- Datenträgeranalyse
-
Die Datenträgeranalyse beschreibt verschiedene Verfahren, um Inhalte von Datenträgern zu untersuchen. In der IT-Forensik wird dies angewandt, um nach einem möglichen Schadenfall Daten des Angriffes auf ein System der Informationstechnik zu dokumentieren und vorhandene Nutzdaten zu sichern.
Eine Datenträgeranalyse kann online auf dem noch laufenden System durchgeführt werden oder offline, in dem man den zu analysierenden Datenträger an einen speziellen Computer anschließt.
Bei der Onlineanalyse kann auch der Ist-Zustand des (noch) laufenden Systems inkl. Programmen, Diensten, Speicherinhalt und Prozessorzustand untersucht,und gesichert werden. Durch Rootkits und andere Malware können diese Informationen verfälscht dargestellt werden. Im Offlinebetrieb können die Datenträger unverfälscht untersucht werden. Eventuelle Änderungen an dem Datenträger können mittels spezieller Analysetools erkannt werden.
Wikimedia Foundation.