Festplattenforensik

Aus Winfwiki

Name des Autors / der Autoren:	Michaela Neuhaus, Amir Dabaghzadeh
Titel der Arbeit:	"Festplattenforensik"
Hochschule und Studienort:	FOM Hamburg

Inhaltsverzeichnis 1 Einleitung 2 Grundlagen 2.1 Computer-Forensik 2.1.1 Live-Response-Analyse 2.1.2 Post-mortem-Analyse 2.2 Technisch 2.2.1 Physische Komponenten 2.2.1.1 Mechanik 2.2.1.2 Festplatten-Controller 2.2.2 Logische Komponenten 2.2.2.1 Bedeutung Kilobyte und Kibibyte 2.2.2.2 Logical Block Addressing (LBA) 2.2.2.3 Host Protected Area (HPA) 2.2.2.4 Device Configuration Overlay (DCO) 2.2.2.5 Partitionierung 2.2.2.6 Dateisysteme 2.2.2.7 New Technologies File System (NTFS) 2.2.2.8 Clustergrößen 2.2.2.9 Filetabelle 2.3 Rechtlich 3 Forensische Datensicherung 3.1 Anfertigen von 1:1-Kopien 3.1.1 Raw-Images 3.1.2 Expert Witness Format 3.2 Logische Datensicherung 3.2.1 Softwaretechnisch 3.2.1.1 Sicherung an einem Datensicherungsrechner 3.2.1.2 Sicherung im Originalsystem 3.2.1.3 Sicherung über das Netzwerk 3.2.2 Hardwaretechnisch 3.3 Physikalische Datensicherung 4 Forensische Auswertung 4.1 Dateiheader 4.2 File Slack 4.2.1 RAM Slack 4.2.2 Drive Slack 4.3 MFT Slack 4.4 MAC-Time 4.5 Alternate Datastream (ADS) 4.6 Auslagerungsdatei 4.7 White- und Blacklist Abgleich 4.8 Dateitypprüfung 4.9 Carving 4.10 Zeichenkettensuche 5 Forensische Software 5.1 Forensic Suiten 5.1.1 X-Ways Forensics 5.1.2 Forensik ToolKit 5.1.3 EnCase Forensic 5.2 Tool Sammlungen 5.2.1 Helix 5.2.2 Sleuth Kit 6 Anti-Forensik 6.1 Verschlüsselung 6.1.1 Auf Festplattenebene 6.1.2 Auf Datei- und Partitionsebene 6.2 Wiping 7 Fazit 8 Abkürzungsverzeichnis 9 Abbildungsverzeichnis 10 Tabellenverzeichnis 11 Fußnoten 12 Literatur- und Quellenverzeichnis

1 Einleitung

Das Wort "Forensik" stammt vom lateinischen Wort "forum" (Marktplatz). Der Marktplatz war früher Schauplatz der Gerichte. Mit "forensisch" wird die Eigenschaft von Spuren bezeichnet, wenn sie vor Gericht als Beweis verwendbar sind. Forensik (oder forensische Wissenschaft) ist die Anwendung wissenschaftlicher Methoden zur Untersuchung und Verfolgung von Straftaten^[1].

Festplattenforensik ist ein Hauptgebiet der Computer-Forensik und beschäftigt sich mit der Untersuchung von Daten auf Festplatten zwecks Beweiserhebung. Heutzutage werden immer mehr Straftaten unter Zuhilfenahme von Computern als Tatwerkzeug oder Hilfsmittel verübt. Dabei liegen nicht mehr nur computerbezogene Straftaten im Fokus der Festplattenforensik, sondern auch "herkömmliche" Straftaten wie Erpressung, Diebstahl, Raub und Steuerhinterziehung. Aber auch Wirtschaftsspionage und Datenklau stellen für Unternehmen ein immer mehr zunehmendes Risiko dar^[2]. Die Rekonstruktion und die Analyse der Daten auf der Festplatte führt immer häufiger zu den wichtigsten Beweismitteln, um die Fragen zu klären "Was ist auf diesem PC geschehen?" und "Wer ist verantwortlich?".

Im weiteren Verlauf dieser Arbeit werden ausschließlich Verfahren zur Post-mortem-Analyse unter NTFS behandelt.

2 Grundlagen

2.1 Computer-Forensik

2.1.1 Live-Response-Analyse

Die "Live-Response-Analyse" ist die Untersuchung am laufendem System. Die Analyse am Live-System findet vor allem dann statt, wenn ein System unternehmenskritische Applikationen anbietet, oder sich ein Angreifer u.U. noch im System befindet. Die Analyseform kommt im Allgemeinen auch dann zum Einsatz, wenn flüchtige Daten (Daten, die beim Ausschalten des Systems verloren gehen) von großem Interesse sind^[3].

Vorteile:

• Prozessspeicher kann gesichert werden
• Flüchtiger Speicher kann gesichert werden
• Sämtliche Vorgänge des laufenden Systems können analysiert werden

Nachteile:

• Die Einhaltung der Sicherungsreihenfolge ist schwierig
• Flüchtige Daten können verändert werden
• Eventuell falsche Analysedaten durch beeinträchtigtes System

Ist das System eingeschaltet, führt jede Aktion auf dem System zu Änderungen an den Daten. Das Laden von Programmen verändert den Arbeitsspeicher und durch Schreibzugriffe werden gelöschte Bereiche überschrieben. Auch im Hintergrund laufende Virenscanner können unbemerkt die Zeitstempel der Dateien verändern, die bei der Auswertung für den letzten Zugriff des Benutzers wichtig sein könnten. Für viele Aktionen gibt es nur einen Versuch, da anschließend sind die Daten unwiderruflich verändert, zerstört oder gelöscht sind^[4]. Da dies ein sehr kritischer Vorgang ist wird die "Live-Response-Analyse" gerne mit der Notaufnahme verglichen^[5].

2.1.2 Post-mortem-Analyse

Die Post-mortem-Analyse wird im Gegensatz zur Live-Response-Analyse an forensischen Kopien von Festplatten durchgeführt. Diese Untersuchungsvariante kommt immer dann zum Einsatz, wenn der flüchtige Speicher nicht mehr verfügbar ist oder die forensischen Maßnahmen sich auf die Analyse von Festplatten konzentrieren. Durch das Erzeugen einer forensischen 1:1-Kopie, ist die Phase der Beweisaufnahme nicht mehr zeitkritisch und kann sehr viel effizienter geschehen. Durch das Vervielfältigen der Kopie, können beispielsweise mehrere unabhängige Instanzen gleichzeitig forensische Auswertungen durchführen^[6]. Ein weiterer Vorteil der Post-mortem-Analyse ist, dass das betroffene System schon nach dem Anfertigen der Kopien wieder in Betrieb genommen werden kann. Des weiteren besteht nicht die Gefahr, dass Daten beschädigt oder verändert werden und dadurch die Beweiskraft der Daten verloren geht^[7].

