Diskanalyse von Kriminalisten: Ein Blick hinter die Kulissen

Erfahren Sie, wodurch sich das kommerzielle und kriminalistische Herangehen an die Wiederherstellung von Daten unterscheiden. Die Verfahren der Wiederherstellung der Information in der Kriminalistik, Algorithmen, Anforderungen und Programme für die Beweiserfassung.

Diskanalyse von Kriminalisten: Ein Blick hinter die Kulissen

Was passiert, wenn die extrahierte Festplatte vom Computer in die Hände der Kriminalisten fällt? Die kriminalistische Analyse der Festplatte ist sehr ähnlich wie die Datenwiederherstellung. Aber es gibt wesentliche Unterschiede und diese Unterschiede sind nicht nur im Preis der Programme. Wollen wir sehen, was ist der Unterschied zwischen dem kommerziellen und kriminalistischen Ansatz zur Datenwiederherstellung.

Hauptforderungen

Es ist nicht offenkundig, dass die Entwicklung dieser Instrumente der Kundenforderung sich unterordnet. Im Fall mit den Programmen für die Dateienwiederherstellung ist die Wiederherstellung den maximallen Informationsgehalt in kürzester Zeit. Und wie ist die Situation im Bereich der Kriminalistik? Die Anforderungen sind gleichzeitig ähnlich und nicht ähnlich.

Zur Ansicht gehen
Datenwiederherstellung nach Neuinstallation oder Zurücksetzen von Windows in den ursprünglichen Zust

Datenwiederherstellung nach Neuinstallation oder Zurücksetzen von Windows in den ursprünglichen Zust

Die Arbeit im Modus „Nur-Lese“

Die Arbeit im Modus „Nur-Lese“ ist eine der wenigen Anforderungen, die zwei Kategorien der Programme vereint. Nur-Lese-Zugriff wird von den Programmen für Datenwiederherstellung verwendet, mit dem Ziel die Beschädigung oder die Überschreibung der gelöschten Dateien nicht zuzulassen. Und in der Kriminalistik ist alles schwieriger: die Forderung der Unveränderlichkeit der entnehmbaren Beweise ist eine der grundlegenden Prinzipien der Gerichtsordnung. Die Kriminalisten ziehen auf den guten Wille der Programmierer nicht verlassen vor, und sie absichern, speziellen Hardware-Blocker Aufnahme verwendend. Die Verwendung diesen Geräte schließt alle Versuche die Aufnahme auf der Festplatte aus.

Die Verwendung des virtuellen Speicherabbilds

Das virtuelle Speicherabbilds zu verwenden oder die Daten „auf die schnelle“ wiederherzustellen ist die Auswahl jeder Spezialist für Datenwiederherstellung. Die Kriminalisten haben keine Wahl: die Standardprozedur der Diskanalyze erfordert die Abnähme des Bildes im Format Ex01, DD oder SMART und die anschließende Analyse dieses Bildes. Die Praxis, die aus den vielen Blickwinkeln bequem ist, aber das Vorhandensein des freien Disk mit der großen Kapazität erfordernd.

Zur Ansicht gehen
How to View User’s Logins and Passwords Saved in a Browser for Facebook, Twitter, Instagram 🕵️🔍🔐

How to View User’s Logins and Passwords Saved in a Browser for Facebook, Twitter, Instagram 🕵️🔍🔐

Die Dokumentation des Prozesses

Die Aufgabe des Kriminalist ist die gründliche Dokumentation jedes Schritts der Arbeit mit den digitalen Bewiese. Alle Operationen, die vom Analytiker getan wurden, müssen für anderen unabhängigen Spezialisten transparenten und wiederholbaren sein. Für die Programme für die Datenwiederherstellung gibt es die solchen Anforderungen nicht, deshalb werden die Berichte der Dateienliste begrenzt, die man wiederhergestellt hat oder nicht.

Die Suche nach den Signaturen und date carving

Die Programme für die Datenwiederherstellung verwenden mächtige Algorithmen für die Dateiensuche nach den Signaturen auf der Oberfläche der Festplatte. Diese Algorithmen verwenden wiederholenden Sektoren (Signaturen) um den Dateianfang aufzufinden. Zum Beispiel, für die Dateien *.docx und *.xlsx ist «50 4B». Die anschließende Analyse des Dateivorsatzes ermöglicht seine Länge zu berechnen.

