Diskanalyse von Kriminalisten: Ein Blick hinter die Kulissen

Erfahren Sie, wodurch sich das kommerzielle und kriminalistische Herangehen an die Wiederherstellung von Daten unterscheiden. Die Verfahren der Wiederherstellung der Information in der Kriminalistik, Algorithmen, Anforderungen und Programme für die Beweiserfassung.

Diskanalyse von Kriminalisten: Ein Blick hinter die Kulissen

Was passiert, wenn die extrahierte Festplatte vom Computer in die Hände der Kriminalisten fällt? Die kriminalistische Analyse der Festplatte ist sehr ähnlich wie die Datenwiederherstellung. Aber es gibt wesentliche Unterschiede und diese Unterschiede sind nicht nur im Preis der Programme. Wollen wir sehen, was ist der Unterschied zwischen dem kommerziellen und kriminalistischen Ansatz zur Datenwiederherstellung.

Aspekt Beschreibung
Definition Forensische Datenwiederherstellung umfasst das Wiederherstellen gelöschter, beschädigter oder versteckter Daten für rechtliche, ermittlerische oder sicherheitsbezogene Zwecke.
Zweck Aufdeckung digitaler Beweise für Gerichtsverfahren, kriminalistische Ermittlungen oder Unternehmensprüfungen.
Hauptmerkmale
  • Bewahrung der Datenintegrität.
  • Einhaltung rechtlicher Standards für die Beweissammlung.
  • Analyse von Metadaten, um Zeitstempel und Benutzeraktivitäten zu erhalten.
Methoden
  • Erstellen von Festplatten-Images für exakte Kopien von Speichermedien.
  • Signaturbasierte Suche zur Identifikation bestimmter Dateitypen.
  • Einsatz fortschrittlicher Tools zur Datenextraktion von beschädigten oder verschlüsselten Laufwerken.
Herausforderungen
  • Verschlüsselte oder überschriebene Daten.
  • Zulässigkeit von Beweisen vor Gericht.
  • Datenwiederherstellung von physisch beschädigten Geräten.
Verwendete Tools
  • EnCase Forensic.
  • FTK (Forensic Toolkit).
  • Autopsy Digital Forensics.
Zielgruppe Strafverfolgungsbehörden, Unternehmensermittler, Cybersicherheitsexperten und Juristen.

Hauptforderungen

Es ist nicht offenkundig, dass die Entwicklung dieser Instrumente der Kundenforderung sich unterordnet. Im Fall mit den Programmen für die Dateienwiederherstellung ist die Wiederherstellung den maximallen Informationsgehalt in kürzester Zeit. Und wie ist die Situation im Bereich der Kriminalistik? Die Anforderungen sind gleichzeitig ähnlich und nicht ähnlich.

Zur Ansicht gehen
Datenwiederherstellung nach Neuinstallation oder Zurücksetzen von Windows in den ursprünglichen Zust

Datenwiederherstellung nach Neuinstallation oder Zurücksetzen von Windows in den ursprünglichen Zust

Anforderung 1. Die Arbeit im Modus „Nur-Lese“

Die Arbeit im Modus „Nur-Lese“ ist eine der wenigen Anforderungen, die zwei Kategorien der Programme vereint. Nur-Lese-Zugriff wird von den Programmen für Datenwiederherstellung verwendet, mit dem Ziel die Beschädigung oder die Überschreibung der gelöschten Dateien nicht zuzulassen. Und in der Kriminalistik ist alles schwieriger: die Forderung der Unveränderlichkeit der entnehmbaren Beweise ist eine der grundlegenden Prinzipien der Gerichtsordnung. Die Kriminalisten ziehen auf den guten Wille der Programmierer nicht verlassen vor, und sie absichern, speziellen Hardware-Blocker Aufnahme verwendend. Die Verwendung diesen Geräte schließt alle Versuche die Aufnahme auf der Festplatte aus.

Anforderung 2. Die Verwendung des virtuellen Speicherabbilds

Das virtuelle Speicherabbilds zu verwenden oder die Daten „auf die schnelle“ wiederherzustellen ist die Auswahl jeder Spezialist für Datenwiederherstellung. Die Kriminalisten haben keine Wahl: die Standardprozedur der Diskanalyze erfordert die Abnähme des Bildes im Format Ex01, DD oder SMART und die anschließende Analyse dieses Bildes. Die Praxis, die aus den vielen Blickwinkeln bequem ist, aber das Vorhandensein des freien Disk mit der großen Kapazität erfordernd.

Zur Ansicht gehen
How to View User’s Logins and Passwords Saved in a Browser for Facebook, Twitter, Instagram 🕵️🔍🔐

How to View User’s Logins and Passwords Saved in a Browser for Facebook, Twitter, Instagram 🕵️🔍🔐

Anforderung 3. Die Dokumentation des Prozesses

Die Aufgabe des Kriminalist ist die gründliche Dokumentation jedes Schritts der Arbeit mit den digitalen Bewiese. Alle Operationen, die vom Analytiker getan wurden, müssen für anderen unabhängigen Spezialisten transparenten und wiederholbaren sein. Für die Programme für die Datenwiederherstellung gibt es die solchen Anforderungen nicht, deshalb werden die Berichte der Dateienliste begrenzt, die man wiederhergestellt hat oder nicht.