Vorteile:

• Originalzustand bleibt erhalten, keine Veränderungen am Untersuchungsobjekt
• Das Vorgehen ist planbar und wiederholbar

Nachteile:

• Keine Informationen zur Laufzeitumgebung
• Es können wesentliche Spuren verloren gehen, z. B. durch Verschlüsselung

2.2 Technisch

2.2.1 Physische Komponenten

2.2.1.1 Mechanik

Als Festplatte bezeichnet man einen festen, magnetischen Datenspeicher, auf dem binäre Daten durch die Zustände magnetisiert/nicht magnetisiert gespeichert werden können. Dieser Datenspeicher ist aus einer oder mehreren runden Scheiben, den sogenannten Platten aufgebaut. Die einzelnen Platten sind aus Aluminium oder Glas gefertigt und auf eine rotierenden Achse fest miteinander verbunden. Bei mehreren Platten spricht man auch vom Plattenstapel. Auf der Plattenoberfläche ist ein dünne magnetisierbare Schicht aufgebracht, auf der die Datenspeicherung beidseitig, bitseriell in konzentrischen Kreisen erfolgt. Diese Kreise werden Spuren genannt und werden in mehrere Sektoren eingeteilt. Der Sektor stellt die kleinste adressierbare Einheit dar und hat im Normalfall eine Größe von 512 Byte oder ein vielfaches davon. Die Platte bzw. der Plattenstapel ist in einem staubgeschützten Gehäuse untergebracht. Schreib- und Lesezugriffe geschehen über einen oder mehrere Schreib-/Leseköpfe die an einem Arm angebracht sind, der sich wie ein Kamm zwischen den Plattenstapel bewegt. Dabei geschieht der Zugriff nur vom einem Kopf pro Plattenseite. Die Rotation des Plattenstapels geschieht mit einer konstanten Geschwindigkeit. Diese darf aus aerodynamischen Gründen eine bestimmte Mindestgeschwindigkeit nicht unterschreiten, die für ein notwendiges Luftpolster sorgt, um die Schreib-/Leseköpfe über die Plattenoberflächen "fliegen" zu lassen^[8].

2.2.1.2 Festplatten-Controller

Als Festplatten-Controller werden elektronische Einheiten bezeichnet, die verschiedenste Vorgänge der Festplatte steuern oder regeln. Bei einer IDE-Festplatte (Integrated Drive Electronics) wird der Controller fest mit der Festplatte verbunden und wird nicht als eigenständiges Bauteil gesehen. In den Anfängen der Festplattentechnik wurde der Controller als eigenständige Komponente in Form von Steckkarten direkt mit dem Datenbus der Recheneinheit verbunden, so wie es bei SCSI-Festplatten heute noch üblich ist^[9].

2.2.2 Logische Komponenten

2.2.2.1 Bedeutung Kilobyte und Kibibyte

Für Datenspeicher mit binärer Adressierung ergeben sich Speicherkapazitäten von 2ⁿ Byte. Allerdings wurde lange Zeit der SI-Präfix zur Bezeichnung von Zweierpotenzen genutzt, was dazu führte, das 1 Kilobyte nicht für 1000 Byte, sondern 1024 Byte standen. 1996 schlug die International Electrotechnical Commission (IEC) neue Maßeinheiten vor, die nur in der binären Bedeutung verwendet werden sollten^[10].

Seitdem gilt offiziell:

 1 Kilobyte (KB) = 10^3 Byte = 1000 Byte

Im Gegenzug dazu gilt:

 1 Kibibyte (KiB) = 2^10 Byte = 1024 Byte 

2.2.2.2 Logical Block Addressing (LBA)

LBA wurde eingeführt, um die Grenzen der Zylinder-Kopf-Sektor-Adressierung (CHS) zu umgehen. Dabei werden die Sektoren auf der Festplatte komplett unabhängig von der Festplattengeometrie adressiert, im Gegensatz zu CHS, dass die physische Position des Sektors entspricht^[11].

2.2.2.3 Host Protected Area (HPA)

Mittels HPA kann eine HPA-fähige Festplatte so manipuliert werden, dass sie kleiner erscheint als sie physisch tatsächlich ist. HPA ermöglicht damit, einen oberen Bereich der Festplatte zu verstecken in dem Daten (z. B. für Recovery-Zwecke) hinterlegt sein können^[12].

2.2.2.4 Device Configuration Overlay (DCO)

DCO wurde erstmals in ATA6 implementiert und ermöglicht es die Werkseinstellungen einer Festplatte zu überschreiben. Dies kann ähnlich wie bei HPA genutzt werden um Bereiche zu verstecken^[13].

2.2.2.5 Partitionierung

Bei der Partitionierung wird eine Festplatte in ein oder mehrere logische Bereiche (Partitionen) unterteilt. Eine neu erzeugte Partitionen muss mit einem Dateisystemen formatiert werden, um sie zur Datenspeicherung nutzen zu können. Falls die Festplatte in mehrere Partitionen unterteilt wurde, können diese mit unterschiedlichen Dateisystemen formatiert werden. Es findet eine Unterscheidung in primären und erweiterten Partitionen statt. Erweiterte Partitionen können mehrere Logische Partitionen beherbergen. Des Weiteren ist es auch möglich Partitionen zu verstecken^[14].

2.2.2.6 Dateisysteme

Dateisysteme definieren wie Dateien auf dem Datenträger gespeichert und verwaltet werden, häufig werden über das Dateisystem auch Zugriffsrechte auf Dateien und Ordner geregelt. Jedes Dateisystem hat seine stärken, schwächen und Besonderheiten^[15].

Da auf dem Dateisystems das meiste Beweismaterial zu finden ist, ist eine genaue Kenntnis dieses zur Analyse unbedingt notwendig^[16].

Windows unterstützt folgende Dateisystemformate:

• CDFS
• UDF
• FAT12, FAT16, FAT32
• NTFS

2.2.2.7 New Technologies File System (NTFS)

NTFS ist ein proprietäres Dateisystem von Microsoft und wurde mit den Zielen entwickelt Zuverlässigkeit, Sicherheit und Unterstützung von großen Festplatten zu gewährleisten^[17].

Insbesondere gegenüber dem Vorgänger FAT bietet NTFS eine Reihe wichtiger Neuerungen und leistungsfähiger Funktionen. Dabei handelt es sich um Datei- und Verzeichnissicherheit, Datenträgerkontingente, Verschlüsselung, Komprimierung und das Protokollieren von Änderungen^[18].

2.2.2.8 Clustergrößen

Abhängig vom Betriebssystem, Dateisystem und Partitionsgröße kann die Cluster-Größe aus ein bis zu 128 Sektoren bestehen. Man spricht auch von der Blocklänge. Gegenwärtig haben Cluster, auf NTFS-Partitionen größer 2 GB unter Windows XP, standardmäßig eine Größe von 8 Sektoren (entspricht 4,096 Byte bei 512 Byte großen Sektoren)^[19].

2.2.2.9 Filetabelle

Die gesamte Dateiverwaltung einer NTFS-Partition geschieht durch die Master-Filetabelle (MFT), die das Herz des NTFS-Dateisystems darstellt. Die MFT enthält mindestens einen Eintrag für jede Datei auf einem NTFS-Datenträger, einen sogenannten "file record". Da es sich bei der MFT selbst auch um eine Datei handelt, gibt es auch für die MFT einen Eintrag in der MFT. Die ersten 16 Einträge in einer MFT sind von Microsoft für Systemdateien reserviert, wobei der erste Eintrag die Referenz auf die MFT selbst ist. Jeder Eintrag in der MFT hat eine Größe von 1024 Byte. In diesen 1024 Byte werden sowohl Verwaltungsinformationen als auch Dateiinhalte gespeichert^[20].

2.3 Rechtlich

Bei dem rechtlichen Aspekt muss unterschieden werden zwischen deliktischen Vorschriften (also Verstößen gegen Rechtsnormen) und strafprozessualen Vorschriften (Eingriffsbefugnisse). Die rechtliche Grundlage für die forensische Untersuchung von EDV-Systemen bilden strafprozessuale Vorschriften.

• StPO^[21]:
  • § 94/98 StPO Sicherstellung Beschlagnahme von Beweismitteln
  • §§ 102/103 ff StPO Durchsuchung
  • § 110 StPO Durchsicht von Papieren

Das vermehrte Auftreten von Straftaten im Zusammenhang mir der EDV hatte die Einführung spezieller Straftatbestände zur Folge^[22].

Folgenden Paragraphen sind bei der angewandten Festplattenforensik im EDV-Bereich zu beachten.

