Computer-Forensik: Analyse von Angriffen

Anfertigen von Arbeitskopien

Im Falle von zu untersuchenden Systemen mit nicht-flüchtigen Massenspeichern wie Festplatten wird zunächst eine Bit-genaue 1:1 Kopie der Festplatte angefertigt. Moderne Produkte zur Festplattenspiegelung, die üblicherweise bei der Datensicherung im Alltag oder zum Übertragen von Daten von einer alten auf eine neue Festplatte Verwendung finden, eignen sich in der Regel für den Zweck der Computer-Forensik nicht. Programme wie beispielsweise Drive Image von Symantec sind aus Performance-Gründen so optimiert, dass sie nicht benutzte Bereiche der Festplatten bei Kopiervorgängen aussparen.

Hier genau liegt aber unter Umständen wichtiges Material für die spätere Auswertung. Je nach verwendetem Betriebssystem nutzen Forensiker Programme wie DD (Disk-Duplexing), AccessData FTK Explorer oder EnCase, die die geforderte 1:1-Kopie erstellen. Das schnelle und genaue Erstellen eines oder mehrerer Abbilder des Original-Beweisstückes erlaubt es, einer typischen Forderung des Anwenders nachzukommen: die zügige Wiederherstellung des ursprünglichen Systems und dessen Wiederinbetriebnahme durch Neuinstallation oder Einspielen eines Backups.