Zur Ansicht gehen
⚕️ Datenwiederherstellung nach dem Befehl Clean in Diskpart

⚕️ Datenwiederherstellung nach dem Befehl Clean in Diskpart

Der Nachteil der solchen Algorithmen ist die Unmöglichkeit die fragmentierten Dateien völlig wiederherzustellen (Es ist nur für die Dateien, für die keinen passende Eintrag in der Dateitabelle und auch keine CDs mit der beschädigten oder zerstörten Partitionstabelle sind). In den Bedingungen der Verbrechensuntersuchung brauchen Sie eine bestimmte Datei wiederherzustellen, gleichgültig, ob diese Datei fragmentiert ist oder nicht. In diesem Fall verwendet man die Algorithmen „date carving“. Diese Algorithmen verwenden die Heuristik, die Kombinatorik, und den Löwenanteil der Handarbeit für die Zusammenfassung der Datei aus einer Vielzahl einzelnen Fragmente. Dieser Prozeß ist langwierig und arbeitsaufwendig, deshalb wird er heutzutage in der Kriminalistik sehr selten verwendet. Aber die Entwickler kennen keinen Stillstand – und morgen kann schon ein Programm erscheinen, das den Prozeß automatisieren kann.

Was wird wiederhergestellt

Man sollte glauben, dass der Computer-Nutzer und die Kriminalisten sich für die gleichen Dateien interessieren müssen, aber es ist nicht so. Die Kriminalisten interessieren sich für das Benehmen des Verdächtigen während des Zeitabschnitts. Es wird die solche Daten entzogen, wie Browser-Cache, Datenbank, die die Geschichte der besuchten Web-Seiten enthalt, Dateien der Windows-Registry und auch Datenbanken der Geschichte der Instant Messaging-Programme – Skype, ICQ und die andere. Fotos und Dokumente werden auch entzogen, und die Programme für die Datenwiederherstellung und kriminalistische Tool sind solidarisch nur auf diese beiden Punkte.

Zur Ansicht gehen
⚕️ Wiederherstellen von 🤳 Fotos von der Festplatte eines PC oder Laptop nach dem Löschen

⚕️ Wiederherstellen von 🤳 Fotos von der Festplatte eines PC oder Laptop nach dem Löschen

Analytik und Berichte

Die Arbeit des Programms für die Datenwiederherstellung wird geendet, wenn alle extrahierten Dateien auf den Alternativträger erfolgreich aufgenommen wurden. Und hier beginnt die Arbeit des Analytiker-Kriminalist. Jetzt muss man alle gefundenen Daten analysieren, die Einträge in der Datenbank ansehen, die Aktionen analysieren und ein psychologisches Profil des Täters aufsetzen. Dieser Teil nimmt den größten Teil der Zeit des Kriminalist und die Entwickler der entsprechenden Programme nicht eingetunkt haben: der analytische Teil der beliebtesten Pakete (Guidance EnCase, AccessData FTK, Belkasoft Evidence Center, Oxygen Forensic Toolkit und viele andere) übertrifft die Phantasie.

Und dann kommt die Zeit der Erstellung des Berichts. Die kriminalistische Programme bieten dazu die Masse eingebauten Möglichkeiten, die fast alle Berichte von kurzen bis sehr detaillierte verfassen ermöglichen.

Zur Ansicht gehen
🛠️ Wie entfernt man den Schreibschutz von einem USB-Stick, einer SD-Karte oder einer Festplatte

🛠️ Wie entfernt man den Schreibschutz von einem USB-Stick, einer SD-Karte oder einer Festplatte

Abschluß

Wie wir gesehen haben, verwenden die kriminalistischen Programme in ihrer Arbeit viele Algorithmen, die für die Datenwiederherstellung entwickelt wurden. Aber dort, wo die Arbeit des Spezialist für Datenwiederherstellung endet, beginnt die Arbeit des Kriminalist. Es gibt eine Masse der analytischen Pakete das entsprechende Ziel. Und die Bedürfnisse der einfachen Benutzer bedecken die üblichen Programme für die Datenwiederherstellung.

Alexandr Shafarenko

Autor: , Technischer Schreiber

Olexander Schafarenko hat langjährige Erfahrungen im Schreiben von Artikeln. Seine Artikel auf dem Blog wurden von Millionen von Benutzern gelesen. Der Autor hat eine spezialisierte Hochschulausbildung und teilt sein Wissen im Bereich IT mit den Lesern.

