Datenreduktion

Aus IT-Forensik Wiki

Unter Datenreduktion versteht man einen Prozess des Minimieren einer Datenmenge, die auf einem Datenvolumen gespeichert ist. Bei der Datenreduktion handelt es sich um ein Kapazitätsoptimierungsverfahren, bei dem Daten auf die einfachst mögliche Form reduziert werden, um Kapazität auf einem Storage-Gerät freizugeben.
Um das zu untersuchende Datenvolumen im Bereich der Programm- und Anwendungsdaten weiter einzugrenzen, bieten forensische Werkzeuge zwei Möglichkeiten an: Whitelisting und Blacklisting.

Whitelisting

Beim Whitelist-Ansatz werden Programmdaten hinsichtlich auf Veränderungen im binären Aufbau hin untersucht. Dazu werden die Hashwerte bekannter Systemdateien mit den Hashwerten von Dateien gefundener Datenträger (Festplatten, USB-Sticks, etc.) untersucht. Erkannte Abweichungen der Hashwerte deuten auf eine Manipulation dieser Datei hin.

Blacklisting

Beim Blacklisting wird gezielt nach Signaturen bekannter Schadprogramme wie Trojaner oder Rootkits gesucht.

Zusätzliche Informationen

Auf den Webseiten der National Software Reference Library (NSRL) werden regelmäßig Datasets mit Hashwerten von Systemdateien, sowie Anwendungsprogrammen veröffentlicht. Diese können mit den berechneten Hashwerten der Systemdateien auf dem untersuchten System verglichen werden.