Forensische Duplikation: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
K (Hinzufügen von internen Links.) |
||
| Zeile 4: | Zeile 4: | ||
Ein forensisches Duplikat ist eine 1:1 Kopie eines Datenträgers, an dem verschiedene Untersuchungsschritte mehrfach ausgeführt werden können, ohne die Originaldaten zu verändern. Die Arbeit an dem zu untersuchenden Image kann auch parallelisiert werden, das heißt es können mehrere Personen gleichzeitig an dem selben Image an unterschiedlichen Gesichtspunkten arbeiten. | Ein forensisches Duplikat ist eine 1:1 Kopie eines Datenträgers, an dem verschiedene Untersuchungsschritte mehrfach ausgeführt werden können, ohne die Originaldaten zu verändern. Die Arbeit an dem zu untersuchenden Image kann auch parallelisiert werden, das heißt es können mehrere Personen gleichzeitig an dem selben Image an unterschiedlichen Gesichtspunkten arbeiten. | ||
Oberstes Gebot ist das | Oberstes Gebot ist das [[Gerichtsfestigkeit|gerichtsverwertbare Arbeiten]], daher ist die Unveränderbarkeit des Dateninhalts am Original Image oder auch Master Image und dem Asservat von Bedeutung. | ||
== Anforderungen an eine forensische Duplikation == | == Anforderungen an eine forensische Duplikation == | ||
| Zeile 13: | Zeile 13: | ||
== Writeblocker == | == Writeblocker == | ||
Damit sichergestellt werden kann, dass das zu sichernde Medium nicht verändert wird muss ein Writeblocker eingesetzt werden. | → ''Hauptartikel [[Write Blocker|Writeblocker]]''<br><br> | ||
Damit sichergestellt werden kann, dass das zu sichernde Medium nicht verändert wird muss ein Writeblocker eingesetzt werden. Writeblocker filtern sämtliche Schreibzugriffe auf den Massenspeicher heraus und sind für alle gängigen Schnittstellen verfügbar. Es gibt auch Software-basierte Writeblocker. | |||
== Ablauf in Kurzfassung: == | == Ablauf in Kurzfassung: == | ||
Version vom 29. Juli 2021, 10:34 Uhr
Die forensische Duplikation beschreibt die beweis-sichere Anfertigung eines Datenträgerabbilds.
Einleitung
Ein forensisches Duplikat ist eine 1:1 Kopie eines Datenträgers, an dem verschiedene Untersuchungsschritte mehrfach ausgeführt werden können, ohne die Originaldaten zu verändern. Die Arbeit an dem zu untersuchenden Image kann auch parallelisiert werden, das heißt es können mehrere Personen gleichzeitig an dem selben Image an unterschiedlichen Gesichtspunkten arbeiten.
Oberstes Gebot ist das gerichtsverwertbare Arbeiten, daher ist die Unveränderbarkeit des Dateninhalts am Original Image oder auch Master Image und dem Asservat von Bedeutung.
Anforderungen an eine forensische Duplikation
- physische Kopie: Der gesamte Sektorinhalt aller Sektoren wird in eine Datei hineingeschrieben
- Fehlerbehandlung: Lesefehler müssen eindeutig erkannt und protokolliert werden und durch vorher festgelegte Füllmuster erstetzt werden
- Vollständigkeit des Abbildes: Reservierte Bereiche von Massenspeichern müssen sicher erkannt werden und für den Zeitpunkt der Abbilderstellung deaktiviert werden
- Unveränderbarkeit: Die Erstellung des Abbildes muss mit der Berechnung einer Checksumme abgeschlossen werden, um die Unveränderbarkeit nachweisen zu können (Integrität)
Writeblocker
→ Hauptartikel Writeblocker
Damit sichergestellt werden kann, dass das zu sichernde Medium nicht verändert wird muss ein Writeblocker eingesetzt werden. Writeblocker filtern sämtliche Schreibzugriffe auf den Massenspeicher heraus und sind für alle gängigen Schnittstellen verfügbar. Es gibt auch Software-basierte Writeblocker.
Ablauf in Kurzfassung:
- Identifikation der Datenträger, Auswahl geeigneter Werkzeuge zur Abbildgewinnung
- Durchführung der Gewinnung des phsysischen und vollständigen Abbilds
- Absicherung der Integrität und nachfolgende Verifikation mit dem Originaldatenträger