• StGB^[23]:
  • § 202a Ausspähen von Daten
  • § 202c Vorbereiten des Ausspähens und Abfangens von Daten
  • § 203 Verletzung von Privatgeheimnissen
  • § 204 Verwertung fremder Geheimnisse
  • § 263a Computerbetrug
  • § 268 Fälschung technischer Aufzeichnungen
  • § 269 Fälschung beweiserheblicher Daten
  • § 270 Täuschung im Rechtsverkehr bei Datenverarbeitung
  • § 303a Datenveränderung
  • § 303b Computersabotage

• BDSG^[24]:
  • § 31 Besondere Zweckbindung

Des Weiteren kommt die Festplattenforensik jedoch auch bei anderen Deliktgruppen zum Einsatz, da je nach Sachverhalt Informationen aus den EDV-Systemen von Beteiligten (Beschuldigter/Geschädigter/Zeuge) verfahrensrelevante Informationen gewonnen werden könnten.

3 Forensische Datensicherung

Die Aufgabe der forensischen Datensicherung besteht darin den Ist-Zustand eines Datenträgers unverfälscht und unveränderbar festzuhalten. Sie ist ein elementarer Bestandteil eines forensischen Vorgehens und entscheidet damit wesentlich über die Auswertbarkeit und die Beweiskraft von Daten. Ein besonderes Augenmerk wird darauf gelegt, dass durch die Sicherung keine Veränderungen am System durchgeführt wird, da die Datensicherung Grundlage jeder anschließenden Untersuchung ist. Fehler die bei der Sicherung von Datenträgern gemacht werden, können später wenn der Zugriff auf den Original Datenträger nicht mehr möglich ist oder dort bereits wieder Veränderungen durchgeführt wurden, nicht mehr korrigiert werden^[25].

3.1 Anfertigen von 1:1-Kopien

Bei der Sicherung eines Datenträgers wird eine 1:1-Kopie angefertigt. Dabei werden bitweise alle Sektoren der Festplatte gesichert. Diese Sicherung ist unabhängig von der logischen Laufwerkszuordnung, dem Dateisystem oder der Dateiablage. Durch die physische bitweise Datensicherung wird auch der freie Speicher mitgesichert. Lesefehler müssen zuverlässig behandelt werden. Nach mehreren fehlgeschlagenen Leseversuchen muss der defekte Sektor als solcher markiert werden und mit einem Platzhalter versehen werden^[26].

Der grundsätzliche Ablauf einer forensischen Datensicherung erfolgt in einer vordefinierten Reihenfolge^[27]:

1. Hash-Wertbildung des Quelllaufwerkes
   
2. Imageerstellung
   
3. Hash-Wertbildung des Images
   
4. Vergleich der beiden Hash-Werte
   

Zunächst wird über das Quelllaufwerk mit einer Hash-Funktion ein Hash-Wert gebildet. Bei diesem Hash-Wert handelt es sich um eine Art Prüfsumme. Zur Erstellung sollten kryptographische Hashfunktionen genutzt werden, da nur diese kollisionsfrei arbeiten und es praktisch unmöglich ist von unterschiedlichen Dateien den selben Hash-Wert zu erzeugen. Nur mit sicheren Verfahren, z. B. SHA1, kann die Integrität der Daten eindeutig festgehalten werden^[28]. Durch den erstellten Hash-Wert ist der Ist-Zustand des Datenträgers festgehalten. Jede Änderung an dem Datenträger würde beim anschließenden Erzeugen eines neuen Hash-Wertes einen anderen Wert ergeben. Als nächster Schritt wird das Image des Datenträgers erstellt. Auf die möglichen Vorgehensweisen der Imageerstellung wird später eingegangen. Nach erfolgreicher Imageerstellung wird über das Image ebenfalls ein Hash-Wert erzeugt. Abschließend erfolgt der Vergleich der beiden Hash-Werte. Sind die überprüften Werte identisch, ist die Sicherung erfolgreich abgeschlossen. Sollte dies nicht der Fall sein sind mögliche Fehlerquellen zu analysieren und es ist eine Erneute Sicherung zu fertigen. Ursachen für abweichende Hash-Werte können z. B. Hardwarefehler des Zieldatenträgers oder des Schreibschutzadapters, Änderungen am Quelldatenträger während der Sicherung sowie Fehler der Sicherungssoftware sein.

3.1.1 Raw-Images

Eine forensische Sicherung kann ohne spezielle Programme durchgeführt werden. Es eignet sich das mit jeder Linux Distribution mitgeliefert Programm „dd“. Mit Hilfe dieses Programmes ist es auf einfache Weise möglich ein bitweises RAW-Image zu erstellen.
Ein möglicher Aufruf könnte so lauten:

dd if=/dev/sdc of=/mnt/sicherung bs=512 conv=noerror,sync 2 > /mnt/sicherung/error.txt

Bei diesem Aufruf bricht die Sicherung bei auftretenden Fehlern nicht ab, sondern schreibt alle auftretenden Fehler in die Textdatei error.txt^[29].

Der Nachteil eines RAW-Images liegt darin, dass es nicht komprimiert werden kann, es können keine zusätzlichen Informationen in der Datei gespeichert werden und das Erstellen der Hash-Werte sowie der Hash-Abgleich müssen manuell durchgeführt werden^[30].

3.1.2 Expert Witness Format

Es gibt eine Reihe von Softwareprodukten, die speziell Funktionen beinhalten forensische Sicherungen zu erstellen. Die namhaftesten Produkte sind EnCase Forensic, Forensic Toolkit (FTK) und X-Ways Forensics. Diese drei Softwareprodukte bieten die Möglichkeit erstellte Images unkomprimiert im Raw-Format, als auch im Expert Witness Format (EWF) zu speichern. Das Format EWF unterstützt das komprimierte als auch das unkomprimierte Speichern von Imagedateien. Das Abspeichern kann in einer großen Datei oder in mehrere kleinere Dateien erfolgen. Bei diesem Format können zusätzliche Informationen z. B. Beweisnummer, Ausführender, Datum und Uhrzeit mit in der Imagedatei gespeichert werden^[31].

3.2 Logische Datensicherung

Bei der logische Datensicherung wird die Festplatte im Normalzustand betrieben. Dies ist im Gegensatz zur physikalischen Datensicherung schneller, kostengünstigster und einfacher durchzuführen. Sofern eine Festplatte keine technischen Defekte aufweist, ist die logische Datensicherung vollkommen ausreichend^[32].

3.2.1 Softwaretechnisch

Es gibt verschiedene Vorgehensweisen um einen Datenträger forensisch zu sichern^[33].

• Sicherung an einem Datensicherungsrechner
• Sicherung im Originalsystem
• Sicherung über das Netzwerk

3.2.1.1 Sicherung an einem Datensicherungsrechner

Zur Sicherung der Festplatte wird diese aus dem Originalsystem ausgebaut und an einen Datensicherungsrechner angeschlossen. Um eine versehentliche Änderung der Daten ausschließen zu können, werden an der zu sichernden Festplatte sogenannte Writeblocker angeschlossen. Solche Geräte verhindern mögliche Schreibvorgänge physisch, so dass die Authentizität der Daten sichergestellt ist^[34].

3.2.1.2 Sicherung im Originalsystem

Bei dieser Vorgehensweise wird an das Originalsystem eine leere Festplatte vom Forensiker angeschlossen. Das Originalsystem wird dann mit einer "Live CD/DVD" gestartet und somit das original Betriebssystem umgangen. Im nächsten Schritt wird eine Sicherung des betroffenen Datenträgers, unter zu Hilfenahme der original Hardware, auf die leere Festplatte durchgeführt^[35].

Diese Vorgehensweise wird häufig eingesetzt, wenn das Originalsystem über spezielle Hardware verfügt, die zum Anschließen des verwendeten Datenträgers nötig ist. Es kann sich dabei z. B. um einen Raid Controller handeln, über den 3 Festplatten zu einem RAID 5 zusammen geschlossen sind. Durch diese Art der Sicherung kann gewährleistet werden dass die Daten in einer lesbaren Form gesichert sind, da bereits vor dem Sichern der Zugriff auf die zusammengesetzten Daten erfolgt. Voraussetzung für diese Sicherungsart ist die Unterstützung der Hardware durch die verwendete Linux-Distribution^[36].