Anforderung 4. Die Suche nach den Signaturen und date carving

Die Programme für die Datenwiederherstellung verwenden mächtige Algorithmen für die Dateiensuche nach den Signaturen auf der Oberfläche der Festplatte. Diese Algorithmen verwenden wiederholenden Sektoren (Signaturen) um den Dateianfang aufzufinden. Zum Beispiel, für die Dateien *.docx und *.xlsx ist «50 4B». Die anschließende Analyse des Dateivorsatzes ermöglicht seine Länge zu berechnen.

Zur Ansicht gehen
⚕️ Datenwiederherstellung nach dem Befehl Clean in Diskpart

⚕️ Datenwiederherstellung nach dem Befehl Clean in Diskpart

Der Nachteil der solchen Algorithmen ist die Unmöglichkeit die fragmentierten Dateien völlig wiederherzustellen (Es ist nur für die Dateien, für die keinen passende Eintrag in der Dateitabelle und auch keine CDs mit der beschädigten oder zerstörten Partitionstabelle sind). In den Bedingungen der Verbrechensuntersuchung brauchen Sie eine bestimmte Datei wiederherzustellen, gleichgültig, ob diese Datei fragmentiert ist oder nicht. In diesem Fall verwendet man die Algorithmen „date carving“. Diese Algorithmen verwenden die Heuristik, die Kombinatorik, und den Löwenanteil der Handarbeit für die Zusammenfassung der Datei aus einer Vielzahl einzelnen Fragmente. Dieser Prozeß ist langwierig und arbeitsaufwendig, deshalb wird er heutzutage in der Kriminalistik sehr selten verwendet. Aber die Entwickler kennen keinen Stillstand – und morgen kann schon ein Programm erscheinen, das den Prozeß automatisieren kann.

Was wird wiederhergestellt

Man sollte glauben, dass der Computer-Nutzer und die Kriminalisten sich für die gleichen Dateien interessieren müssen, aber es ist nicht so. Die Kriminalisten interessieren sich für das Benehmen des Verdächtigen während des Zeitabschnitts. Es wird die solche Daten entzogen, wie Browser-Cache, Datenbank, die die Geschichte der besuchten Web-Seiten enthalt, Dateien der Windows-Registry und auch Datenbanken der Geschichte der Instant Messaging-Programme – Skype, ICQ und die andere. Fotos und Dokumente werden auch entzogen, und die Programme für die Datenwiederherstellung und kriminalistische Tool sind solidarisch nur auf diese beiden Punkte.

Zur Ansicht gehen
⚕️ Wiederherstellen von 🤳 Fotos von der Festplatte eines PC oder Laptop nach dem Löschen

⚕️ Wiederherstellen von 🤳 Fotos von der Festplatte eines PC oder Laptop nach dem Löschen

Analytik und Berichte

Die Arbeit des Programms für die Datenwiederherstellung wird geendet, wenn alle extrahierten Dateien auf den Alternativträger erfolgreich aufgenommen wurden. Und hier beginnt die Arbeit des Analytiker-Kriminalist. Jetzt muss man alle gefundenen Daten analysieren, die Einträge in der Datenbank ansehen, die Aktionen analysieren und ein psychologisches Profil des Täters aufsetzen. Dieser Teil nimmt den größten Teil der Zeit des Kriminalist und die Entwickler der entsprechenden Programme nicht eingetunkt haben: der analytische Teil der beliebtesten Pakete (Guidance EnCase, AccessData FTK, Belkasoft Evidence Center, Oxygen Forensic Toolkit und viele andere) übertrifft die Phantasie.

Und dann kommt die Zeit der Erstellung des Berichts. Die kriminalistische Programme bieten dazu die Masse eingebauten Möglichkeiten, die fast alle Berichte von kurzen bis sehr detaillierte verfassen ermöglichen.

Zur Ansicht gehen
🛠️ Wie entfernt man den Schreibschutz von einem USB-Stick, einer SD-Karte oder einer Festplatte

🛠️ Wie entfernt man den Schreibschutz von einem USB-Stick, einer SD-Karte oder einer Festplatte

Abschluß

Wie wir gesehen haben, verwenden die kriminalistischen Programme in ihrer Arbeit viele Algorithmen, die für die Datenwiederherstellung entwickelt wurden. Aber dort, wo die Arbeit des Spezialist für Datenwiederherstellung endet, beginnt die Arbeit des Kriminalist. Es gibt eine Masse der analytischen Pakete das entsprechende Ziel. Und die Bedürfnisse der einfachen Benutzer bedecken die üblichen Programme für die Datenwiederherstellung.

Alexandr Shafarenko

Autor: , Technischer Schreiber

Olexander Schafarenko hat langjährige Erfahrungen im Schreiben von Artikeln. Seine Artikel auf dem Blog wurden von Millionen von Benutzern gelesen. Der Autor hat eine spezialisierte Hochschulausbildung und teilt sein Wissen im Bereich IT mit den Lesern.

Glib Khomenko

Editor: , Technischer Schreiber

Hlib Khomenko ist Übersetzer und IT-Techniker im Unternehmen „Hetman Software“. Der Autor hat eine spezialisierte Hochschulausbildung und hat langjährige Erfahrung in der deutschen Übersetzung.

Für dich empfohlen

Willkommen bei dem KI-gesteuerten Assistenten von Hetman Software.
Chat beginnen