Datenträgerforensik

Datenträgerforensik ist der traditionelle Kern der digitalen Forensik: Sie arbeitet auf bitgenauen Images und rekonstruiert Aktivität aus Dateisystemen (NTFS, APFS, ext4, FAT), Journals, Metadaten, Slack und unzugeordnetem Speicher. Ermittler werten MFT-Einträge, USN-Journal, $LogFile, Prefetch, Jump Lists, Verknüpfungen, Browserdaten, Windows-Eventlogs und Shellbags aus. Tools wie Autopsy/Sleuth Kit, EnCase, X-Ways, FTK und Plaso/log2timeline automatisieren Parsing und Timelines. Aktuelle Herausforderungen sind Volldatenträgerverschlüsselung (BitLocker, FileVault, LUKS), SSD-TRIM/Garbage Collection und Cloud-Synchronisationen — adressiert nach NIST SP 800-86 und ISO/IEC 27037.