Order of Volatility

Aus IT-Forensik Wiki

Der Begriff Order of Volatility ("Flüchtigkeitsreihenfolge") bezieht sich auf die Reihenfolge, in der forensische Daten gesichert werden sollten. Zuerst sollten immer die Daten gesichert werden, die - je nach Gerät und Untersuchungsgegenstand - am flüchtigsten sind und deshalb am schnellsten verloren gehen könnten. Es empfiehlt sich folgende Reihenfolge (nach RFC 3227):

  1. CPU-Register und Cache
  2. Routingtabellen, ARP-Cache, Prozessliste, Netzstatus, Kerneldaten, Hauptspeicherinhalt
  3. Temporäre Dateisysteme / Auslagerungsbereiche
  4. Inhalte von Festplatten
  5. Logging- und andere Überwachungsdaten
  6. Physische Konfigurationen und Netzwerktopologien
  7. Sicherungskopien
  8. Archivierte Daten
Abgerufen von „http://it-forensik.fiw.hs-wismar.de/index.php?title=Order_of_Volatility&oldid=1426