Disk-Forensik/ Sicherstellung/ Selektives Kopieren

Aus Wikibooks

In manchen Situationen sind nur gewisse Daten für eine Analyse von Interesse z.B. wenn der Verdacht besteht, ein Mitarbeiter habe belastende Dateien auf einem Firmen-File-Server liegen. In diesem Fall ist es schwer möglich, den gesamten Server zu beschlagnahmen oder ein Image zu erstellen. Je nachdem auf welcher Ebene selektiv kopiert wird, können sehr leicht Informationen vergessen werden. Werden nur eine oder mehrere Partitionen kopiert, werden die Bereich zwischen bzw. vor oder nach den Partitionen nicht mitkopiert. Werden Daten auf Dateiebene kopiert, werden Daten im Datei-Slack, gelöschte Dateien usw. nicht mitkopiert.