Imaging

Aus IT-Forensik Wiki
Version vom 25. Juli 2019, 12:50 Uhr von St181648 (Diskussion | Beiträge) (Initiale Erstellung)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Imaging

Ein forensisches Image (forensische Kopie) ist eine bitweise (sektorweise) direkte Kopie eines physischen Speichergeräts, einschließlich aller Dateien, Ordner und nicht zugeordneten, freien und freien Speicherplätze. Forensic-Images enthalten nicht nur alle Dateien, die für das Betriebssystem sichtbar sind, sondern auch gelöschte Dateien und Teile von Dateien, die im freien Speicherplatz verbleiben.

Das forensische Image ist ein Element der Computerforensik, die Anwendung von Computeruntersuchungs- und -analysetechniken, um Beweise zu sammeln, die für die Vorlage vor einem Gericht geeignet sind.

Nicht jede Imaging- und Backup-Software erstellt forensische Images. Die Windows-Sicherung erstellt beispielsweise Imagesicherungen, die keine vollständigen Kopien des physischen Geräts sind. Forensische Images können mit einer speziellen forensischen Software erstellt werden.

In Fällen von Cyberkriminalität können zusätzliche Beweise auf Datenträgern entdeckt werden, die nicht über das Betriebssystem ersichtlich sind, und zwar in Form von belastenden Daten, die gelöscht wurden, um eine Entdeckung zu verhindern. Sofern diese Daten nicht sicher gelöscht und überschrieben worden sind, können sie häufig mit Forensik- oder Dateiwiederherstellungssoftware rekonstruiert werden.

Durch das Erstellen und Sichern eines forensischen Abbilds wird verhindert, dass Daten aufgrund von ursprünglichen Laufwerksfehlern verloren gehen. Der Verlust von Daten als Beweismittel kann sich nachteilig auf Rechtsfälle auswirken. Forensische Imagen kann im Allgemeinen auch den Verlust kritischer Dateien verhindern.