Herr Jensens Point of View

so kann man bei den Aktuellen Versionen von einer der Renommierten Forensik Software Häusern in der Hilfe folgendes nachlesen ein Who is Who deutscher Strafverfolgung …

“… Für besonders zahlreiche und maßgebliche Anregungen zur Entwicklung von X-Ways Forensics und X-Ways Investigator gebührt unser Dank dem Landeskriminalamt Rheinland-Pfalz.

Zu den professionellen registrierten Benutzern gehören Universitäts- und nationale Forschungseinrichtungen (z. B. das Institut für Informatik der Technischen Universität München, die Technische Versuchs- und Forschungsanstalt der Technischen Universität Wien, das Institut für Astronomie der Universität Wien, das Oak Ridge National Laboratory in Tennessee, USA), Behörden wie die Bundesstelle für Flugunfalluntersuchung, das Landeskriminalamt Rheinland-Pfalz, das Landeskriminalamt Niedersachsen, Zollkriminalamt Köln, Polizei Bremen/LKA, Kriminalpolizeiinspektion Schweinfurt, Landespolizeidirektion Freiburg, Kriminalpolizei Passau, diverse nationale Strafverfolgungsbehörden, Regierungsorganisationen und militärische Einrichtungen insbes. in den USA und Deutschland, das Verteidigungsministerium von Australien sowie Unternehmen aus den verschiedensten Branchen, z. B. Siemens Business Services, Siemens VDO AG, Infineon Technologies Flash GmbH & Co. KG, Toshiba Europe, Hewlett Packard, Microsoft Corp., Ericsson, Commerzbank AG, Visa International, DePfa Deutsche Pfandbriefbank AG, Analytik Jena AG, Ontrack Data International Inc., Deloitte & Touche, KPMG Forensic, Ernst & Young, Novell Inc., Lockheed Martin, BAE Systems, TDK Corporation, Seoul Mobile Telecom. …”

WinHex bzw. X-Ways Forensic ist eine Software die erst komplette Datenträger einliest und dann eine Reihe von mächtigen Tools und Werkzeugen zur Bearbeitung, bzw. verknüpften Suche anbietet. Natürlich lässt sich das ganze forensisch – rechtlich korrekt ohne eine Veränderung der Daten bewerkstelligen. Es können auch ganze Datenträger Bitgenau kopiert werden. Im unterschied zu einem normalen kopieren einer Datei ergibt das auch echte Bitgenaue Kopien.

Was viele ComputerNutzer eben  nicht wissen ist das Dateien bestimmte Cluster auf der Festplatte belegen. Diese Cluster haben eine feste Größe. Auf diese Weise kann es vorkommen das in dem letzten Cluster einer Datei noch Informationen von vorherigen Dateien gespeichert sind – ebensoviele wie vom Ende der Datei bis zum Ende des Clusters.
Weiter wird im Regelfall bei einem Löschen einer Datei lediglich der Eintrag in der Master File Table gelöscht. Man kann sich das so vorstellen als ob man im Inhaltsverzeichnisses eines Buches einfach einen Eintrag entfernt. Damit ist das Kapitel aber immer noch da. Konsequenter Weise müsste man bei einem Löschen aber entweder die Seiten herausreißen – was unpraktischer Weise bedeuten würde ein Stück Festplatte herauszuschneiden oder man beschreibt die Seiten, bzw. radiert deren vorigen Inhalt aus. Aus Gründen der Performance wird dies von den meisten Dateisystemen nicht Standartmäßig gemacht.
Im Normalfall ist es so das man ganze Verzeichnisse mit zig Gigabyte binnen Sekunden “löschen” kann – respektive deren Indexeintrag löschen kann. Wirklich gelöscht wären sie allerdings erst wenn diese – unter Umständen – viele Tausend Dateien und Gigabyte überschrieben würden, das aber bräuchte Zeit.
Nicht vergessen sollte man auf der anderen Seite, das sich viele sogenannte Wiederherstellungs- bzw Rettungstools eben genau dieser Eigenschaft bedienen und so verloren geglaubte Dateien jenseits eines Papierkorbs wieder zum Vorschein bringen können.

Wer seine Dateien oder Festplatten zum Beispiel mit Truecrypt oder DriveCrypt verschlüsselt hat, dem würde die Software der Strafverfolgung und anderer Interessenten natürlich auch nur Kryptische Daten liefern, und hätte indes den Vorteil weiter Rettungssoftware und ähnliches fast uneingeschränkt nutzen zu können. Im Regelbetrieb sind die Dateien, Container oder Festplatten ja entschlüsselt.

Trackback URI | Comments RSS