Die Diskanalyze von den Kriminalisten

Was passiert, wenn die extrahierte Festplatte vom Computer in die Hände der Kriminalisten fällt? Die kriminalistische Analyse der Festplatte ist sehr ähnlich wie die Datenwiederherstellung. Aber es gibt wesentliche Unterschiede und diese Unterschiede sind nicht nur im Preis der Programme. Wollen wir sehen, was ist der Unterschied zwischen dem kommerziellen und kriminalistischen Ansatz zur Datenwiederherstellung.

Die Diskanalyze von den Kriminalisten

Hauptforderungen

Es ist nicht offenkundig, dass die Entwicklung dieser Instrumente der Kundenforderung sich unterordnet. Im Fall mit den Programmen für die Dateienwiederherstellung ist die Wiederherstellung den maximallen Informationsgehalt in kürzester Zeit. Und wie ist die Situation im Bereich der Kriminalistik? Die Anforderungen sind gleichzeitig ähnlich und nicht ähnlich.

Die Arbeit im Modus „Nur-Lese“

Die Arbeit im Modus „Nur-Lese“ ist eine der wenigen Anforderungen, die zwei Kategorien der Programme vereint. Nur-Lese-Zugriff wird von den Programmen für Datenwiederherstellung verwendet, mit dem Ziel die Beschädigung oder die Überschreibung der gelöschten Dateien nicht zuzulassen. Und in der Kriminalistik ist alles schwieriger: die Forderung der Unveränderlichkeit der entnehmbaren Beweise ist eine der grundlegenden Prinzipien der Gerichtsordnung. Die Kriminalisten ziehen auf den guten Wille der Programmierer nicht verlassen vor, und sie absichern, speziellen Hardware-Blocker Aufnahme verwendend. Die Verwendung diesen Geräte schließt alle Versuche die Aufnahme auf der Festplatte aus.

Die Verwendung des virtuellen Speicherabbilds

Das virtuelle Speicherabbilds zu verwenden oder die Daten „auf die schnelle“ wiederherzustellen ist die Auswahl jeder Spezialist für Datenwiederherstellung. Die Kriminalisten haben keine Wahl: die Standardprozedur der Diskanalyze erfordert die Abnähme des Bildes im Format Ex01, DD oder SMART und die anschließende Analyse dieses Bildes. Die Praxis, die aus den vielen Blickwinkeln bequem ist, aber das Vorhandensein des freien Disk mit der großen Kapazität erfordernd.

Die Dokumentation des Prozesses

Die Aufgabe des Kriminalist ist die gründliche Dokumentation jedes Schritts der Arbeit mit den digitalen Bewiese. Alle Operationen, die vom Analytiker getan wurden, müssen für anderen unabhängigen Spezialisten transparenten und wiederholbaren sein. Für die Programme für die Datenwiederherstellung gibt es die solchen Anforderungen nicht, deshalb werden die Berichte der Dateienliste begrenzt, die man wiederhergestellt hat oder nicht.

Die Suche nach den Signaturen und date carving

Die Programme für die Datenwiederherstellung verwenden mächtige Algorithmen für die Dateiensuche nach den Signaturen auf der Oberfläche der Festplatte. Diese Algorithmen verwenden wiederholenden Sektoren (Signaturen) um den Dateianfang aufzufinden. Zum Beispiel, für die Dateien *.docx und *.xlsx ist «50 4B». Die anschließende Analyse des Dateivorsatzes ermöglicht seine Länge zu berechnen.

Der Nachteil der solchen Algorithmen ist die Unmöglichkeit die fragmentierten Dateien völlig wiederherzustellen (Es ist nur für die Dateien, für die keinen passende Eintrag in der Dateitabelle und auch keine CDs mit der beschädigten oder zerstörten Partitionstabelle sind). In den Bedingungen der Verbrechensuntersuchung brauchen Sie eine bestimmte Datei wiederherzustellen, gleichgültig, ob diese Datei fragmentiert ist oder nicht. In diesem Fall verwendet man die Algorithmen „date carving“. Diese Algorithmen verwenden die Heuristik, die Kombinatorik, und den Löwenanteil der Handarbeit für die Zusammenfassung der Datei aus einer Vielzahl einzelnen Fragmente. Dieser Prozeß ist langwierig und arbeitsaufwendig, deshalb wird er heutzutage in der Kriminalistik sehr selten verwendet. Aber die Entwickler kennen keinen Stillstand – und morgen kann schon ein Programm erscheinen, das den Prozeß automatisieren kann.

Was wird wiederhergestellt

Man sollte glauben, dass der Computer-Nutzer und die Kriminalisten sich für die gleichen Dateien interessieren müssen, aber es ist nicht so. Die Kriminalisten interessieren sich für das Benehmen des Verdächtigen während des Zeitabschnitts. Es wird die solche Daten entzogen, wie Browser-Cache, Datenbank, die die Geschichte der besuchten Web-Seiten enthalt, Dateien der Windows-Registry und auch Datenbanken der Geschichte der Instant Messaging-Programme – Skype, ICQ und die andere. Fotos und Dokumente werden auch entzogen, und die Programme für die Datenwiederherstellung und kriminalistische Tool sind solidarisch nur auf diese beiden Punkte.

Analytik und Berichte

Die Arbeit des Programms für die Datenwiederherstellung wird geendet, wenn alle extrahierten Dateien auf den Alternativträger erfolgreich aufgenommen wurden. Und hier beginnt die Arbeit des Analytiker-Kriminalist. Jetzt muss man alle gefundenen Daten analysieren, die Einträge in der Datenbank ansehen, die Aktionen analysieren und ein psychologisches Profil des Täters aufsetzen. Dieser Teil nimmt den größten Teil der Zeit des Kriminalist und die Entwickler der entsprechenden Programme nicht eingetunkt haben: der analytische Teil der beliebtesten Pakete (Guidance EnCase, AccessData FTK, Belkasoft Evidence Center, Oxygen Forensic Toolkit und viele andere) übertrifft die Phantasie.

Und dann kommt die Zeit der Erstellung des Berichts. Die kriminalistische Programme bieten dazu die Masse eingebauten Möglichkeiten, die fast alle Berichte von kurzen bis sehr detaillierte verfassen ermöglichen.

Abschluß

Wie wir gesehen haben, verwenden die kriminalistischen Programme in ihrer Arbeit viele Algorithmen, die für die Datenwiederherstellung entwickelt wurden. Aber dort, wo die Arbeit des Spezialist für Datenwiederherstellung endet, beginnt die Arbeit des Kriminalist. Es gibt eine Masse der analytischen Pakete das entsprechende Ziel. Und die Bedürfnisse der einfachen Benutzer bedecken die üblichen Programme für die Datenwiederherstellung.

Author: Michael Miroshnichenko

1 Star2 Stars3 Stars4 Stars5 Stars (1 votes, average: 5.00 out of 5)