3.2.1.3 Sicherung über das Netzwerk

Bei der Sicherung über das Netzwerk wird das Originalsystem von einer Linux-Distrubution-CD/DVD gebootet. Mit dem Programm netcat wird eine TCP/IP Verbindung zu dem Zielcomputer hergestellt. Dadurch ist das direkte Speichern des Images auf dem Zielcomputer möglich. Auf dem Zielcomputer wird dazu das Programm netcat gestartet und für einen bestimmten Port konfiguriert. Das Programm lauscht auf diesem Port und schreibt alle ankommenden Daten in eine Datei^[37].

Aufruf auf dem Zielcomputer:

netcat -l -p 4711 > image.dd

Auf dem Quellrechner wird durch folgenden Aufruf die Imageerstellung und der Datentransfer auf den Zielrechner gestartet^[38]:

dd if=/dev/hda | netcat <Ziel-Host> 4711

Erfolgt die Übertragung über ein ungesichertes Netz sollte das Programm Cryptcat zur Verschlüsselung des Datenverkehrs verwendet werden^[39].

3.2.2 Hardwaretechnisch

Neben den beschriebenen Softwarelösungen gibt es auch die Möglichkeit die Festplatten über externe Hardwaregeräte zu duplizieren. Der Vorteil ist dabei die einfache Bedienung und die höhere Geschwindigkeit. Es sind Sicherungsgeschwindigkeiten bis zu 6 GB/Minute möglich. Das grundlegende Verfahren bezüglich der Integrität der Daten ist dabei identisch. Diese Geräte sind im Vergleich zu Datensicherungsrechnern sehr teuer. Die Funktionalität ist auf das Duplizieren der Festplatten beschränkt^[40].

3.3 Physikalische Datensicherung

Bei physikalischer Beschädigung des Datenträgers muss das Medium in einem sogenannten Reinraum geöffnet und analysiert werden. Reinräume sind Räume, in denen die Zahl und Größe der in der Luft schwebenden Fein- und Feinstpartikel streng limitiert ist. Nach ISO 14644-1 dürfen sich in einem Reinraum der Klasse 100 maximal 100 Partikel mit einer Maximalgröße von 0,5 Mikrometern in der Luft befinden^[41].

Physikalische Beschädigungen entstehen in der Regel dadurch, dass Schreib-/Lesekopfe mit der Oberfläche in Berührung kommen. Solch sogenannten Headcrashs haben ihren Auslöser meist in starke Erschütterungen, Stürzen oder mechanischen Verschleiß. Aber auch Hitze und Feuchtigkeit können dazu führen, dass sich das Trägermaterial verändert, so dass sich entweder die Magnetschicht teilweise ablöst oder aber der Träger (die ‚Platte’) nicht mehr eben ist, was auch einen Headcrash zur Folge haben kann^[42].

4 Forensische Auswertung

Nachdem ein forensisches Duplikat des Datenträger erstellt wurde, kann mit der Auswertung begonnen werden. Diese hat zum Ziel so viele Beweisspuren wie möglich zu erheben. Zunächst wird die logische Struktur des Datenträgers untersucht. Das Ziel dieser Maßnahme ist es, die Partitionierung und die Dateisystemstruktur zu analysieren. Hierbei sollte ein besonderes Augenmerk auf versteckte Partitionen sowie eine mögliche DCO und HPA gelegt werden. Daraufhin wird versucht, zusätzlich zu den offensichtlich abgelegten Daten auch alle gelöschten sowie versteckten Daten aufzufinden und wiederherzustellen^[43].

4.1 Dateiheader

Am Anfang einer Datei in dem sogenannten Dateiheader ist über die Dateisignatur der Dateityp definiert. Einige Dateien besitzen zusätzlich einen Dateifooter der das Ende der Datei markiert^[44]. Um die Signatur einer Datei herauszufinden kann diese in einem Texteditor oder Hex-Editor geöffnet werden.

Tabelle1: Dateisignaturen^[45]

Dateibeschreibung	typische Dateiendung	Dateisignatur Hex-Wert	Dateisignatur ASCII-Wert
3GPP Multimedia File	.3gp	66 74 79 70 33 67 70	ftyp3gp
Audio Video Interleave File	.avi	52 49 46 46	RIFF
Flash Video File	.flv	46 4C 56 01	FLV
Graphics Interchange Format	.gif	47 49 46 38 39 61	GIF89a
Outlook Personal Folder File	.pst	21 42 44 4E	!BDN
Portable Network Graphics	.png	89 50 4e 47 0d 0a 1a 0a	\211 P N G \r \n \032 \n
Rich Text Format File	.rtf	7B 5C 72 74 66	{\rtf

4.2 File Slack

File Slack kann im Ermittlungsverlauf wichtige Informationen liefern. Unter NTFS kann jeder Cluster nur eine Datei aufnehmen. Ist die Datei größer als ein Sektor oder das vielfache eines Sektors müssen mehrere Sektoren oder Cluster zur Speicherung genutzt werden. Dabei wird es sich in der Mehrzahl der Fälle ergeben, dass die Datei kleiner ist als der durch die Sektoren bzw. Cluster zur Verfügung gestellte Speicherraum. Der über gebliebene Raum wird "File Slack" genannt. Er setzt sich aus 2 Bereichen zusammen, die nun im folgenden näher beleuchten werden^[46].

4.2.1 RAM Slack

Da nur adressiert auf der Festplatte geschrieben und gelesen werden kann, ist der kleinstmögliche Schreibvorgang so groß wie ein Sektor (512 Byte).Eine 1200 Byte große Datei würde folglich zwei Sektoren gänzlich und einen dritten Sektor mit 176 Byte teilweise belegen. Der Schreibvorgang geschieht sektorweise direkt aus dem Arbeitsspeicher. Daher werden die restlichen 336 Byte, die zum Auffüllen des Sektors notwendig sind, mit zufälligen Daten aus dem Arbeitsspeicher ("RAM Slack") befüllt. So kann es dazu dazu kommen, dass Daten auf die Festplatte geschrieben werden, die niemals gesichert wurden (z. B. Zugangsdaten)^[47].

4.2.2 Drive Slack

Da für den Schreibvorgang nicht alle im Cluster zur Verfügung stehenden Sektoren benötigt werden, bleiben die übrige Sektoren brach. Falls die Sektoren zuvor mit zum Löschen freigegebenen Daten belegt waren, sind diese weiterhin in den brach liegenden Sektoren gespeichert. Dieser Bereich der Cluster wird "Drive Slack" genannt und lässt sich gut mit den Resten früherer Aufnahmen beim Überspielen einer Videokassette vergleichen^[48].

4.3 MFT Slack

Dateien die weniger als ein Cluster Raum benötigen, werden direkt in der MFT gespeichert. Hierbei kann es auch wieder zu einem "File Slack"-artigen Konstellation kommen, dem "MFT Slack"^[49].

Kleine Dateien werden komplett in der MFT abgelegt. Diese Art der Speicherung wird residente Datenspeicherung genannt^[50].

Abb. 3: Ansicht der Textdatei "KleineDatei.txt"	Abb. 4: Hex-Ansicht der MFT-Datei mit dem Programm X-Ways Forensics: Der Inhalt der Datei "KleineDatei.txt" ist in der MFT abgelegt

4.4 MAC-Time

Bei der Modification-, Access- and Change-Time (MAC-Time) einer Datei handelt es sich um Zeitstempel. Diese Metadaten beinhalten Informationen darüber, wann eine Datei erzeugt, das letzte Mal verändert und ausgeführt wurde. Die MAC-Time kann daher genutzt werden, um den zeitlichen Ablauf einer Straftat zu rekonstruieren. Bei einige Deliktarten ist auch entscheidend, ob z. B. eine Datei nur runtergeladen oder auch ausgeführt wurde. Die MAC-Time kann allerdings mit recht einfachen Mitteln manipuliert werden, so dass sie keine oder gar falsche Rückschlüsse liefert^[51].