Glib Khomenko

Editor: , Technischer Schreiber

Hlib Khomenko ist Übersetzer und IT-Techniker im Unternehmen „Hetman Software“. Der Autor hat eine spezialisierte Hochschulausbildung und hat langjährige Erfahrung in der deutschen Übersetzung.

  • Bewertungen:
  • 15
  • /
  • :

Teilen

Fragen und Antworten

  • Was ist die DiskAnalyse?

    Die DiskAnalyse ist ein Tool, das Ihnen hilft, den Speicherplatz auf Ihrem Computer zu analysieren und zu verwalten. Es zeigt Ihnen an, welche Dateien und Ordner auf Ihrem Computer den meisten Speicherplatz beanspruchen, und es ermöglicht Ihnen, diese Dateien zu löschen, um mehr Speicherplatz freizugeben. Es kann auch dabei helfen, die Leistung Ihres Computers zu verbessern, indem es überflüssige Dateien entfernt und die Verzeichnisse neu organisiert.

  • Für welche Zwecke wird die DiskAnalyse von den Kriminalisten genutzt?

    Die DiskAnalyse wird von Kriminalisten verwendet, um Daten auf Computern, Smartphones und anderen digitalen Geräten zu analysieren, die im Zusammenhang mit einem Verbrechen stehen. Mit Hilfe der DiskAnalyse können Kriminalisten nach versteckten Dateien suchen, die vorher nicht gefunden wurden, und die Daten rekonstruieren, um mehr über das Verbrechen herauszufinden. Die DiskAnalyse kann auch dazu verwendet werden, um die Identität eines Verdächtigen zu bestimmen, indem sie seine oder ihre Aktivitäten auf dem Computer oder Smartphone nachverfolgt.

  • Wie lange können Rückstände von gelöschten Daten auf einer Festplatte verbleiben?

    Das hängt von der Art der Festplatte und dem verwendeten Löschverfahren ab. In der Regel können Rückstände von gelöschten Daten auf einer Festplatte für einen Zeitraum von mehreren Monaten oder sogar Jahren verbleiben. Einige Spezialwerkzeuge können jedoch Rückstände von gelöschten Daten vollständig löschen, sodass sie nicht mehr wiederhergestellt werden können.

  • Welche Schritte müssen Kriminalisten durchlaufen, um die DiskAnalyse durchzuführen?

    1. Daten sammeln: Kriminalisten müssen zunächst die Daten sammeln, die sie analysieren möchten. Dazu gehören Dateien, Verzeichnisse, Registry-Einträge, Netzwerk-Verbindungen usw.

    2. Daten prüfen: Anschließend müssen die Daten auf Viren, Malware und andere Bedrohungen überprüft werden.

    3. Daten identifizieren: Nachdem die Daten gesammelt und überprüft wurden, müssen die Kriminalisten die relevanten Daten identifizieren, die für die Analyse relevant sind.

    4. Daten extrahieren: Die Kriminalisten müssen dann die relevanten Daten extrahieren und in ein lesbares Format konvertieren, das für die weitere Analyse verwendet werden kann.

    5. Daten analysieren: Nachdem die Daten extrahiert wurden, können die Kriminalisten diese analysieren, um nach Hinweisen zu suchen, die auf ein Verbrechen hinweisen könnten.

    6. Ergebnisse dokumentieren: Schließlich müssen die Kriminalisten alle Ergebnisse der DiskAnalyse dokumentieren, um später darauf zurückgreifen zu können.

  • Was ist ein Hex-Editor?

    Ein Hex-Editor ist ein Computerprogramm, das es Benutzern ermöglicht, den Inhalt einer Datei oder eines Speicherbereichs direkt zu bearbeiten, indem er die Hexadezimalwerte in den Dateien oder Speicherbereichen anzeigt und ändert. Es ist ein nützliches Werkzeug für Softwareentwickler, Systemadministratoren und andere Benutzer, die den Inhalt einer Datei oder eines Speicherbereichs direkt bearbeiten müssen.

Bemerkungen (11)

  • Ben Krause
    Ben Krause 16.03.2016 01:04 #
    Wie kann die DiskAnalyse in Zukunft verbessert werden?
    Antworten
    • Hetman Software
      Hetman Software 16.03.2016 01:30 #

      1. Die DiskAnalyse könnte verbessert werden, indem sie eine visuelle Darstellung der Daten bietet, die den Benutzern hilft, ihren Speicherplatz besser zu verstehen.

      2. Es könnte auch eine Funktion hinzugefügt werden, mit der Benutzer Dateien und Ordner leichter identifizieren und verwalten können, indem sie Dateien nach Größe, Datum, Typ usw. gruppieren.

