Disk-Forensik/ Richtlinien/ Dinge, die man nicht tun sollte
Bei der Sicherstellung forensisch interessanter Daten ist es sehr einfach den Analyseprozess zu beeinflussen und unter Umständen wichtige Informationen unbrauchbar zu machen. Im Folgenden sind häufige Fehler aufgeführt, die unter allen Umständen vermieden werden sollten:
- Keine ausreichende Dokumentation der ausgeführten Aktionen.
- Digitale Beweise sind unzureichend vor Veränderung geschützt.
- Verändern von Informationen am System
- Verändern von Zeitstempeln (Zugriffszeiten) von Dateien.
- Beenden von (verdächtigen) Prozessen.
- Installieren von Sicherheitspatches, bevor das Response-Team die nötigen Untersuchungen durchführen konnte.
- Zur Analyse sollten keine am System installierten Programme eingesetzt werden, da diese vom Angreifer manipuliert werden können. Analyseprogramme sollten immer von sicheren Medien (z.B.: Toolkit-CD) verwendet werden.
- Durch Ausführen von erwarteten Aktionen (Herunterfahren, Abschalten von Netzwerkinterfaces,…) können logische Bomben ausgelöst werden, die Beweismaterial zerstören. Alternative Lösungswege können wichtige Informationen erhalten.