Gutachten - IT-Forensik Wiki
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Polizeipräsidium Wingstown VNr. ERS/12356789/2021/6
Gutachten
Digitale Forensik
Untersuchungsauftrag
von der
Staatsanwaltschaft Wingstown
Aktenzeichen: 123/ JS 56789
Bezug: Ermittlungsverfahren gegen
Jonas WOLF
geb. am 21.03.65 in Frankfurt am Main
wegen
Mord § 211 StGB
Erstellt von:
Can Pascal Yildiz
Ilka Spitzlay
Aysegül Eryilmaz
Wingstown Seite 1 von 14 22.07.2021
Polizeipräsidium Wingstown VNr. ERS/12356789/2021/6
Vorbemerkung:
Alle Personen des Gutachtens sind frei erfunden. Der Fall wurde für die
forensische Analyse und das Gutachten entsprechend gestellt.
1 Untersuchungsauftrag
Es wurde beantragt, die nachstehend aufgeführten Untersuchungen vorzunehmen:
• Durchführung einer Datensicherung
• Aufbereitung der Daten
• Auswertung der Daten:
o Kann festgestellt werden, ob der Beschuldigte Proxy-Server oder das TOR-
Netzwerk zur Verschleierung nutzt?
o Befinden sich Bilder von dem Beschuldigten und seiner Freundin?
o Kann eine Kommunikation zwischen dem Beschuldigten und seiner
Freundin festgestellt werden?
• Eigentümer-Feststellung
• Fertigung eines Berichtes
1.1 Rahmenbedingungen
Die hier durchgeführten Tätigkeiten sind in der Regel als Datenaufbereitung für die
anfragenden Dienststellen und Behörden zu betrachten. Die eigentliche Bewertung
dieser Daten hat stets von der anfragenden Dienststelle zu erfolgen.
Derzeit werden Datensicherung für 6 Monate auf der hiesigen Dienststelle verwahrt.
Insofern keine anderweitige Weisung seitens der anfragenden Dienststelle/ Behörde
hier eingeht, werden Datensicherung nach Ablauf dieser Frist unwiederbringlich
gelöscht. Maßgeblich für die 6 Monatsfrist ist das Erstellungsdatum dieses Berichts.
Die hier vorhandenen Asservate wurden der Sachbearbeiterin ausgehändigt.
1.2 Untersuchungszeitraum
Die zu untersuchenden Asservate wurden am 17.06.2021 dem Kommissariat Wings
übergeben. Während der Auswertung befand sich das Asservat im Büro/Labor der
Dienststelle. Von den Asservaten wurden Lichtbilder gefertigt.
Die Auswertung beruht auf dem Auswertungsersuchen des K11 Wingstown, vom
17.06.2021. Die Auswertung erfolgte im Juli 2021.
Wingstown Seite 2 von 14 22.07.2021
Polizeipräsidium Wingstown VNr. ERS/12356789/2021/6 2 Sachverhalt Frau Wolf wurde in der eigenen Wohnung ermordet. Die Untersuchungsobjekte dieses forensischen Berichts stammen von dem Angeklagten Jonas Wolf. Im Rahmen eines Haftbefehls erfolgte eine Durchsuchung seiner Wohnung. Dabei wurden ein Notebook, ein USB-Stick sowie ein Smartphone sichergestellt. Herr Wolf meldete seine Frau zuvor als vermisst. Er ist dringend tatverdächtig seine Frau getötet zu haben, um in Besitz ihrer Eigentumswohnung zu kommen. Der Angeklagte soll eine Beziehung zu einer anderen Frau geführt haben. Bei der Vermisstenanzeige hatte er sich bereits in Widersprüche verwickelt. Kurz nachdem er seine Frau als vermisst meldete zog seine neue Freundin bei Herr Wolf ein. Er selbst war an dem Tag der Tat nicht vor Ort. Die Staatsanwaltschaft Wingstown ersucht eine forensische Analyse der Untersuchungsgegenstände. So soll der Tatverdacht geprüft werden und die Rolle von Herr Wolf in dem Mord erörtert werden. Des Weiteren sollen eventuell weitere beteiligte Personen anhand der Untersuchungsobjekte identifiziert werden. Zusammenfassung der Untersuchungsergebnisse 2.1 Notebook Es wurde ein Notebook der Marke Lenovo mit dem Betriebssystem Windows 10 sichergestellt. Im Stammverzeichnis des Benutzers konnten benutzerbezogene Systemeinstellungen und das Nutzungsverhalten des jeweiligen Benutzers festgestellt werden. Neben den Standard-Benutzerkonten existierte ein Konto mit der Bezeichnung „Jonas Wolf“ und das Betriebssystem war auf die Bezeichnung „Jonas Wolf“ registriert. Im Dateisystem wurden vorhandenen sowie gelöschte Dateien gefunden. Es