Anonym

Aus IT-Forensik Wiki
Version vom 8. August 2022, 19:31 Uhr von Etduen (Diskussion | Beiträge)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Projektarbeit, Hochschule Wismar,Juni 2022

Author: anonym

Titel: Forensik-Software – Test von Funktionalitäten auf Dateiidentifikations- & Dateirekonstruktionsebene in NTFS & APFS-Dateisystemen

Kurzreferat

Diese Arbeit beschäftigt sich mit der Evaluierung der grundlegenden Funktionen, die zur forensischen Aufarbeitung digitaler Spurenträger Einsatz findet. Diese Funktionen umfassen das Erkennen von Dateien anhand ihrer Signaturen, Auffinden und Identifizieren von versteckten und das Wiederherstellen gelöschter Dateien, sowie deren Dokumentation zu Beweiszwecken. Während die Dokumentationsfunktionen zuverlässig die aufbereiteten Inhalte der Programme wiedergaben, konnte jedoch festgestellt werden, dass keines der untersuchten Programme mit absoluter Zuverlässigkeit bei der Erstellung dieser Inhalte arbeitet. Die Spanne der hierbei dokumentierten Schwächen reicht von dem Nichterkennen des Verstecktstatus von Dateien bis hin zum fehlerhaften Inerpretieren von $MFT Einträgen.

Abstract

This thesis deals with the evaluation of the basic functions that are used for the forensic processing of digital evidence media. These functions include recognizing files by their signatures, finding and identifying hidden files, recovering de- leted files, and documenting them for evidentiary purposes. While the documentation functions reliably reproduced the prepared content of the programs, it was found that none of the programs examined worked with absolute reliability in creating this content. The range of weaknesses documented here ranged from not recognizing the hidden status of files to incorrectly interpreting $MFT entries.

Download PDF-Dokument