4.5 Alternate Datastream (ADS)

ADS wurde ursprünglich in NTFS implementiert um die Kompatibilität zu Macintosh-Dateien zu gewährleisten. Mit ADS ist es möglich Dateien an andere Dateien und sogar Verzeichnisse zu hängen ohne das diese sich offensichtlich verändern. Die Anzahl und die Größe der angehängten Dateien ist nicht mit dem Windows Explorer, sondern nur sehr Umständlich mit dem Befehl

c:\>dir /r

oder forensischer Software ersichtlich^[52].

Abb. 5 Dateiansicht mit "dir" zeigt nur die Trägerdatei an	Abb. 6 Dateiansicht mit "dir /r" zeigt die Trägerdatei als auch die angehängte Datei

4.6 Auslagerungsdatei

Viele Betriebssysteme nutzen Auslagerungsdateien um den physischen Speicherbereich zu erweitern. Eine Auslagerungsdatei kann eine einzelne Datei oder wie unter Linux möglich, eine ganze Partition umfassen. In der Regel erreicht sie die 1,5- bis 3-fache Größe des physischen Speichers (RAM). Da dieser Speicher jedoch nicht flüchtig ist, kann er während der Post-mortem-Analyse wichtige Erkenntnisse darüber liefern, welche Daten zuletzt auf dem Computer verarbeitet wurden^[53].

4.7 White- und Blacklist Abgleich

Eine einfache Möglichkeit konkrete Dateien ausfindig zu machen kann über den Hash-Wert erfolgen. Dazu wird für jede Datei Ihr Hash-Wert berechnet und gespeichert. Durch einen Abgleich mit den Hash-Werten der gesuchten Dateien können diese unabhängig von Namen und Dateityp schnell gefunden werden. Über gespeicherte Hash-Datenbanken können auf diese Art und Weise schnell Abgleiche erfolgen und Dateien als relevant, irrelevant oder noch nicht bekannt eingestuft werden. Die Systemdateien von Windows XP sind zunächst bei jedem installierten Betriebssystem identisch. Diese können bei den meisten Untersuchungen über eine Whitelist direkt als irrelevant eingestuft und für die Untersuchung unterdrückt werden. Die Strafverfolgungsbehören können über gut gepflegte Hash-Datenbanken sehr schnell relevante Dateien finden. Diese eignen sich z. B. sehr gut zum Feststellen ob sich bekannte kinderpornografische Bilddateien auf dem PC befinden. Dazu stellt das BKA Datenbanken zur Verfügung^[54].

4.8 Dateitypprüfung

Gerade unter dem Betriebssystem Windows ist es üblich Dateien anhand ihrer Dateiendung Anwendungen zuzuordnen. So wird das Betriebssystem Windows ebenso wie sein Computerbenutzer die Dateiendung .jpg mit einer Grafikdatei des Formates JPEG assoziieren. Es ist jedoch ein leichtes durch das Umbenennen einer Datei test.jpg eine Datei test.txt zu erzeugen. Somit würden das Betriebssystem Windows und wohl auch der Computerbenutzer diese Datei als Textdatei assoziieren. Um diese Unstimmigkeiten von Dateiendung und tatsächlichem Dateityp aufzulösen bieten forensische Analyseprogramme die Funktionalität Dateitypen anhand von Dateisignaturen in ihrem Datei-Header zu verifizieren^[55]. Mit einem Hex-Editor kann man sehen, dass eine .jpg-Datei den Header FF D8 hat.

4.9 Carving

Beim Carving wird der Datenbestand unabhängig vom Dateisystem nach bekannten Dateiheadern durchsucht. Hauptsächlich wird diese Suche im Freien Speicher eingesetzt. Dadurch besteht die Möglichkeit gelöschte Dateien, die keine Einträge in der MFT mehr besitzen wiederherzustellen. Wie bereits unter 4.7 beschrieben, haben Dateien des Grafikformates JPEG (.jpg-Dateien) den Header 0xffd8. Des Weiteren haben Dateien auch einen Footer, der das Dateiende beschreibt. JPEG-Dateien besitzen den Footer 0xffd9. Dazwischen liegen die Daten. Werden diese beiden Signaturen gefunden, kann der Bereich dazwischen als "ehemals existente" jpg-Datei wiederhergestellt werden^[56].

4.10 Zeichenkettensuche

Durch die Suchfunktionen der forensischen Auswertesoftware kann der Datenbestand gleichzeitig nach mehreren Begriffen durchsucht werden. Durch die Suchtreffer kann der zu untersuchende Datenbestand verkleinert und auf schnelle Weise Resultate erzielt werden^[57].

5 Forensische Software

Forensische Software unterstützt den Forensiker bei der Sicherung und Auswertung der Datenträger. Vielfach ist der Einsatz von derartiger Software sogar vorgeschrieben. Idealerweise wird bei zur Post-mortem-Analyse der verdächtige Datenträger mit dem Betriebssystem analysiert, unter dem es aktiv war. Des weiteren sollte sich forensische Untersuchungen nie auf eine einzige Software stützen^[58].

Im weiteren Verlauf werden verschiedene Kommerzielle und OpenSource Programme kurz vorgestellt. Die Aufzählung erhält keinen Anspruch auf Vollständigkeit.

5.1 Forensic Suiten

Forensic Suiten stellen alle gängigen Grundfunktionen zur Verfügung, wie das Erstellen und Einlesen von Images (Raw und EWF-Format), das Wiederherstellen von gelöschten Dateien, Zeichenkettensuche und das Berechnen von Hash-Werten. Im weiteren Verlauf werden die spezifischen Besonderheiten der drei verbreitesten Windows Programme beschrieben.

5.1.1 X-Ways Forensics

X-Ways Forensics ist ein Programm der Firma X-Ways Software Technology AG. Das Programm bietet die Möglichkeit Datei-Header-Signaturen manuell hinzuzufügen um Dateien anhand dieser Signaturen wiederherzustellen. Jeder Arbeitsschritt wird durch das Programm automatisch protokolliert und gespeichert^[59]. Ein besonderer Vorteil dieser Softwarelösung liegt unter anderem darin, dass die Firma und die Entwickler in Deutschland ansässig sind. Der Support-Kontakt ist sehr direkt und Probleme und Bugs werden individuell gelöst.

5.1.2 Forensik ToolKit

Forensik ToolKit (FTK) ist ein Softwareprodukt der Firma AcessData. FTK bietet eine anwenderfreundliche Oberfläche. Die verschiedenen Dateitypen werden automatisch in die Kategorien "Grafik" und "E-Mail" sortiert. Das Programm verwendet zur Speicherung und Verwaltung der Fall- und Untersuchungsdaten eine Oracle Datenbank. Es ist möglich verschiedenen Benutzerberechtigungen bei der Bearbeitung von Fällen einzurichten. Das Programm bietet die Funktion passwortgeschützte Dateien zu bearbeiten^[60].

5.1.3 EnCase Forensic

EnCase Forensic ist ein Produkt der Firma Guidance Software. Der Hauptvorteil dieser Software liegt darin, dass durch die enthaltene Scriptsprache EnScript Arbeitsabläufe automatisiert und standardisiert werden können. Mitgeliefert wird zur Erstellung bitweiser Datensicherungen unter Linux das Programm "linen". Das Programm besitzt eine grafische Oberfläche und kann im Gegensatz zu dem Linux-Integriertem Tool "dd" Images komprimieren und im EWF-Format speichern^[61].

5.2 Tool Sammlungen

Tool Sammlungen sind eine zweckmäßige Zusammenstellung von einzelnen freien oder kommerziellen Programmen. Diese können in Form einer Linux Distribution oder als Kollektion für verschiedene Betriebssysteme bezogen werden.

