Forensische Duplikation

Aus IT-Forensik Wiki

Die forensische Duplikation beschreibt die beweis-sichere Anfertigung eines Datenträgerabbilds.

Einleitung

Ein forensisches Duplikat ist eine 1:1 Kopie eines Datenträgers, an dem verschiedene Untersuchungsschritte mehrfach ausgeführt werden können, ohne die Originaldaten zu verändern. Die Arbeit an dem zu untersuchenden Image kann auch parallelisiert werden, das heißt es können mehrere Personen gleichzeitig an dem selben Image an unterschiedlichen Gesichtspunkten arbeiten.

Oberstes Gebot ist das Gerichtsverwertbare arbeiten, daher ist die Unveränderbarkeit des Dateninhalts am Original Image oder auch Master Image und dem Asservat von Bedeutung.

Anforderungen an eine forensische Duplikation

  • physische Kopie: Der gesamte Sektorinhalt aller Sektoren wird in eine Datei hineingeschrieben
  • Fehlerbehandlung: Lesefehler müssen eindeutig erkannt und protokolliert werden und durch vorher festgelegte Füllmuster erstetzt werden
  • Vollständigkeit des Abbildes: Reservierte Bereiche von Massenspeichern müssen sicher erkannt werden und für den Zeitpunkt der Abbilderstellung deaktiviert werden
  • Unveränderbarkeit: Die Erstellung des Abbildes muss mit der Berechnung einer Checksumme abgeschlossen werden, um die Unveränderbarkeit nachweisen zu können (Integrität)

Writeblocker

Damit sichergestellt werden kann, dass das zu sichernde Medium nicht verändert wird muss ein Writeblocker eingesetzt werden. Ein Writeblocker filtern sämtliche Schreibzugriffe auf den Massenspeicher heraus und sind für alle gängigen Schnittstellen verfügbar. Es gibt auch Software basierte Writeblocker.

Ablauf in Kurzfassung:

  1. Identifikation der Datenträger, Auswahl geeigneter Werkzeuge zur Abbildgewinnung
  2. Durchführung der Gewinnung des phsysischen und vollständigen Abbilds
  3. Absicherung der Integrität und nachfolgende Verifikation mit dem Originaldatenträger