Forensische Analysen bringen verlorene oder versteckte Daten wieder ans Tageslicht. Es geht hier also nicht nur darum Straftaten aufzudecken, sondern schlicht um die Wiederherstellung verlorener Daten, die z.B. versehentlich gelöscht wurden, oder durch eine Beschädigung des Betriebssystemen nicht mehr lesbar sind.
Ich beschreibe hier nun die sehr bekannte Software “Autopsy”, welche heute in der Forensik eingesetzt wird.
Autopsy ist kostenlos, und läuft sowohl unter Windows als auch in Linux.
Quelle: https://www.sleuthkit.org/autopsy/docs.php
Installation Autopsy
Die Installation ist einfach mit wenigen Mausklicks zu erledigen. Danach meldet sich das Startfenster:
Ich kreiere nun einen neuen Fall mit “New Case”. ich wähle den Fallnamen und den Speicherort der Autopsy-Datenbank.
Abschließend noch ein paar Daten um dem Fall näher zu beschreiben:
Die Datenquelle ist hier nun eine externe Festplatte, also wähle ich “Local Disc”
Nun wird die externe Festplatte als Datenquelle ausgewählt.
Ich wähle alle Forensikmodule aus (Ingest Modules)
Autospy legt nun mit der Analyse los, das kann je nach Größe des Datenträgers etwas länger dauern.
Die Datenbank ist nun hergestellt und wir können mit der forensischen Untersuchung beginnen.
Die Analyse
Das Hauptfenster von Autopsy ist der Startpunk der forensischen Untersuchung.
WIr starten mit der Analyse im linken Menubaum von oben und arbeiten uns nach unten durch.
Der Wurzel-Knoten zeigt alle Dateien, Datensätze etc für den vorliegenden Fall.
In den Ansichts-Knoten kann man sich die jeweiligen Datentypen herauspicken.
Durch Rechtsklick auf die Datei im rechten Fenster lassen sich folgende Operationen durchführen:
- Eigenschaften
- Zeige Datei im Ordner
- Zeige Datei in neuem Ordner
- Öffne Datei in externem Viewer
- Zeige Datei auf der Zeitachse
- Extrahiere diese Datei
- Füge ein “Tag” zu