konnten u.a. Dateien festgestellt werden, die vom User aktiv geöffnet/verwendet wurde, mit den Dateinamen Tollkirsche_7.jpg, Giftpflanzen.pdf, Geheim.7z und PW.txt Es wurden automatisiert nach Chatprotokollen, Internetartefakten, Geodaten, Clouddiensten, E-Mailverkehr und Sicherungen von Mobiltelefonen gesucht. Im Mailprogramm (Mozilla Thunderbird) wurden 48 Mails für zugehörige Mailadresse wolfie.wolf.jonas@gmail.com festgestellt. Hierbei geht es um die Kommunikation mit der E-Mailadresse tanja_lowe@gmx.de, in der mehrere Bilder von dem Beschuldigten Jonas Wolf und Tanja Lowe gefunden wurden. Außerdem wurde in einer Mail an Tanja Lowe ein Screenshot von einem Gespräch mit seiner Ehefrau festgestellt, mit dem Hinweis, dass er einen gemeinsamen Urlaub mit Tanja Lowe plant und es mit der “Alten” nicht mehr aushalten würde. Wingstown Seite 3 von 14 22.07.2021
Polizeipräsidium Wingstown VNr. ERS/12356789/2021/6 Es wurde eine verschlüsselte Containerdatei gefunden. Mit der Annahme, dass die Verschlüsselung des VeraCrypt Containers mit der .txt Datei auf dem USB-Stick erfolgte, wurde die Datei mit dem Passwort aus dem USB-Stick erfolgreich entschlüsselt. Dabei handelt es sich augenscheinlich um Bilder von dem Beschuldigten und seiner Freundin. Die Dateien im VeraCrypt Container wurden exportiert und den Anlagen beigefügt. Es wurde festgestellt, dass der Tor-Browser installiert und ausgeführt wurde. Dieser bietet eine Möglichkeit, sich anonym und verhältnismäßig sicher im Internet und im Darknet zu bewegen. In den Internetverlaufsdaten der Google Chrome History wurden zudem Einträge mit folgenden Suchbegriffen aufgefunden: „Auftragskiller im darknet“, „Auftragskiller im darknet preisliste“, „Verlauf von chrome löschen“. 2.2 USB-Stick Der USB-Stick konnte vollständig aufbereitet werden. Auf dem USB-Stick wurde nur eine .txt Datei gefunden. Bei dieser Datei handelt es sich um den Schlüssel eines Veracrypt Containers. Der Container konnte auf dem Notebook gefunden und erfolgreich entschlüsselt werden. 2.3 Mobiltelefon Auf dem vorgefundene Mobiltelefon Samsung S8 konnten die Eigentümer Information von Jonas Wolf ausgelesen werden. Es wurden 301 Kontaktdaten gefunden, u.a. von Tanja Lowe und Lena Jonas. Es wurden insgesamt 100 Whatsapp Nachrichten exportiert. Die Kommunikation zwischen Jonas Wolf, Tanja Lowe und Lena Jonas am Tag der Tat, wurde im Anhang beigefügt. Weiterhin wurde eine weitere Kommunikation mit einer weiteren Person vorgefunden, bei der es sich augenscheinlich um den Auftragskiller mit dem Namen John Wick handelt, mit der Nachricht: ,,Du kannst loslegen, sobald wir weg sind. ’’ Wingstown Seite 4 von 14 22.07.2021
Polizeipräsidium Wingstown VNr. ERS/12356789/2021/6
3 Untersuchungsobjekte
Asservaten Nr. Typ Dateisystem Seriennr./IMEI Hashwert
00123-54321- 4b041660744791af
ASS01 Notebook NTFS
9876z-ABCDE 1a4b6db1d9680a1f
f06f7a4426cbc455a
ASS02 USB-Stick NTFS 0000000042
f8b47cdf6c9fd09
c063a503-2098-
ASS03 Mobiltelefon Android OS 9 AB1C23456D 4f14-9998-
4fb9ee83a6fe
4 Untersuchungswerkzeuge
Insofern keine anderweitigen Informationen explizit aufgeführt sind, gelten die
nachfolgenden Ausführungen.
4.1 Untersuchungswerkzeuge des Notebooks
Die vorhandene Festplatte in dem Notebook wurde mit der forensische Software FTK-
Imager erfolgreich gesichert. Von der Festplatte wurde eine Spiegelung erstellt. Diese
Spiegelung stellt ein bitgenaues Abbild der jeweiligen Festplatte dar und wird im
Folgenden als Image bezeichnet. Die anschließende Auswertung wurde
ausschließlich anhand der Images auf einer Sicherungsfestplatte durchgeführt, deren
vollständiger Datenbestand durch Überschreibung aller Sektoren mit Nullwerten
(0x00) zuvor gereinigt wurde. So ist sichergestellt, dass es zu keinen
Datenvermischungen kommen kann. Mit der Software AXIOM 4.8.1.2 wurden diese
Daten anschließend aufbereitet.