5.2.1 Helix

Helix ist eine Live-Response CD der Firma e-fense Inc., die bis zu der Version 3 kostenlos zur Verfügung gestellt wurde. Es handelt sich hierbei um eine Hybrid-CD, die neben einem speziell angepassten Knoppix Derivat zusätzlich einen unter Windows laufenden Bereich zur Verfügung stellt. Helix beinhaltet eine Vielzahl an Tools um auf einem laufenden Windows-System flüchtige Daten zu sichern. Wird der zu untersuchende Rechner mit dem Knoppix Derivat gebootet, kann eine Live-Response-Analyse mit den zahlreichen integrierten Tools durchgeführt werden. Das Erstellen von Images ist möglich, ebenso ist das Tool netcat integriert und bereits vorkonfiguriert, so dass gesammelten Daten auf einen Analyserechner übertragen werden können^[62].

5.2.2 Sleuth Kit

Sleuth Kit (TSK) ist eine Kollektion von UNIX-basierten Kommandozeilen-Tools für die Analyse von Dateien und Dateisystemen. Das integrierte Tool Autopsy Forensic Browser liefert zur Auswertung eine grafische Benutzeroberfläche. Die integrierten Tools können sowohl zur Live-Response-Analyse, als auch zur Post-mortem-Analyse eingesetzt werden^[63].

6 Anti-Forensik

Anti-Forensik hat zum Ziel eine Datenanalyse zu behindern oder sogar durch das Legen falscher Spuren und das leiten auf falsche Auswertungsergebnisse, einen Sachverhalt zu verschleiern. Eine Behinderung kann geschehen durch das Verändern und restlose Löschen von Daten, wie es durch Verschlüsselungs- oder Wiping-Software realisiert wird. Eine Methoden der Verschleierung ist beispielsweise, durch den geschickten Einsatz von simplen und vorhersehbaren Tricks und Verstecken, bei einem Forensiker den Eindruck zu erwecken, dass er es mit einem Skript-Kiddie^[64] zu tun hat und daher nur eine oberflächliche Analyse durchführt, die nicht das eigentliche Ausmaß eines Sachverhaltes aufdeckt^[65].

6.1 Verschlüsselung

Das Ziel jeder Verschlüsselung ist es Daten vorzuhalten, deren Inhalt jedoch unberechtigten Dritten gegenüber zu verbergen und damit Vertraulichkeit zu gewährleisten. Dazu sind drei Komponenten notwendig: eine Nachricht, ein Verschlüsselungsalgorithmus und ein Schlüssel^[66]. Falls der zur Verschlüsselung eingesetzte Algorithmus bekannt ist, kann versucht werden die Verschlüsselung mit Brute-Force-Techniken zu knacken^[67].

Im Folgenden wird davon ausgegangen, dass dem Forensiker der Schlüssel zur Entschlüsselung nicht vorliegt.

6.1.1 Auf Festplattenebene

Den besten Schutz vor der physischen Auswertung von Festplatten bieten Verfahren, die die gesamte Systemplatte verschlüsseln in Verbindung mit einer Pre-Boot Authentifizierung. Software die eine derartig Verschlüsselung leistet, wird als kleines Programm im Master Boot Record (MBR) der Primären Festplatte installiert und wird somit zwangsläufig bei jedem Start des Computers vor dem Betriebssystem ausgeführt. Dadurch ist es möglich, dass die Verschlüsselungssoftware die gesamten Zugriffe des Betriebssystems auf die Festplatte bzw. Festplatten übernimmt. Die Verschlüsselung geschieht für den Anwender und das Betriebssystem transparent und in Echtzeit. Dieses Konzept stellt damit sicher, dass die einzige Möglichkeit die Daten zu entschlüsseln darin besteht, eine korrekte Legitimation an der Pre-Boot-Eingabemaske durchzuführen. Diese kann z. B. durch Eingabe eines Kennworts oder anhand einer Smartcard oder USB-Sticks geschehen. Die besondere Stärke dieses Verfahrens liegt darin, dass durch die Verschlüsselung der gesamten Systemplatte keine Möglichkeit besteht, durch forensische Auswertungen das Kennwort zu ermitteln^[68].

Da Festplattenverschlüsselung transparent geschieht ist sie im laufenden System und Standby-Betrieb wirkungslos. Das heißt im Umkehrschluss, dass das Verschlüsseln einer Festplatte nur dann absolute Sicherheit bietet wenn sich das System im ausgeschalteten Zustand befindet. Dies wird durch eine Studie belegt, laut der es gelungen ist verschiedene Festplattenverschlüsselungsverfahren durch Restladungen in Speicherchips auszuhebeln^[69].

6.1.2 Auf Datei- und Partitionsebene

Sofern es sich bei der verschlüsselten Partition nicht um die Systempartition handelt besteht die Möglichkeit, dass Daten die verschlüsselt wurden auch in unverschlüsselter Form auf der Festplatte aufgefunden werden können. Dies könnte unter Umständen sogar für den Schlüssel bzw. das Kennwort zutreffen, dass zur Verschlüsselung genutzt wurde. Der Grund hierfür ist, dass Daten in den Arbeitsspeicher geladen werden müssen um sie verschlüsseln zu können. Daher besteht die Möglichkeit, dass Fragmente der verschlüsselten Daten in unverschlüsselten Daten im Form von RAM-Slack oder in der Auslagerungsdatei aufzufinden sind^[70].

Es gibt 3 verschiedene Verfahren zur Verschlüsselung von Dateien:

• Direkt aus einer Anwendung heraus (z. B. Speichern von Steuererklärung in Elster)
• Durch Zusatzsoftware die auf Verschlüsselung spezialisiert ist (z. B. GnuPG)
• Durch das Betriebssystem (z. B. durch EFS)

Encrypting File System (EFS) ist ein von Microsoft entwickeltes System zur Datenverschlüsselung unter NTFS. Die Authentifizierung geschieht über ein im Benutzerkonto hinterlegtes Zertifikat. Daher arbeitet EFS für den Benutzer vollkommen transparent^[71].

Für EFS gibt es bereits Anbieter kommerzieller Entschlüsselungs-Software^[72].

Wird auf Dateiebene verschlüsselt, wird lediglich der Inhalt einer Datei verschlüsselt, in der Regel jedoch nicht der Dateiname. Dies erlaubt einem Forensiker eventuelle Rückschlüsse auf den Inhalt einer Datei, ohne deren tatsächlichen Inhalt zu kennen^[73].

6.2 Wiping

Wiping-Techniken sollen dafür sorgen, dass gelöschte Dateien durch forensische Maßnahmen nicht mehr rekonstruiert werden können. Dazu wird anders als beim herkömmlichen Löschvorgang nicht nur die Referenz auf die zu löschende Datei gelöscht, sondern der gesamte Bereich der von der Datei belegt wird überschrieben. Dieses Vorgehen verhindert auch das Entstehen von Drive-Slacks, die zu einer forensischen Analyse herangezogen werden könnten. Das Überschreiben geschieht mit Nullen, Zufallsdaten oder Mustern. Häufig wird der zu löschende Bereich mehrmals hintereinander mit möglichst unterschiedlichen Mustern überschrieben^[74], damit möglicher Restmagnetismus auf angrenzenden Bereichen des physischen Datenträgers neutralisiert und nicht ausgewertet werden kann^[75]. Bei erstmaliger Nutzung von Wiping-Software, sollte initial die gesamten unbeschriebenen Bereiche einer Festplatte mit dem beschriebenen Vorgehen bereinigt werden. Ebenso bietet Wiping-Software häufig auch die Möglichkeit, beim Herunterfahren eines Computers die Auslagerungsdatei zu bereinigen^[76].

