Was ist ein forensisches Bild? Was ist ein Klon? Wie unterscheidet sich ein forensisches Bild von einem Klon? Dies sind Fragen, mit denen wir uns bei Capsicum häufig befassen. Obwohl dies auf den ersten Blick leicht zu beantworten scheint, ist es viel nuancierter, als Sie sich vorstellen können. Im Laufe der Jahre wurden viele Begriffe verwendet, um ein forensisches Image im Vergleich zu einem Klon und den Prozess der Erstellung eines forensischen Backups zu beschreiben. Begriffe wie Mirror image, exact copy, bitstream image, disk duplicating, disk cloning und Mirroring haben es immer schwieriger gemacht zu verstehen, was genau produziert oder angefordert wird.
Im Großen und Ganzen werden forensische Backups erreicht, indem alle Daten von einem Quellmedium (Computer, Handys, Tablets usw.) erfasst werden.) in forensisch einwandfreier Weise, so dass alle Originaldaten in einem unveränderten Zustand sind. Dies bedeutet, dass der gesamte Inhalt der Quellmedien gesammelt wird, einschließlich nicht verwendetem Speicherplatz, allen Slack-Daten, nicht zugewiesenem Speicherplatz und anderen Medien.
Wie unterscheidet man ein Bild von einem Klon?
Ein forensisches Abbild ist ein umfassendes Duplikat elektronischer Medien wie z. B. eines Festplattenlaufwerks. Artefakte (Informationen oder Daten, die als Ergebnis der Verwendung eines elektronischen Geräts erstellt wurden, das vergangene Aktivitäten anzeigt), z. B. gelöschte Dateien, gelöschte Dateifragmente und ausgeblendete Daten, können in Slack gefunden werden (Ungenutzter Speicherplatz, der zwischen der Dateiende-Markierung und dem Ende des Festplattenclusters erstellt wird, in dem die Datei gespeichert ist, und nicht zugewiesener Speicherplatz (Der nicht verwendete Teil einer Festplatte). Dieses exakte Duplikat der Daten wird als Bit-für-Bit-Kopie des Quellmediums bezeichnet und als Bild bezeichnet. Bilder sind versteinerte Schnappschüsse, die zur Analyse und Beweissicherung verwendet werden. Bilder können nicht als Arbeitskopien verwendet werden.
Ein forensischer Klon ist auch ein umfassendes Duplikat von elektronischen Medien wie einem Festplattenlaufwerk. Artefakte wie gelöschte Dateien, gelöschte Dateifragmente und versteckte Daten können sich in ihrem leeren und nicht zugewiesenen Speicherplatz befinden. Dieses exakte Duplikat der Daten wird als Bit-für-Bit-Kopie des Quellmediums bezeichnet und als Klon bezeichnet. Klone sind funktionierende Snapshots, die modifizierbar sind und nicht unbedingt erhalten bleiben. Sie werden als Arbeitskopien verwendet, um Originalnachweise für Analyse- und Datenspeicherungszwecke zu ersetzen.
Ein Hash (Ein Fehlererkennungsschema, das eine Berechnung für den Binärwert des Pakets / Frames durchführt und dann als Feld fester Länge an das Paket / Frame angehängt wird. Sobald das Paket / Frame empfangen wurde, wird eine ähnliche Berechnung durchgeführt. Wenn das Ergebnis nicht mit der ersten Berechnung übereinstimmt, trat während der Übertragung eine Datenänderung auf. Die Berechnung kann eine Summe (Prüfsumme), ein Rest einer Division oder das Ergebnis einer Hashing-Funktion sein) eines Originalgerätes kann validieren, ob es sich um ein exaktes Duplikat (forensisch einwandfreie Kopie) handelt. Jede Variation des Hashwerts eines Originals zu seinem Klon oder Image bestätigt, dass es sich nicht um exakte Kopien handelt. Dies ist wichtig zu wissen, wenn es um rechtliche Angelegenheiten geht.
Warum ist es in Ihrer Anwaltskanzlei für einen Rechtsfall wichtig?
Während ein Klon für die digitale forensische Analyse verwendet werden kann, wird er normalerweise zum Erstellen von Arbeitskopien oder exakten Ersatzlaufwerken verwendet.
Bilder werden hauptsächlich zur forensischen Analyse und zum Erhalt von Originaldaten verwendet. Sie sind versteinert und können in ihrem Bildformat nicht verändert werden.
Capsicum hatte kürzlich einen Fall, der sehr eng mit diesem Thema zusammenhängt. Ein Anwalt wurde zu der Annahme verleitet, dass ein Bild und ein Klon dasselbe seien. Der Anwalt bat um ein Bild, damit sie Dateien von einem Computer aus überprüfen konnten. Capsicum-Experten hielten ein Anforderungsmeeting ab und konnten herausfinden, welche Arbeitsprodukte benötigt wurden. Wir konnten erklären, dass das Bild ohne forensische Werkzeuge nicht lesbar war. Wir erklärten weiter, dass ein Klon zwar überprüft und durchsucht werden kann, die Originaldaten jedoch geändert werden. Am Ende, nach der Zusammenarbeit mit dem Anwalt, produzierten wir sowohl Klon als auch Bild. Bei Capsicum bieten wir fundiertes technisches Know-how und sind versiert in der Leitung oder Teilnahme an Ihrer elektronischen Untersuchung.
Unabhängig von der Komplexität ist das Team von Technologie- und Rechtsexperten der Capsicum Groups mit modernster Technologie und intensiven Strategien für Ihren Erfolg ausgestattet. Erfahren Sie mehr über unsere forensischen Wiederherstellungs- und Cybersicherheitsdienste in Philadelphia, New York und Südflorida, indem Sie sich über unsere Kontaktseite oder telefonisch unter 1-888-220-3101 mit uns in Verbindung setzen.
Hier sind einige zusätzliche Artikel von Capsicum, die Sie interessieren könnten:
So brechen Sie ein gesichertes PDF
Schreiben Sie mir einfach eine SMS: Die 5 wichtigsten Fragen, die Experten für digitale Forensik in Bezug auf Beweise für Textnachrichten stellen
Metadaten: Die rauchende Waffe