Disk-Forensik/ Beweismittelanalyse/ Datenanalyse

Aus Wikibooks

Gelöschte Daten[Bearbeiten]

Gelöschte Daten können, abhängig vom Betriebssystem, wiederhergestellt werden. In fast allen Fällen werden sämtliche Daten in Tabellen (FAT oder Inode) gespeichert. Werden Daten gelöscht, wird in der Tabelle entweder ein zusätzliches Bit gesetzt oder der Speicherbereich in einer zusätzlichen Tabelle eingetragen so dass dieser Bereich dem Betriebssystem wieder zur Verfügung steht, die Daten physisch aber nicht gelöscht sind.

Unallocated Spaces[Bearbeiten]

Unter nicht zugeordneten Speicherbereichen (engl. Unallocated Spaces) versteht man Bereiche auf der Festplatte, die nicht mehr dem Betriebssystem zugeordnet sind und somit auch nicht erscheinen. Diese Bereiche können sich nicht nur am Ende einer Festplatte sondern quer über diese verteilt befinden. Dadurch ist es sehr gut möglich, Daten zu verstecken, die im Dateisystem nicht angezeigt werden. Ein gutes Analysetool ist in der Lage diese Bereiche zu finden, zu analysieren und darzustellen

Slack Bereiche[Bearbeiten]

Die kleinste Speichereinheit (abhängig von Hard- und Software) ist ein Sektor und besteht bei Festplatten üblicherweise aus 512 und bei CDs 2048 Bytes. Entspricht die Größe einer Datei nicht genau einem Vielfachen der Sektorgröße entsteht im letzten Sektor ein sogenannter Slack Space, in dem keine Daten mehr gespeichert sind, vom Betriebssystem aber keine Daten mehr gespeichert werden können. Diesen Bereich kann man nutzen um Daten zu verstecken (Slack-Space Viren, …). Generell gibt es drei Arten:

File-Slack
RAM-Slack
MFT-Slack

Unter Umständen kann es sogar beim Partitionieren von Festplatten zu Slack Bereichen kommen, wenn nicht ein Vielfaches als Partitionsgröße angegeben wird. Für die Analyse sind diese Bereiche von großer Bedeutung, da sich dort Daten verstecken oder Bruchstücke von gelöschten Dateien enthalten sein können.

Auslagerungsdateien und Swap-Partitionen[Bearbeiten]

Auslagerungsdateien und Swap-Partitionen sind ein Teil des virtuellen Arbeitsspeichers. Wird mehr Arbeitsspeicher benötigt als vorhanden ist, werden Teile (Segmente oder Pages) aus dem Arbeitsspeicher ausgelagert und auf der Festplatte abgelegt. Dies ist performancemäßig ein Nachteil. Für einen Ermittler bietet dieser Bereich die Möglichkeit, Rückschlüsse auf Aktivitäten der letzten Arbeitssitzung (unter Umständen sogar ältere Sitzungen) vorzufinden und zu analysieren. Es kann sogar vorkommen, dass Applikationen an sich verschlüsselte Texte im Klartext ablegen und so angesehen werden können.

Komprimierte Daten[Bearbeiten]

Bei der Untersuchung sind komprimierte Daten (.zip – Archive) insofern ein Problem, da die eigentlichen Daten nicht von einer automatisierten Analyse betroffen und ausgewertet werden, da zuerst die Komprimierung rückgängig gemacht werden muss. Dies kann händisch vom Ermittler oder automatisch durch ein Analysetool, sofern es die Funktionalität besitzt, geschehen.

Alternate Data Streams[Bearbeiten]

Alternative Datenstreams sind eine Eigenschaft des NTFS Dateisystems und bieten die Möglichkeit zusätzliche Informationen zu speichern. Dabei können Binärdateien, ausführbare Programme oder auch nur reiner Text angehängt werden. Unerfahrenen Benutzern oder Ermittlern ist es nicht ohne zusätzliche Software oder den genauen Namen möglich solche Datenstreams zu finden. Bei der forensischen Analyse ist es aber wichtig dass ein Analysetool diese ADS automatisiert zur Verfügung stellt und findet. In Windows 7 gibt es eine Option /r zum Command "dir", um Alternate Data Streams anzuzeigen (dir /r).