Disk-Forensik/ Beweismittelquellen/ Grundlagen eines Volumes

Arten von Beweismittelquellen |  Disk-Forensik | Beweismittelquellen auf einem Volume

Kapitel:

• Richtlinien und Vorgehensmodelle

Unterkapitel

• Das SAP-Modell
• Dokumentation
• Datenschutz
• Reihenfolge bzw. Vorgehensweise bei der Untersuchung
• Benötigte Software
• Dinge, die man nicht tun sollte
• Checkliste für Vorfallsmeldung
• Quellen

 

• Arten von Beweismittelquellen

Unterkapitel

• Grundlagen eines Volumes
• Beweismittelquellen auf einem Volume
• Grundlagen der Dateisysteme
• Beweismittelquellen im Dateisystem
• Logfiles
• Metadaten
• Quellen

 

• Gewinnung digitaler Beweismittel

Unterkapitel

• Zustand des Computers sichern
• Beschlagnahmung ganzer Computersysteme
• Beschlagnahmung von Backup
• Selektives Kopieren
• Imaging
• Suchkriterien digitaler Beweismittel
• Eindeutige Daten
• Versteckte Daten
• Quellen

 

• Die Analyse digitaler Beweismittel

Unterkapitel

• Grundlagen der Analyse
• Imageerkennung
• Dateisystemerkennung
• Datenanalyse
• Die Notwendigkeit von Analyswerkzeugen
• EnCase
• ILook
• SleuthKit
• Autopsy Forensic Browser
• Dokumentation
• Quellen

 

• Sonstige digitale Beweismittel

Unterkapitel

• E-Mail
• Web Browsing
• Systemaktivitäten
• Temporäre Auslagerung von Anwendungen
• Keylogger, Sniffer, Backdoors, Fernzugriffstools und Rootkits
• Cronjob und Scheduler
• Kerneldaten
• Archive
• Protokolldaten
• Quellen

 

• Rechtliche Rahmenbedingungen

Unterkapitel

• Cyber Crime Convention
• Unternehmen
• Privatanwender
• Behörden
• Schutz der Beweismittel
• Beweise vor Gericht
• Mögliche Fehler bei der Beweissicherung
• Dokumentation
• Quellen

 

Historie[Bearbeiten]

Erste magnetische Datenspeicher gab es im 19. Jahrhundert. Später, im Jahr 1956, wurde von IBM die erste Festplatte entwickelt. Es handelte sich um eine Speicherplatte mit 50 Scheiben und einem Durchmesser von je 60 cm, worauf je 5 MB gespeichert werden konnten. Zwanzig Jahre später wurden die ersten 5,25" Festplatten von Seagate auf den Markt gebracht. Heute sind 3,5" Festplatten in PC-Systemen, 2,5" und 1,8" Festplatten in Notebooks und mobilen Geräten wie z.B. im MP3-Player üblich. Seit 1981 gibt es SCSI und ein Jahr später wurden IDE, E-IDE, ATA und ATAPI eingeführt. In den vergangenen Jahren ist die Kapazität der Festplatten enorm gestiegen. Waren es vor ca. 10 Jahren noch Platten mit Größen von 1,6 GB, werden heute (Jahr 2006) standardmäßig Festplatten mit der 100-fachen Kapazität und mehr, eingesetzt.

Aufbau[Bearbeiten]

Eine Festplatte hat eine bestimmte geometrische Form und wenige spezifizierte Schnittstellen (E-IDE und SCSI). Im Inneren befinden sich mehrere rotierende Metall-, Aluminium- oder Glasscheiben. Auf diesen Scheiben befindet sich eine sehr dünne magnetisierbare Metalloxidschicht.

Ein Elektromotor dreht eine oder mehrere Scheiben auf einer Achse mit möglichst hoher Drehzahl. Übliche Werte sind: 5400, 7200, 10.000 und 15.000 U/min. Über der magnetisierten Oberfläche sind die Schreib-/Leseköpfe befestigt. Der Arm positioniert diese über den Spuren. Die Köpfe liegen nicht wie bei der Diskette auf dem Datenträger auf, sondern befinden sich in einem Abstand von 25 nm über der Scheibe.

Auf einer Scheibe befinden sich Spuren, die in Kreisen angeordnet sind. Jeder Kreis ist in mehrere Sektoren unterteilt. Man spricht auch von Blöcken, die meist 512 Byte groß sind. Die Sektoren werden zur leichteren Adressierung zu Clustern zusammengefasst. Dies geschieht aber erst auf Ebene des Dateisystems.

