Forensik und Incident Response
Forensische Imageerstellung
Auch bekannt als: Bitstream-Image, Datenträgerimage
Definition
Bitgenaue Kopie eines Speichermediums, durch kryptografische Hashes verifiziert, zur Analyse und als gerichtsfestes Beweismittel.
Beispiele
- E01-Image einer verdächtigen SSD mit FTK Imager hinter einem Tableau-Write-Blocker.
- AFF4-Image eines RAID-Volumes bei einem Vor-Ort-Einsatz.
Verwandte Begriffe
Evidence Acquisition
Evidence Acquisition — definition coming soon.
Write Blocker
Hardware- oder Softwarewerkzeug, das nur Lesezugriff auf ein Speichergerät erlaubt und jede beweisverändernde Schreiboperation verhindert.
Datenträgerforensik
Untersuchung nichtflüchtiger Speichermedien (HDD, SSD, USB), um Dateisystem-, Anwendungs- und Betriebssystemartefakte wiederherzustellen und auszuwerten.
Preservation of Evidence
Preservation of Evidence — definition coming soon.
Beweismittelkette
Lückenlose, dokumentierte Aufzeichnung jeder Person, jedes Orts und jeder Handlung in Bezug auf ein Beweismittel von der Sicherstellung bis zur Vernichtung.
Digitale Forensik
Wissenschaftliche Disziplin zur Identifikation, Sicherung, Analyse und gerichtsfesten Dokumentation digitaler Beweise aus Computern, Netzwerken und Geräten.