Forensische Duplikation: Unterschied zwischen den Versionen

Aus IT-Forensik Wiki
K (Hinzufügen von internen Links.)
(Der Seiteninhalt wurde durch einen anderen Text ersetzt: „Die forensische Duplikation beschreibt die beweis-sichere Anfertigung eines Datenträgerabbilds.“)
Markierung: Ersetzt
 
Zeile 1: Zeile 1:
Die forensische Duplikation beschreibt die beweis-sichere Anfertigung eines Datenträgerabbilds.
Die forensische Duplikation beschreibt die beweis-sichere Anfertigung eines Datenträgerabbilds.
== Einleitung ==
Ein forensisches Duplikat ist eine 1:1 Kopie eines Datenträgers, an dem verschiedene Untersuchungsschritte mehrfach ausgeführt werden können, ohne die Originaldaten zu verändern. Die Arbeit an dem zu untersuchenden Image kann auch parallelisiert werden, das heißt es können mehrere Personen gleichzeitig an dem selben Image an unterschiedlichen Gesichtspunkten arbeiten.
Oberstes Gebot ist das [[Gerichtsfestigkeit|gerichtsverwertbare Arbeiten]], daher ist die Unveränderbarkeit des Dateninhalts am Original Image oder auch Master Image und dem Asservat von Bedeutung.
== Anforderungen an eine forensische Duplikation ==
* physische Kopie: Der gesamte Sektorinhalt aller Sektoren wird in eine Datei hineingeschrieben
* Fehlerbehandlung: Lesefehler müssen eindeutig erkannt und protokolliert werden und durch vorher festgelegte Füllmuster erstetzt werden
* Vollständigkeit des Abbildes: Reservierte Bereiche von Massenspeichern müssen sicher erkannt werden und für den Zeitpunkt der Abbilderstellung deaktiviert werden
* Unveränderbarkeit: Die Erstellung des Abbildes muss mit der Berechnung einer Checksumme abgeschlossen werden, um die Unveränderbarkeit nachweisen zu können (Integrität)
== Writeblocker ==
→ ''Hauptartikel [[Write Blocker|Writeblocker]]''<br><br>
Damit sichergestellt werden kann, dass das zu sichernde Medium nicht verändert wird muss ein Writeblocker eingesetzt werden. Writeblocker filtern sämtliche Schreibzugriffe auf den Massenspeicher heraus und sind für alle gängigen Schnittstellen verfügbar. Es gibt auch Software-basierte Writeblocker.
== Ablauf in Kurzfassung: ==
# Identifikation der Datenträger, Auswahl geeigneter Werkzeuge zur Abbildgewinnung
# Durchführung der Gewinnung des phsysischen und vollständigen Abbilds
# Absicherung der Integrität und nachfolgende Verifikation mit dem Originaldatenträger

Aktuelle Version vom 19. Februar 2024, 11:08 Uhr

Die forensische Duplikation beschreibt die beweis-sichere Anfertigung eines Datenträgerabbilds.