Die übereinander liegendenden Spuren der Scheiben werden als Zylinder bezeichnet. Jeder Zylinder zeigt soviele Spuren an, wie Köpfe vertikal angeordnet sind. Es sind meist 1 - 16 Köpfe. In den vergangenen Jahren wurde die physische Geometrie weiter entwickelt. Auf den alten Platten befindet sich auf jedem Zylinder die gleiche Anzahl an Sektoren pro Spur. Moderne Festplatten sind in Zonen unterteilt. Die äußeren Zonen beinhalten mehr Sektoren als die Inneren. Die Anzahl der Sektoren pro Spur wächst mit jeder Zone nach außen um etwa 4%. Eine neue Zone kann erst dann entstehen, wenn eine Spur um 512 Byte länger ist, sodass ein neuer Sektor entsteht. Dem Betriebssystem wird bei modernen Platten eine virtuelle Geometrie präsentiert. Die Anzahl an Sektoren wird nicht verändert, nur die Anordnung erfolgt anders.

Low-Level-Formatierung[Bearbeiten]

Nach dem Herstellungsprozess einer Festplatte befinden sich keine Informationen auf dieser. Um die Platte verwenden zu können, muss sie zu Beginn formatiert werden. Die physikalische Formatierung, auch Grundformatierung oder Low-Level-Formatierung genannt, wird vor der Auslieferung durchgeführt. Auf die einzelnen Scheiben der Festplatte werden Spuren und Sektoren mit Verwaltungsinformationen geschrieben. Wird eine Low-Level-Formatierung nicht zu Beginn durch den Hersteller sondern an einer bereits verwendeten Festplatte durchgeführt, werden die Sektoren und alle Informationen über deren Aufbau gelöscht. Selbst Datenrettungstools können die Daten nicht wiedergewinnen, weil es sich um eine physikalische Löschung handelt.

Ein meist 512 Byte großer Sektor besteht nach der Formatierung aus 3 Bereichen (Präambel, Daten und ECC). Die Präambel besteht aus einem bestimmten Bitmuster und zeigt der Hardware den Beginn des Sektors an. Weiters enthält sie die Zylinder- und Sektorennummer. Die Datenbereichsgröße hängt vom Formatierungsprogramm ab. Das Fehlerkorrekturfeld enthält redundante Daten, die für die Wiederherstellung bei Lesezugriffen genutzt werden können. Die Größe des ECC Feldes ist vom Hersteller abhängig.

Bei der Low-Level-Formatierung werden wie schon erwähnt die Sektoren auf einer Spur erstellt. Der Sektor 0 befindet sich nicht über dem Sektor 0 der vorigen bzw. folgenden Spur, sondern wird versetzt. Dies wird auch als Zylinderversatz bezeichnet und aus Geschwindigkeitsgründen eingesetzt. Die Größe des Versatzes hängt von der Geometrie der Festplatte ab.

Neben der Low-Level-Formatierung existiert noch die High-Level-Formatierung, die aber auf der Ebene des Betriebssystems erfolgt. Der Unterschied zur Low-Level-Formatierung liegt darin, dass die Sektoren erhalten bleiben. Es werden nur die darin gespeicherten Daten überschrieben.

Partitionierung[Bearbeiten]

Mögliche Gründe für eine Unterteilung der Festplatte in mehrere Partitionen sind:

• mehrere Betriebssysteme sollen installiert werden
• Ablageordnung
• Datensicherung
• Pflege, Wartung
• höhere Zugriffsgeschwindigkeit

Auf der DOS-Ebene kann man mit dem FDISK Befehl eine Festplatte in eine oder mehrere Partitionen einteilen. Es sind maximal 4 primäre Partitionen möglich. Von der ersten wird das Betriebssystem geladen. Will man mehrere Partitionen, z.B. für Linux erstellen, so muss man anstelle der letzten primären eine erweiterte Partition anlegen, die weiters in mehrere logische unterteilt werden kann.

Fehlerkorrektur[Bearbeiten]

Moderne Festplatten sind meist in der Lage, fehlerhafte Sektoren automatisch zu erkennen und auszublenden. Dies wird auch als SMART (Self Monitoring Analysis And Reporting Technique) bezeichnet. Das SCSI Enclosure Service (SES) gibt dem Betriebssystem Informationen über Temperatur, Feuchte, Lüfterdrehzahl oder Laufwerksausfall.