Datenträgerforensik
Was ist Datenträgerforensik?
DatenträgerforensikUntersuchung nichtflüchtiger Speichermedien (HDD, SSD, USB), um Dateisystem-, Anwendungs- und Betriebssystemartefakte wiederherzustellen und auszuwerten.
Datenträgerforensik ist der traditionelle Kern der digitalen Forensik: Sie arbeitet auf bitgenauen Images und rekonstruiert Aktivität aus Dateisystemen (NTFS, APFS, ext4, FAT), Journals, Metadaten, Slack und unzugeordnetem Speicher. Ermittler werten MFT-Einträge, USN-Journal, $LogFile, Prefetch, Jump Lists, Verknüpfungen, Browserdaten, Windows-Eventlogs und Shellbags aus. Tools wie Autopsy/Sleuth Kit, EnCase, X-Ways, FTK und Plaso/log2timeline automatisieren Parsing und Timelines. Aktuelle Herausforderungen sind Volldatenträgerverschlüsselung (BitLocker, FileVault, LUKS), SSD-TRIM/Garbage Collection und Cloud-Synchronisationen — adressiert nach NIST SP 800-86 und ISO/IEC 27037.
● Beispiele
- 01
Wiederherstellung gelöschter Dokumente aus NTFS-unzugeordnetem Speicher mit Autopsy.
- 02
Auswertung von Prefetch und ShimCache zur Bestätigung der Ausführung einer schädlichen Datei.
● Häufige Fragen
Was ist Datenträgerforensik?
Untersuchung nichtflüchtiger Speichermedien (HDD, SSD, USB), um Dateisystem-, Anwendungs- und Betriebssystemartefakte wiederherzustellen und auszuwerten. Es gehört zur Kategorie Forensik und Incident Response der Cybersicherheit.
Was bedeutet Datenträgerforensik?
Untersuchung nichtflüchtiger Speichermedien (HDD, SSD, USB), um Dateisystem-, Anwendungs- und Betriebssystemartefakte wiederherzustellen und auszuwerten.
Wie schützt man sich gegen Datenträgerforensik?
Schutzmaßnahmen gegen Datenträgerforensik kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Datenträgerforensik?
Übliche alternative Bezeichnungen: Speicherforensik, Festplattenforensik.