Disk-Forensik/ Beweismittelanalyse/ Dokumentation

Aus Wikibooks

Bei der Dokumentation gibt es elementare Bestandteile welche während einer Analyse berücksichtig und mitgeschrieben werden sollten. Dabei sollten folgende Punkte beachtet und im Bericht inkludiert sein.

untersuchender Ermittler
Für jeden Untersuchungsschritt sollte der zuständige Ermittler angegeben werden, der diese durchgeführt hat. Dabei spielt die Zeit der Analyse eine wichtige Rolle um den zeitlichen Ablauf festzuhalten.
gefundene Dateien
Wird eine Datei dem Report beigefügt sollten wenn möglich der genaue Fundort (Speicherort auf der Festplatte), Größe der Datei, letzter Zugriff, Erstellungsdatum und letztes Änderungsdatum mit angegeben werden. Die Zeiten müssen vorher allerdings auf ihre Richtigkeit überprüft werden, da diese Angaben sehr einfach gefälscht werden können. Als Beschreibung kann der Inhalt der Datei erwähnt werden und warum die Datei bei der Analyse wichtig war um Zusammenhänge nachvollziehen zu können
verwendete Programme
werden Hilfsmittel oder Programme für die Untersuchung verwendet muss dieses auf dem Report angegeben werden. Im Idealfall mit der aktuellen Versionsnummer des verwendeten Programms.

Bei großen Datenmengen kann die Dokumentation sehr aufwendig werden, wodurch meistens auf Hilfsprogramme zurückgegriffen wird um die Erstellung zu automatisieren und den Aufwand zu verringern.