Diskanalyse von Kriminalisten: Ein Blick hinter die Kulissen
Erfahren Sie, wodurch sich das kommerzielle und kriminalistische Herangehen an die Wiederherstellung von Daten unterscheiden. Die Verfahren der Wiederherstellung der Information in der Kriminalistik, Algorithmen, Anforderungen und Programme für die Beweiserfassung.
Was passiert, wenn die extrahierte Festplatte vom Computer in die Hände der Kriminalisten fällt? Die kriminalistische Analyse der Festplatte ist sehr ähnlich wie die Datenwiederherstellung. Aber es gibt wesentliche Unterschiede und diese Unterschiede sind nicht nur im Preis der Programme. Wollen wir sehen, was ist der Unterschied zwischen dem kommerziellen und kriminalistischen Ansatz zur Datenwiederherstellung.
- Hauptforderungen
- Was wird wiederhergestellt
- Analytik und Berichte
- Abschluß
- Fragen und Antworten
- Bemerkungen
Hauptforderungen
Es ist nicht offenkundig, dass die Entwicklung dieser Instrumente der Kundenforderung sich unterordnet. Im Fall mit den Programmen für die Dateienwiederherstellung ist die Wiederherstellung den maximallen Informationsgehalt in kürzester Zeit. Und wie ist die Situation im Bereich der Kriminalistik? Die Anforderungen sind gleichzeitig ähnlich und nicht ähnlich.
Die Arbeit im Modus „Nur-Lese“
Die Arbeit im Modus „Nur-Lese“ ist eine der wenigen Anforderungen, die zwei Kategorien der Programme vereint. Nur-Lese-Zugriff wird von den Programmen für Datenwiederherstellung verwendet, mit dem Ziel die Beschädigung oder die Überschreibung der gelöschten Dateien nicht zuzulassen. Und in der Kriminalistik ist alles schwieriger: die Forderung der Unveränderlichkeit der entnehmbaren Beweise ist eine der grundlegenden Prinzipien der Gerichtsordnung. Die Kriminalisten ziehen auf den guten Wille der Programmierer nicht verlassen vor, und sie absichern, speziellen Hardware-Blocker Aufnahme verwendend. Die Verwendung diesen Geräte schließt alle Versuche die Aufnahme auf der Festplatte aus.
Die Verwendung des virtuellen Speicherabbilds
Das virtuelle Speicherabbilds zu verwenden oder die Daten „auf die schnelle“ wiederherzustellen ist die Auswahl jeder Spezialist für Datenwiederherstellung. Die Kriminalisten haben keine Wahl: die Standardprozedur der Diskanalyze erfordert die Abnähme des Bildes im Format Ex01, DD oder SMART und die anschließende Analyse dieses Bildes. Die Praxis, die aus den vielen Blickwinkeln bequem ist, aber das Vorhandensein des freien Disk mit der großen Kapazität erfordernd.
Die Dokumentation des Prozesses
Die Aufgabe des Kriminalist ist die gründliche Dokumentation jedes Schritts der Arbeit mit den digitalen Bewiese. Alle Operationen, die vom Analytiker getan wurden, müssen für anderen unabhängigen Spezialisten transparenten und wiederholbaren sein. Für die Programme für die Datenwiederherstellung gibt es die solchen Anforderungen nicht, deshalb werden die Berichte der Dateienliste begrenzt, die man wiederhergestellt hat oder nicht.
Die Suche nach den Signaturen und date carving
Die Programme für die Datenwiederherstellung verwenden mächtige Algorithmen für die Dateiensuche nach den Signaturen auf der Oberfläche der Festplatte. Diese Algorithmen verwenden wiederholenden Sektoren (Signaturen) um den Dateianfang aufzufinden. Zum Beispiel, für die Dateien *.docx und *.xlsx ist «50 4B». Die anschließende Analyse des Dateivorsatzes ermöglicht seine Länge zu berechnen.
Der Nachteil der solchen Algorithmen ist die Unmöglichkeit die fragmentierten Dateien völlig wiederherzustellen (Es ist nur für die Dateien, für die keinen passende Eintrag in der Dateitabelle und auch keine CDs mit der beschädigten oder zerstörten Partitionstabelle sind). In den Bedingungen der Verbrechensuntersuchung brauchen Sie eine bestimmte Datei wiederherzustellen, gleichgültig, ob diese Datei fragmentiert ist oder nicht. In diesem Fall verwendet man die Algorithmen „date carving“. Diese Algorithmen verwenden die Heuristik, die Kombinatorik, und den Löwenanteil der Handarbeit für die Zusammenfassung der Datei aus einer Vielzahl einzelnen Fragmente. Dieser Prozeß ist langwierig und arbeitsaufwendig, deshalb wird er heutzutage in der Kriminalistik sehr selten verwendet. Aber die Entwickler kennen keinen Stillstand – und morgen kann schon ein Programm erscheinen, das den Prozeß automatisieren kann.
Was wird wiederhergestellt
Man sollte glauben, dass der Computer-Nutzer und die Kriminalisten sich für die gleichen Dateien interessieren müssen, aber es ist nicht so. Die Kriminalisten interessieren sich für das Benehmen des Verdächtigen während des Zeitabschnitts. Es wird die solche Daten entzogen, wie Browser-Cache, Datenbank, die die Geschichte der besuchten Web-Seiten enthalt, Dateien der Windows-Registry und auch Datenbanken der Geschichte der Instant Messaging-Programme – Skype, ICQ und die andere. Fotos und Dokumente werden auch entzogen, und die Programme für die Datenwiederherstellung und kriminalistische Tool sind solidarisch nur auf diese beiden Punkte.
