Order of Volatility

Aus IT-Forensik Wiki
Die druckbare Version wird nicht mehr unterstützt und kann Darstellungsfehler aufweisen. Bitte aktualisiere deine Browser-Lesezeichen und verwende stattdessen die Standard-Druckfunktion des Browsers.

Der Begriff Order of Volatility ("Flüchtigkeitsreihenfolge") bezieht sich auf die Reihenfolge, in der forensische Daten gesichert werden sollten. Zuerst sollten immer die Daten gesichert werden, die - je nach Gerät und Untersuchungsgegenstand - am flüchtigsten sind und deshalb am schnellsten verloren gehen könnten. Es empfiehlt sich folgende Reihenfolge (nach RFC 3227):

  1. CPU-Register und Cache
  2. Routingtabellen, ARP-Cache, Prozessliste, Netzstatus, Kerneldaten, Hauptspeicherinhalt
  3. Temporäre Dateisysteme / Auslagerungsbereiche
  4. Inhalte von Festplatten
  5. Logging- und andere Überwachungsdaten
  6. Physische Konfigurationen und Netzwerktopologien
  7. Sicherungskopien
  8. Archivierte Daten