Live-Forensik

Aus IT-Forensik Wiki

Die Live-Forensik auch Online-Forensik umfasst die Sicherung von Daten/Spuren am laufenden System.

Das Hauptziel ist es, flüchtige Daten zu sichern. Darunter fällt als Beispiel der RAM, nicht gespeicherte Dokument, etc.

Oftmals muss abgewogen werden, in welcher Reihenfolge bei einer Sicherung vorgegangen werden muss. Jede Aktion, welche an einem laufenden System ausgeführt wird, kann Daten im RAM überschreiben. Aus diesem Aspekt wäre es empfehlenswert als Erstes eine RAM-Sicherung durchzuführen. Dem entgegen steht das Risiko, dass das System bei der RAM-Sicherung abstürzt. Falls es zu einem Absturz kommt, wären alle nicht gespeicherten Dokumente, Daten welche in der Cloud liegen und mit dem System verbunden sind, verschlüsselte Datenträger/Partitionen u.v.m. verloren.

Dieses Beispiel zeigt, dass priorisiert werden muss, auf welche Daten besonderer Wert gelegt wird.