied zwischen den Versionen

Aus IT-Forensik Wiki
Keine Bearbeitungszusammenfassung
(Die Definition des Begriffes Online-Forensik wurde im Rahmen der Hausarbeit 2022 geändert/angepasst.)
 
Zeile 1: Zeile 1:
auch [[Online-Forensik]]
Die Live-Forensik auch [[Online-Forensik]] umfasst die Sicherung von Daten/Spuren am laufenden System.


Die Untersuchung erfolgt bereits während eines Vorfalls, d.h. zur Laufzeit des Vorfalls.
 Es wird vordringlich versucht, 
flüchtige Daten zu gewinnen und zu untersuchen z.B. Hauptspeicherinhalt, Datenobjekte zu bestehenden Netzwerkverbindungen sowie die Liste der gestarteten Prozesse und deren Status.
Das Hauptziel ist es, flüchtige Daten zu sichern. Darunter fällt als Beispiel der RAM, nicht gespeicherte Dokument, etc.  
 
Oftmals muss abgewogen werden, in welcher Reihenfolge bei einer Sicherung vorgegangen werden muss. Jede Aktion, welche an einem laufenden System ausgeführt wird, kann Daten im RAM überschreiben. Aus diesem Aspekt wäre es empfehlenswert als Erstes eine RAM-Sicherung durchzuführen. Dem entgegen steht das Risiko, dass das System bei der RAM-Sicherung abstürzt. Falls es zu einem Absturz kommt, wären alle nicht gespeicherten Dokumente, Daten welche in der Cloud liegen und mit dem System verbunden sind, verschlüsselte Datenträger/Partitionen u.v.m. verloren.
 
Dieses Beispiel zeigt, dass priorisiert werden muss, auf welche Daten besonderer Wert gelegt wird.

Aktuelle Version vom 8. Juli 2022, 11:24 Uhr

Die Live-Forensik auch Online-Forensik umfasst die Sicherung von Daten/Spuren am laufenden System.

Das Hauptziel ist es, flüchtige Daten zu sichern. Darunter fällt als Beispiel der RAM, nicht gespeicherte Dokument, etc.

Oftmals muss abgewogen werden, in welcher Reihenfolge bei einer Sicherung vorgegangen werden muss. Jede Aktion, welche an einem laufenden System ausgeführt wird, kann Daten im RAM überschreiben. Aus diesem Aspekt wäre es empfehlenswert als Erstes eine RAM-Sicherung durchzuführen. Dem entgegen steht das Risiko, dass das System bei der RAM-Sicherung abstürzt. Falls es zu einem Absturz kommt, wären alle nicht gespeicherten Dokumente, Daten welche in der Cloud liegen und mit dem System verbunden sind, verschlüsselte Datenträger/Partitionen u.v.m. verloren.

Dieses Beispiel zeigt, dass priorisiert werden muss, auf welche Daten besonderer Wert gelegt wird.

Abgerufen von „http://it-forensik.fiw.hs-wismar.de/index.php?title=Live-Forensik&oldid=2361