Computer-Forensik: Analyse von Angriffen

Analyse der Daten

Für den Analytiker sind nun je nach Hintergrund des Vorfalles verschiedene Fundstellen auf einer Festplatte interessant. Es ist sehr nahe liegend, dass man allgemein bekannte Stellen eines Betriebssystems nach verwertbaren Daten (auch temporärer Natur) zuerst absucht. Hierzu gehören die Cache- und Temp-Verzeichnisse des Betriebssystems und der genutzten Internet-Browser. Auch wenn manche Datei in diesen Verzeichnissen auf Anhieb nicht mehr lesbar ist, geben die Dateinamen und die Analyse der Fragmente mit Binär-Editoren wertvolle Hinweise für die Spurensicherung.

Sofern keine konkreten Anhaltspunkte zur Eingrenzung des zu untersuchenden Bereiches eines Systems vorliegen, ist eine systematische Analyse des oder der Datenträger sinnvoll. Hier leisten diverse Spezial-Programme für die forensische Analyse eine wertvolle Hilfestellung.

Exemplarisch sei an dieser Stelle die Software EnCase der Firma Guidance Software genannt, welche sich aufgrund ihres mächtigen Funktionsumfanges zu einem beliebten Programm bei Ermittlern und Forensikern entwickelt hat. So ist mit EnCase beispielsweise die Analyse von Festplatten mit verschiedensten File-Systemen (auch komprimierten NTFS-Laufwerken), Platten aus RAID-Systemen oder einzelnen Datei-Typen wie Outlook-PST oder Inhalten von System-Dateien wie beispielsweise der Datei thumbs.db einer Windows XP-Bildersammlung möglich.