Festplatten-Analyse leichtgemacht
10. Juli 2017Falls Daten wiederhergestellt werden müssen, oder gelöschte Spuren auf den Massenspeichern analysiert werden sollen, greifen die Systembetreuer zu Spezial-Werkzeugen. In der Regel wird als erstes eine Eins-zu-Eins-Kopie des fraglichen Datenträgers erstellt. Dazu stehen bestimmte Tools zu Verfügung, die eine Festplatte Sektor für Sektor kopieren, und ein entsprechendes Image (Datenträgerabbild) erstellen. Bei SSD- und Flashspeichern werden statt den Sektoren naturgemäß die einzelnen Speicherzellen (Pages) ausgelesen und deren Inhalt kopiert.
Diese Datenträgerabbilder lassen sich im zweiten Schritt genauer unter die „Lupe“ nehmen. Zur einer umfassenden Analyse ist einiges an Knowhow von Nöten. Unter anderem weil die entsprechenden Forensik-Tools (oftmals Open-Source-Software) zunächst eingerichtet werden muss, und danach die Funktionen über spezielle (Kommandozeilen-) Befehle abgerufen werden. Mit den entsprechenden Erweiterungen sparen sich die Systembetreuer an dieser Stelle einiges an Arbeitszeit und Mühen ein. Denn mit „Autopsy“ lässt sich die Open-Source-Forensik-Analyse-Software „The Sleuth Kit“ über eine grafische Oberfläche (GUI) bedienen. Das Tool ist auf der Seite des Autos zum Download verfügbar.
Florian Huttenloher