Analytik und Berichte
Die Arbeit des Programms für die Datenwiederherstellung wird geendet, wenn alle extrahierten Dateien auf den Alternativträger erfolgreich aufgenommen wurden. Und hier beginnt die Arbeit des Analytiker-Kriminalist. Jetzt muss man alle gefundenen Daten analysieren, die Einträge in der Datenbank ansehen, die Aktionen analysieren und ein psychologisches Profil des Täters aufsetzen. Dieser Teil nimmt den größten Teil der Zeit des Kriminalist und die Entwickler der entsprechenden Programme nicht eingetunkt haben: der analytische Teil der beliebtesten Pakete (Guidance EnCase, AccessData FTK, Belkasoft Evidence Center, Oxygen Forensic Toolkit und viele andere) übertrifft die Phantasie.
Und dann kommt die Zeit der Erstellung des Berichts. Die kriminalistische Programme bieten dazu die Masse eingebauten Möglichkeiten, die fast alle Berichte von kurzen bis sehr detaillierte verfassen ermöglichen.
Abschluß
Wie wir gesehen haben, verwenden die kriminalistischen Programme in ihrer Arbeit viele Algorithmen, die für die Datenwiederherstellung entwickelt wurden. Aber dort, wo die Arbeit des Spezialist für Datenwiederherstellung endet, beginnt die Arbeit des Kriminalist. Es gibt eine Masse der analytischen Pakete das entsprechende Ziel. Und die Bedürfnisse der einfachen Benutzer bedecken die üblichen Programme für die Datenwiederherstellung.
Wie kann die DiskAnalyse in Zukunft verbessert werden?
1. Die DiskAnalyse könnte verbessert werden, indem sie eine visuelle Darstellung der Daten bietet, die den Benutzern hilft, ihren Speicherplatz besser zu verstehen.
2. Es könnte auch eine Funktion hinzugefügt werden, mit der Benutzer Dateien und Ordner leichter identifizieren und verwalten können, indem sie Dateien nach Größe, Datum, Typ usw. gruppieren.
3. Eine weitere Möglichkeit zur Verbesserung der DiskAnalyse wäre die Integration einer automatisierten Optimierungsfunktion, die den Speicherplatz auf dem System automatisch optimiert, indem unnötige Dateien und Ordner aufgespürt und gelöscht werden.
4. Es wäre auch hilfreich, eine Suchfunktion hinzuzufügen, mit der Benutzer nach bestimmten Dateien oder Ordnern suchen können.
5. Schließlich könnte die DiskAnalyse auch erweitert werden, um eine detailliertere Analyse des Speicherplatzes und eine detailliertere Berichterstellung über den Speicherplatz zu ermöglichen.
Gibt es auch Nachteile bei der Anwendung der DiskAnalyse?
Ja, die DiskAnalyse kann einige Nachteile haben. Zum einen kann sie sehr zeitaufwendig sein, da sie eine gründliche Untersuchung des Systems erfordert. Zum anderen kann sie auch sehr teuer sein, da sie spezielle Software und Hardware erfordert. Darüber hinaus kann die DiskAnalyse auch zu Datenverlust führen, wenn sie nicht korrekt durchgeführt wird. Schließlich kann die DiskAnalyse auch zu einer Verlangsamung des Systems führen, wenn sie nicht korrekt durchgeführt wird.
Wie wird die DiskAnalyse von den Kriminalisten bewertet?
Die DiskAnalyse wird von Kriminalisten sehr positiv bewertet. Sie ermöglicht es ihnen, die digitale Spur eines Verbrechens zu verfolgen und wichtige Beweise zu sammeln, die bei der Ermittlung helfen können. Die DiskAnalyse ist ein wichtiges Werkzeug für Kriminalisten, um Informationen zu sammeln und zu analysieren, die bei der Aufklärung von Verbrechen helfen können.
Wie wichtig sind Metadaten bei der DiskAnalyse?
Metadaten sind sehr wichtig bei der DiskAnalyse, da sie Informationen über den Inhalt einer Datei enthalten, die für die Analyse von großer Bedeutung sein können. Sie können beispielsweise Informationen über den Autor, das Erstellungsdatum, die Größe und den Dateityp enthalten. Diese Informationen können dazu verwendet werden, um die Dateien zu organisieren und zu kategorisieren. Auf diese Weise können DiskAnalyse-Tools leichter nach bestimmten Dateien suchen und diese auf einfache Weise identifizieren.
Wie kann ein Hex-Editor in der DiskAnalyse eingesetzt werden?
Ein Hex-Editor kann in der DiskAnalyse verwendet werden, um den Inhalt einer Festplatte oder eines anderen Speichermediums zu untersuchen. Der Hex-Editor kann verwendet werden, um den Inhalt eines Speicherbereichs zu lesen und zu bearbeiten. Er kann auch verwendet werden, um die Struktur eines Dateisystems zu erkennen, Dateien zu löschen und zu verschieben, oder um nach versteckten Dateien zu suchen.
Wenn Sie noch weitere Fragen haben, dann können Sie diese in Kommentaren stellen und wir werden Ihnen ganz bestimmt helfen.