7 Fazit

Festplattenforensik ist das Rückgrat der Computer-Forensik. Aufgrund der vielfältigen Eigenheiten von Betriebs- und Dateisystemen ist es erforderlich, dass Forensiker über ein umfangreiches Wissen diesbezüglich verfügen. Besondere Sorgfalt muss bei der Erzeugung des forensischen Duplikates walten, denn schon eine kleine Fahrlässigkeit könnte die Beweiskraft des Datenträger zunichte machen. An dieser Stellen, gibt es starke Parallelen zu den Vorgehensweisen von Datenrettungsunternehmen. Forensische Software erleichtert die Sicherung und Auswertung von Datenträgern und liefert durch ein standardisiertes und protokolliertes Vorgehen, juristisch anerkannte Beweise. Ein Computer der nicht durch Anti-Forensik geschützt ist, liefert durch eine Post-mortem-Analyse ein umfangreiches Spektrum an Möglichkeiten zur Beweiserhebung. Der geschickte Einsatz von Anti-Forensik könnte jedoch die Verwertbarkeit des Datenträgers zu Beweiszwecken unmöglich machen.

8 Abkürzungsverzeichnis

Abkürzung	Bedeutung
ADS	Alternate Data Stream
BDSG	Bundesdatenschutzgesetz
BKA	Bundeskriminalamt
CDFS	CD File System
CHS	Zylinder-Kopf-Sektor-Adressierung (Cylinder Head Sector)
DCO	Device Configuration Overlay
EFS	Encrypting File System
EWF	Expert Witness Format
HPA	Host Protected Area
IEC	International Electrotechnical Commission
ISO	Internationale Organisation für Normung
LBA	Logical Block Addressing
MAC-Time	Modification-, Access- and Change-Time
MBR	Master Boot Record
MFT	Master File Table
NTFS	New Technologie File System
RAM	Random Access Memory
StPO	Strafprozessordnung
StGB	Strafgesetzbuch
UDF	Universal Disk Format

9 Abbildungsverzeichnis

Abb.-Nr.	Abbildung
1	Detailaufnahme einer durch Headcrashes beschädigten Plattenoberfläche
2	Darstellung von File Slack
3	Ansicht der Textdatei "KleineDatei.txt"
4	Hex-Ansicht der MFT-Datei mit dem Programm X-Ways Forensics: Der Inhalt der Datei "KleineDatei.txt" ist in der MFT abgelegt
3	Darstellung von File Slack
5	Dateiansicht mit "dir" zeigt nur die Trägerdatei an
6	Dateiansicht mit "dir /r" zeigt die Trägerdatei als auch die angehängte Datei
7	Dateiheader einer jpg-Datei in der Hex-Ansicht in dem Programm X-Ways Forensics

10 Tabellenverzeichnis

Tabellen-Nr.	Tabelle
1	Dateisignaturen

11 Fußnoten

1. ↑ Vgl. Freiling et al. (2009), Seite 5
2. ↑ Vgl. DiFilippo/Peter (2009), o.S.
3. ↑ Vgl. Geschonneck (2008b), Seite 28
4. ↑ Vgl. Geschonneck (2008a), Seite 85
5. ↑ Vgl. Geschonneck (2008b), Seite 27
6. ↑ Vgl. Geschonneck (2008a), Seite 101
7. ↑ Vgl. Geschonneck (2008b), Seite 29
8. ↑ Vgl. Stahlknecht/Hasenkamp (1999), Seite 58 ff.
9. ↑ Vgl. Sammes et al. (2007), Seite 119
10. ↑ Vgl. IEC (2005), o.S.
11. ↑ Vgl. Carrier (2005), Seite 33 f.
12. ↑ Vgl. Carrier (2005), Seite 36 ff.
13. ↑ Vgl. Carrier (2005), Seite 38
14. ↑ Vgl. Carrier (2005), Seite 81 ff.
15. ↑ Vgl. Russinovitch/Solomon (2005), Seite 667
16. ↑ Vgl. Carrier (2007), Seite 208
17. ↑ Vgl. Carrier (2005), Seite 273 f.
18. ↑ Vgl. Russinovitch/Solomon (2005), Seite 672 und 697
19. ↑ Vgl. Microsoft (2002), o.S.
20. ↑ Vgl. Carrier (2005), Seite 274 ff.
21. ↑ URL:http://bundesrecht.juris.de/stpo/index.html
22. ↑ Vgl. BMJ (2007), o.S.
23. ↑ URL:http://bundesrecht.juris.de/stgb/
24. ↑ URL:http://bundesrecht.juris.de/bdsg_1990/
25. ↑ Vgl. Geschonneck (2008a) Seite 89
26. ↑ Vgl. Geschonneck (2008b), Seite 31
27. ↑ Vgl. Geschonneck (2008b), Seite 30
28. ↑ Vgl. Werner (2007), Seite 2 und 7
29. ↑ Vgl. Rubin et al. (2006), o.S.
30. ↑ Vgl. Carrier (2005) Seite 57
31. ↑ Vgl. Metz (2009), Seite 8 und 18
32. ↑ Vgl. Geschonneck (2008a), Seite 87
33. ↑ Vgl. Geschonneck (2008a), Seite 87
34. ↑ Vgl. Geschonneck (2008a), Seite 87
35. ↑ Vgl. Reibold (2008), Seite 13
36. ↑ Vgl. Reibold (2008), Seite 30 f.
37. ↑ Vgl. Giacobbi (2006), o.S.
38. ↑ Vgl. Morgenstern (2004), Seite 200 f.
39. ↑ Vgl. Geschonneck (2008a), Seite 189
40. ↑ URL:http://www.logicubeforensics.com
41. ↑ Vgl. ISO 14644-1:1999 (2008), Klasse ISO 5 (Cleanroom)
42. ↑ Vgl. Kroll Ontrack Inc. (2008), Seite 8
43. ↑ Vgl. Geschonneck (2008a), Seite 101
44. ↑ Vgl. Carrier (2005), Seite 206
45. ↑ Auszug aus der Datei "File Types Signature Search.txt" von dem Programm X-Ways Forensics
46. ↑ Vgl. Geschonneck (2008a), Seite 103 f.
47. ↑ Vgl. Geschonneck (2008a), Seite 104 f.
48. ↑ Vgl. Geschonneck (2008a), Seite 105
49. ↑ Vgl. Geschonneck (2008a), Seite 106
50. ↑ Vgl. Rzepka/Bünning (2008), Seite 108
51. ↑ Vgl. Geschonneck (2008a), Seite 107 f.
52. ↑ Vgl. Geschonneck (2008a), Seite 111
53. ↑ Vgl. Geschonneck (2008a), Seite 113
54. ↑ Vgl. Geschonneck (2008a), Seite 102
55. ↑ Vgl. Fleischmann (2009), Seite 23
56. ↑ Vgl. Carrier (2005), Seite 206 f.
57. ↑ Vgl. Fleischmann (2009), Seite 35 f.
58. ↑ Vgl. Geschonneck (2008a), Seite 136
59. ↑ Vgl. X-Ways (o.D.), o.S.
60. ↑ Vgl. AccessData (2007), o.S.
61. ↑ Vgl. Geschonneck (2008a), Seite 151 ff.
62. ↑ Vgl. Geschonneck (2008a), Seite 143 ff.
63. ↑ Vgl. Carrier (o.D.), o.S.
64. ↑ Vgl. Kraft/Weyert (2007), Seite 163
65. ↑ Vgl. Geschonneck (2008a), Seite 97 ff.
66. ↑ Vgl. Callas (2006), Seite 29 ff.
67. ↑ Vgl. Casey (2002), Seite 6
68. ↑ Vgl. TrueCrypt (o.D.), o.S.
69. ↑ Vgl. Schwan (2008), o.S.
70. ↑ Vgl. Violka (2008), Seite 188 f.
71. ↑ Vgl. Russinovitch/Solomon (2005), Seite 704 f.
72. ↑ Vgl. ElcomSoft (2007), Seite 8
73. ↑ Vgl. Carrier (2005), Seite 192
74. ↑ Vgl. BSI (o.D.), o.S.
75. ↑ Vgl. Adly (1993), Seite 2380
76. ↑ Vgl. Davis et al. (2004), Seite 184

