Disk-Forensik/ Sicherstellung/ Suchkriterien digitaler Beweismittel

Nachdem nun Daten, Partitionen oder ganze Festplatten forensisch und vor allem rechtlich korrekt gesichert wurden, liegt es nun an einem Analyseteam die gewonnenen Daten zu untersuchen. Bevor man allerdings mit der Untersuchung beginnt, sollten Schwerpunkte gesetzt werden, wonach eigentlich gesucht wird. Eine mögliche Auswahl an Kriterien findet man in [3]. In der Regel ergeben sich die Suchkriterien anhand des vermuteten Verbrechens. Wird der Beschuldigte verdächtigt Kinderpornographie besessen oder sogar vertrieben zu haben, wird man sich hauptsächlich auf die Suche nach Bildern und Filmen machen. Würde es sich um einen Hackerangriff handeln, wird man das Hauptaugenmerk auf Logdateien, Benutzerkonten und andere Systemdateien legen.

Hat man nun also die Basis-Suchkritereien eingegrenzt kann der eigentliche Suchvorgang begonnen werden. In zahlreichen Richtlinien für die Vorgehensweise der Datengewinnung wird allerdings noch ein weiterer Schritt vorgeschlagen. Es sollte vor der tatsächlichen Untersuchung noch die irrelevanten Daten ausgefiltert werden. Zu diesen irrelevanten Daten zählen beispielsweise (gültige) Systemdateien, Dateiredundanzen auflösen und dergleichen.

Sind die Suchkriterien nun festgelegt begibt man sich mit dem passenden Tool auf die Suche. Solch ein Tool könnte beispielsweise EnCase sein. Die zu suchenden Dateien können anhand folgender Kriterien gefunden werden:

  • Dateiname
  • Dateiendung
  • Dateisignatur
  • Checksummen
  • Logdateien

Dateiname

Bearbeiten

Die Gewinnung einer Datei anhand eines bereits bekannten Dateinamen, ist die wahrscheinlich einfachste Form eine Datei ausfindig zu machen. Allerdings sollte man sich immer bewusst sein, dass ein Dateiname auch immer gefälscht sein kann. Daher ist diese Methode nicht sehr effektiv um Beweismaterial zu sammeln.

Dateiendung

Bearbeiten

Hat man als Suchkriterien festgelegt, dass der vorhandene Datenträgerinhalt auf Bilder und Filme untersucht wird, beginnt man meist mit der Suche nach bekannten Dateitypen anhand der Dateiendung. Ist der Verdächtige eher als Computerlaie einzustufen, ist diese Art der Suche die wahrscheinlich effektivste. Für einen etwas versierteren Computerbenutzer ist es allerdings ein Leichtes, die Endung einer Datei so um zu benennen, das diese auf den ersten Blick nicht mehr als Bild oder Filmdatei erkennbar ist. Jedes Betriebssystem ist in der Lage mit selbstdefinierten Dateiendungen umzugehn. Es besteht also durchaus die Gefahr, dass bei dieser Methode wichtige Beweismittel übersehen werden.

Dateisignatur

Bearbeiten

Um bei der Suche auf Nummer sicher zu gehen, werden in den meisten Fällen Dateisignaturen gesucht. Jede Datei eines bestimmten Typs beinhaltet innerhalb der ersten 20 Bytes eine dementsprechende Signatur. Um die Signatur einer Datei herauszufinden, öffnet man diese in einem Texteditor. Dort ist die Signatur eindeutig erkenn- und zuordenbar. Signaturen bekannter Dateitypen sind:

JFIF    jpg, jpeg Dateien
	Beispiel: ÿØÿà  JFIF    
 
Exif	Digitalkamera jpg Format (Exchangeable Image File Format)
	Beispiel: ÿØÿá …Exif  MM *

PNG	Bilddateiformat
	Beispiel: ‰PNG

MZ	ausführbare Dateien, .exe, .dll
	Beispiel: MZ      

RIFF	Videodatei .avi
	Beispiel: RIFFjB

Checksummen

Bearbeiten

Die EUROPOL und andere polizeilichen Organisationen, sammeln die weltweit gewonnenen Daten zu Verbrechen aus dem Bereich der Kinderpornographie. Dabei werden sämtliche Bild- und Filmdaten gesammelt und daraus im Anschluss eine Checksumme der einzelnen Dateien generiert. Anhand dieser Checksumme ist es nun Analysten möglich, verdächtige Dateien auf einem System zu erkennen und zu gewinnen. Sollte sich also eine bereits bekannte Datei auf einem verdächtigen System finden, lässt sich diese anhand der Checksumme rasch und zielsicher auffinden. In einem späteren Kapitel folgt ein Beispiel für die Checksummenbildung mit MD5. Anhand des Beispiels ist es einfach zu erkennen warum Checksummen durchaus Sinn machen.

Logdateien

Bearbeiten

Logdateien werden vor allem im Unternehmensumfeld bei Hackerangriffen und im Privatanwenderumfeld bei der Systemanalyse untersucht. Diese Dateien können Aufschluss darüber geben, wann, wo und wie etwas verändert wurde.