Direkt Forensisch

Die direkte forensische Sicherung stellt einen Spezialfall dar. Es wird, wie bei der gewöhnlichen forensischen Sicherung, ein vollständiges Abbild eines Quelllaufwerks erstellt. Der Unterschied liegt jedoch darin, dass die Daten über tiefliegende Systemschnittstellen gelesen werden. Somit können, z.B. bei Einsatz von Verschlüsselungssoftware, verschlüsselte Festplatten gesichert werden.

Direkt forensische Sicherungen sind dafür gedacht, verschlüsselte Laufwerke mit verschlüsselten Daten zu sichern. Diese Daten liegen auch nach der Wiederherstellung verschlüsselt vor. Wenn es sich bei dem Quelllaufwerk um ein verschlüsseltes Laufwerk handelt, ist nur eine sektorbasierte Wiederherstellung möglich. Eine dateibasierte Wiederherstellung oder das Durchsuchen (browsen) der Sicherung ist nicht möglich. Des Weiteren sind übergreifende Volumes (stripped/spanned) von der Sicherung ausgeschlossen, da hier die logische Verknüpfung der Regionen vom Betriebssystem übernommen wird. Wenn die Laufwerke nicht verschlüsselt sind, macht eine direkt forensische Sicherung keinen Sinn. Hier empfiehlt sich eine forensische Sicherung, da alle Sektoren des Laufwerks, auch die Sektoren, welche als frei markiert sind, in die Sicherung aufgenommen werden.

Direkt Forensisch