12 Literatur- und Quellenverzeichnis

AccessData (2007)	Accessdata (Hrsg.): Forensic Toolkit Sales and Promotional Summary, 2007, http://www.accessdata.com/media/en_us/print/techdocs/Forensic%20Toolkit.pdf (13.06.2009 17:15)
Adly et al. (1993)	Adly, A.; Mayergoyz, I.; Burke, E.: Computation of Magnetic Fields in Hysteretic Media, IEEE Trans.on Magnetics, Vol. 29, Nr 6, November 1993
BSI (o.D.)	Bundesamt für Sicherheit in der Informationstechnik (Hrsg.): So löschen Sie Daten richtig, Bonn, o.D., URL: http://www.bsi-fuer-buerger.de/daten/03_07.htm (13.06.2009 17:17)
BMJ (2007)	Bundesministerium der Justiz (Hrsg.): Bundesgesetzblatt: Einundvierzigstes Strafänderungsgesetz zur Bekämpfung der Computerkriminalitär, 2007, Teil I, Nr. 38, Bonn, 2007, http://www.bgblportal.de/BGBL/bgbl1f/bgbl107s1786.pdf (13.06.2009 17:17)
Callas (2006)	Callas, J.: An Introduction to Cryptography, PGP Corporation, 2006, http://www.pgp.com/insight/white_papers/intro_cryptography.html (29.05.2009 22:14)
Carrier (o.D.)	Carrier,B.: The Sleuth Kit Description, o.D., http://www.sleuthkit.org/sleuthkit/desc.php (13.06.2009 10:21)
Carrier (2005)	Carrier, B.: File System Forensic Analysis, Pearson Education inc., Upper Saddle River, 2005
Cassey (2002)	Casey, E.: Practical Approaches to Recovering Encrypted Digital Evidence, in International Journal of Digital Evidence, 2002, Vol. 1, Ausgabe 3
Davis et al. (2004)	Davis, C.;Cowen, D.;Philipp, A.: Hacking Exposed Computer Forensics: Secrets & Solutions, Osborne, 2004
DiFilippo/Peter (2009)	Di Filippo, M.;Peter. U.:Der Feind im eigenen Netzwerk:Mit IT-Forensik Kriminellen auf der Spur, 2009, http://www.sicherheit.info/SI/cms.nsf/si.ArticlesByDocID/1104310 (14.06.2009 16:29)
ElcomSoft (2007)	ElcomSoft Co.Ltd. (Hrsg.): Whitepaper: Vorteile und Nachteile von EFS und effektive Wiederherstellung verschlüsselter Daten, 2007, http://www.elcomsoft.de/WP/advantages_and_disadvantages_of_efs_and_effective_recovery_of_encrypted_data_de.pdf (13.06.2009 17:42)
Freiling/Holz (2009)	Freiling, F.; Holz, T.: Forensische Informatik, Universität Mannheim, http://pi1.informatik.uni-mannheim.de/filepool/teaching/forensik-2009/Forensik-20090226.pdf (13.06.2009 17:42)
Geschonneck (2008a)	Geschonneck, A.: Computer-Forensik, 3. Auflage, dpunkt.verlag, Heidelberg, 2008
Geschonneck (2008b)	Geschonneck, A.: Computer-Forensik in der Praxis, http://computer-forensik.org/download/Computer%20Forensik%20Cebit%202006%20Alexander%20Geschonneck.pdf 13.06.2009 17:42)
Giacobbi (2006)	Giacobbi, G.: The GNU Netcat project, 2006, http://netcat.sourceforge.net/ (13.06.2009 18:30)
Fleischmann (2009)	Fleischmann S.: Benutzerhandbuch X-Ways, 2009, http://www.x-ways.net/winhex/manual-d.pdf (13.06.2009 17:42)
IEC (2005)	International Electrotechnical Commission (IEC) (Hrsg.): Letter symbols to be used in electrical technology – Part 2: Telecommunications and electronics, Internationale Norm IEC 60027-2: 2005, 3. Auflage, 2005
Kraft/Weyert (2007)	Kraft, P. B.; Weyert, A.: Network Hacking:Professionelle Angriffs- und Verteidigungstechniken, Frazis, Poing, 2007
Kroll Ontrack Inc. (2008)	Kroll Ontrack Inc. (Hrsg.): Whitepaper Datenrettung, 2008, http://www.ontrack.de/library/pdf/KrollOntrack_Whitepaper_Datenrettung.pdf (13.06.2009 17:43)
Metz (2009)	Metz, J.: EWF specification, Expert Witness Compression Format specification, 2009, http://www.mirrorservice.org/sites/download.sourceforge.net/pub/sourceforge/l/li/libewf/EWF_file_format.pdf (13.06.2009 17:43)
Microsoft (2002)	Microsoft (Hrsg.), The Default Cluster Size for the NTFS and FAT File Systems, Article ID: 314878, 2002, http://support.microsoft.com/kb/314878/EN-US/ (13.06.2009 17:43)
Morgenstern (2004)	Morgenstern, H.: Digitale Autopsie, in: c't, 2004, Ausgabe 7, Seite 200 bis 202
Recovery Labs (2005)	Recovery Labs (Hrsg.): HAUPTFAKTOREN, DIE EINEN DATENVERLUST AUSLÖSEN, http://www.recoverylabs.net/berichte/Hauptfaktoren.pdf (13.06.2009 17:43)
Reibold (2008)	Reibold, H.: Digitale Forensik mit Helix: Helix kompakt, 1. Auflage, Bomots Verlag, Saarbrücken, 2008
Rubin et al. (2006)	Rubin, P.; MacKenzie, D.; Kemp, S.: dd(1) - Linux man page, 2006, http://linux.die.net/man/1/dd (14.06.2009 15:05)
Russinovitch/Solomon (2005)	Russinovitch, M.; Solomon, D.: Microsoft Windows Internals: Windows 2000, Windows XP und Windows Server 2003 , 4. Auflage, Microsoft Press Deutschland, Unterschleißheim, 2005
Rzepka/Bünning (2008)	Rzepka, D.; Bünning, U.: Microsoft Windows Server 2008. Einrichten und Verwalten von Unternehmensnetzwerken, 1. Auflage, Carl Hanser Verlag, München, 2008
Sammes et al. (2007)	Sammes, A. J.;Sammes, T.;Jenkinson, B.: Forensic Computing: a practitioners guide, 2. Auflage, Springer-Verlag, Berlin, 2007
Schwan (2008)	Schwan, B: Eine lange Liste falscher Annahmen, Technology Review, 25.02.08, http://www.heise.de/tr/Eine-lange-Liste-falscher-Annahmen--/artikel/103989 (13.06.2009 17:48)
Stahlknecht/Hasenkamp (1999)	Stahlknecht, P.; Hasenkamp, U.: Einführung in die Wirtschaftsinformatik, 9. Auflage, Springer-Verlag, Berlin, 1999
TrueCrypt (o.D.)	TrueCrypt Foundation (Hrsg.): System Encryption, http://www.truecrypt.org/docs/?s=system-encryption ((13.06.2009 18:14))
Violka (2008)	Violka, K.: TrueCrypt verschlüsselt Windows komplett, in: c't, 2008, Ausgabe 8, Seite 188 bis 189
Werner (2007)	Werner, H.: Kryptografische Hashverfahren, Universität Kassel, 2007, http://www.neuro.informatik.uni-kassel.de/Veranstaltungen/Sommer08/Computersicherheit/S5Hash.pdf (13.06.2009 17:48)
X-Ways (o.D.)	X-Ways Software Technology AG (Hrsg.): X-Ways Forensics: Integrierte Software für Computerforensik, o.D. http://x-ways.com/forensics/index-d.html (13.06.2009 10:14)