      3. Eine weitere Möglichkeit zur Verbesserung der DiskAnalyse wäre die Integration einer automatisierten Optimierungsfunktion, die den Speicherplatz auf dem System automatisch optimiert, indem unnötige Dateien und Ordner aufgespürt und gelöscht werden.

      4. Es wäre auch hilfreich, eine Suchfunktion hinzuzufügen, mit der Benutzer nach bestimmten Dateien oder Ordnern suchen können.

      5. Schließlich könnte die DiskAnalyse auch erweitert werden, um eine detailliertere Analyse des Speicherplatzes und eine detailliertere Berichterstellung über den Speicherplatz zu ermöglichen.

      Antworten
  • Luis Lorenz
    Luis Lorenz 15.03.2016 22:03 #
    Gibt es auch Nachteile bei der Anwendung der DiskAnalyse?
    Antworten
    • Hetman Software
      Hetman Software 15.03.2016 22:32 #
      Ja, die DiskAnalyse kann einige Nachteile haben. Zum einen kann sie sehr zeitaufwendig sein, da sie eine gründliche Untersuchung des Systems erfordert. Zum anderen kann sie auch sehr teuer sein, da sie spezielle Software und Hardware erfordert. Darüber hinaus kann die DiskAnalyse auch zu Datenverlust führen, wenn sie nicht korrekt durchgeführt wird. Schließlich kann die DiskAnalyse auch zu einer Verlangsamung des Systems führen, wenn sie nicht korrekt durchgeführt wird.
      Antworten
  • Friedrich Wagner
    Friedrich Wagner 15.03.2016 17:50 #
    Wie wird die DiskAnalyse von den Kriminalisten bewertet?
    Antworten
    • Hetman Software
      Hetman Software 15.03.2016 18:21 #
      Die DiskAnalyse wird von Kriminalisten sehr positiv bewertet. Sie ermöglicht es ihnen, die digitale Spur eines Verbrechens zu verfolgen und wichtige Beweise zu sammeln, die bei der Ermittlung helfen können. Die DiskAnalyse ist ein wichtiges Werkzeug für Kriminalisten, um Informationen zu sammeln und zu analysieren, die bei der Aufklärung von Verbrechen helfen können.
      Antworten
  • Alexander Schmitt
    Alexander Schmitt 15.03.2016 13:29 #
    Wie wichtig sind Metadaten bei der DiskAnalyse?
    Antworten
    • Hetman Software
      Hetman Software 15.03.2016 14:03 #
      Metadaten sind sehr wichtig bei der DiskAnalyse, da sie Informationen über den Inhalt einer Datei enthalten, die für die Analyse von großer Bedeutung sein können. Sie können beispielsweise Informationen über den Autor, das Erstellungsdatum, die Größe und den Dateityp enthalten. Diese Informationen können dazu verwendet werden, um die Dateien zu organisieren und zu kategorisieren. Auf diese Weise können DiskAnalyse-Tools leichter nach bestimmten Dateien suchen und diese auf einfache Weise identifizieren.
      Antworten
  • Martin Schmidt
    Martin Schmidt 15.03.2016 10:27 #
    Wie kann ein Hex-Editor in der DiskAnalyse eingesetzt werden?
    Antworten
    • Hetman Software
      Hetman Software 15.03.2016 10:43 #
      Ein Hex-Editor kann in der DiskAnalyse verwendet werden, um den Inhalt einer Festplatte oder eines anderen Speichermediums zu untersuchen. Der Hex-Editor kann verwendet werden, um den Inhalt eines Speicherbereichs zu lesen und zu bearbeiten. Er kann auch verwendet werden, um die Struktur eines Dateisystems zu erkennen, Dateien zu löschen und zu verschieben, oder um nach versteckten Dateien zu suchen.
      Antworten
  • Hetman Software: Data Recovery
    Hetman Software: Data Recovery 2.10.2018 11:29 #
    Wenn Sie noch weitere Fragen haben, dann können Sie diese in Kommentaren stellen und wir werden Ihnen ganz bestimmt helfen.
    Antworten
Kommentar posten
User
Hinterlasse eine Antwort
Deine Email-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Für dich empfohlen
Diese Website verwendet Cookies, um Ihre Erfahrung zu verbessern. Beschreibung
Willkommen bei dem KI-gesteuerten Assistenten von Hetman Software.
Chat beginnen