Forensisches Duplikat

Forensisches Duplikat

In der IT-Forensik bezeichnet ein forensisches Duplikat die bitweise 1:1-Kopie eines digitalen Datenträgers. Hierbei wird durch den Einsatz von spezieller Hardware und Software sichergestellt, dass das Duplikat eine identische Kopie des Originals ist. Alle Ermittlungsarbeiten sollten nur an diesem Duplikat durchgeführt werden.

Auf Unix-Systemen, und damit auch auf vielen Diagnose-CDs (siehe Knoppix STD oder HELIX), wird für diesen Zweck das Programm dd beziehungsweise dd_rescue (bricht bei Lesefehlern nicht ab) eingesetzt. Dabei können aber nur tatsächlich sichtbare Bereiche der Festplatte kopiert werden. Auf ausgeblendete Bereiche, die aufgrund von Fehlern durch unbeschädigte Bereiche ersetzt wurden, kann mit diesen Programmen nicht zugegriffen werden. Für diesen Zweck bleibt nur eine modifizierte Firmware der Festplatte oder ein direktes Auslesen der Platten mit Spezialgeräten.

Um versehentliche Änderungen des zu duplizierenden Datenträgers zu verhindern, werden häufig sogenannte „Writeblocker“ eingesetzt. Ein Writeblocker wird zwischen den zu duplizierenden Datenträger und das Computersystem, mit das Duplikat erstellt werden soll, angeschlossen. Er lässt lediglich Lesezugriffe auf den Datenträger zu und filtert Schreibzugriffe. Writeblocker existieren für viele Festplatten- und Datenträger-Schnittstellen, beispielsweise SATA, IDE, SCSI und USB.

Sollen die aus einem forensischen Duplikat gewonnenen Informationen vor Gericht verwertet werden können, so muss der Vorgang nachvollziehbar und überprüfbar sein; ein weiteres Duplikat des Originals muss dem ersten Duplikat entsprechen. Um diese Überprüfung zu ermöglichen, werden Prüfsummen verwendet.

Aufgrund der leichten Fälsch- und Zerstörbarkeit von elektronischen Beweisen hat die präzise Erzeugung forensischer Duplikate und ihre Rahmenbedingungen einen hohen Stellenwert innerhalb der IT-Forensik. Die rechtlichen Vorgaben sind je nach Land verschieden; Writeblocker sowie Festplattenkopierer, welche sie erfüllen, werden von verschiedenen Forensikausstattern angeboten.


Wikimedia Foundation.

Игры ⚽ Нужно сделать НИР?

Schlagen Sie auch in anderen Wörterbüchern nach:

  • Computer-Forensik — Die IT Forensik oder auch Computer Forensik bzw. Digitale Forensik ist ein Teilgebiet der Forensik. Die IT Forensik behandelt die Untersuchung von verdächtigen Vorfällen im Zusammenhang mit IT Systemen und der Feststellung des Tatbestandes und… …   Deutsch Wikipedia

  • Computerforensik — Die IT Forensik oder auch Computer Forensik bzw. Digitale Forensik ist ein Teilgebiet der Forensik. Die IT Forensik behandelt die Untersuchung von verdächtigen Vorfällen im Zusammenhang mit IT Systemen und der Feststellung des Tatbestandes und… …   Deutsch Wikipedia

  • Datenforensik — Die IT Forensik oder auch Computer Forensik bzw. Digitale Forensik ist ein Teilgebiet der Forensik. Die IT Forensik behandelt die Untersuchung von verdächtigen Vorfällen im Zusammenhang mit IT Systemen und der Feststellung des Tatbestandes und… …   Deutsch Wikipedia

  • Forensik-Computer — Die IT Forensik oder auch Computer Forensik bzw. Digitale Forensik ist ein Teilgebiet der Forensik. Die IT Forensik behandelt die Untersuchung von verdächtigen Vorfällen im Zusammenhang mit IT Systemen und der Feststellung des Tatbestandes und… …   Deutsch Wikipedia

  • IT-Forensik — Die IT Forensik oder auch Computer Forensik bzw. Digitale Forensik ist ein Teilgebiet der Forensik. Die IT Forensik behandelt die Untersuchung von verdächtigen Vorfällen im Zusammenhang mit IT Systemen und der Feststellung des Tatbestandes und… …   Deutsch Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”