Ein automatisierter Abgleich der innerhalb der Datensicherungen vorhandenen
Hashwerte mit denen des BKA’s, bezüglich eindeutig identifizierten White- und
Blacklisten, wurden durchgeführt.
4.2 Untersuchungswerkzeuge des USB-Stick's
Der USB-Stick wurde an einem hardwarebasierten Schreibschutz an einem
Auswertungscomputer angeschlossen. Der Schreibschutz stellt sicher, dass keine
Veränderungen an dem USB- Stick vorgenommen wurden. Eine forensische
Sicherung erfolgte mit FTK-Imager erfolgreich. Mit der Software AXIOM 4.8.1.2
wurden Informationen über die Betriebssysteme und die eingetragenen Nutzer der
Wingstown Seite 5 von 14 22.07.2021Polizeipräsidium Wingstown VNr. ERS/12356789/2021/6 Systeme festgestellt. Dazu wurden entsprechende PDF-Dokumente erstellt und den Exporten beigefügt. 4.3 Untersuchungswerkzeuge des Mobiltelefons Mit dem System von UFED Touch 4 PC wurden die Daten des Mobiltelefons physisch ausgelesen. PIN-Abfrage war nicht aktiv. Die Extraktion war ohne Fehlermeldungen erfolgreich. Dabei können gelöschte Daten wiederhergestellt, sowie Dateien dekodiert werden. Ein PDF- Bericht wurde erstellt und beigefügt. Der UFED-Reader konnte die Datenbanken von den WhatsApp Chats augenscheinlich nicht angemessen aufbereiten, daher wurde die Sicherung nochmals in Oxygen 13.6.0.47 eingelesen. Der PDF- Bericht wurde hinzugefügt. 5 Auswertung 5.1 Auswertung des Notebooks Mit der Software AXIOM 4.8.1.2 wurden Informationen über die Betriebssysteme und die eingetragenen Nutzer der Systeme festgestellt. Dazu wurden entsprechende PDF-Dokumente erstellt und den Exporten beigefügt. Im zuletzt als aktiv markierten ControlSet (001) in der Registry ist unter dem Eintrag TimeZoneInformation „Westeuropäische Normalzeit“ als Systemzeit eingetragen. Die eingetragene Standardabweichung beträgt 60min und aktive Abweichung beträgt 120min (Sommerzeit) von GMT. Der Zeitstempel wurde anhand eines sogenannten Google Cookies auf dem untersuchten System verifiziert. Weiterhin wurden die im Dateisystem vorhandenen Dateien (inkl. einfach gelöschter Dateien) gesichtet, wobei doppelte Dateien mittels Hashabgleich ausgefiltert wurden. Es wurden automatisiert nach Chatprotokollen, Internetartefakten, Geodaten, Clouddiensten, E-Mailverkehr und Sicherungen von Mobiltelefonen gesucht. Dieser Suchlauf umfasst auch gelöschte Dateien im nicht zugeordneten Speicherbereich und File Slacks. Ein entsprechendes Betrachtungsprogramm ist den exportierten Daten beigefügt. Auf der Festplatte war das Betriebssystem Microsoft Windows 10 installiert. Das Betriebssystem wurde gemäß dem Eintrag in der Registry am 31.05.2021 installiert. Die Windows Registry ist die zentrale Konfigurationsdatenbank des Windows Betriebssystems. Hier werden Informationen zum Betriebssystem, systemweiten Einstellungen, individuelle Benutzereinstellungen, Informationen zu und von installierter Software aufgefasst. Die Informationen werden in unterschiedlichen Dateien vom System gespeichert. Dabei handelt es sich um die Dateien „SYSTEM“, „SOFTWARE“, „SAM“, Wingstown Seite 6 von 14 22.07.2021
Polizeipräsidium Wingstown VNr. ERS/12356789/2021/6 „DEFAULTS“, „SECURITY“ und „NTUSER.DAT“. Alle Konfigurationsdateien außer der „NTUSER.DAT“ befinden sich im Verzeichnis „C:\Windows\System32\config“. Bei der „NTUSER.DAT“ handelt es sich um den benutzerbezogenen Windows Registry Hive eines Benutzers. Die Datei liegt im jeweiligen Stammverzeichnis des Benutzers. Die „NTUSER.DAT“ wird individuell für jeden Benutzer erstellt. Anhand der „NTUSER.DAT“ können benutzerbezogene Systemeinstellungen und das Nutzungsverhalten des jeweiligen Benutzers festgestellt werden. Der Name des Notebooks lautet „DESKTOP-4AB2CDE. Neben den Standard- Benutzerkonten existierte ein Konto mit der Bezeichnung „Jonas Wolf“. Der User „Jonas Wolf” war in der Benutzergruppe Administrator. Das Betriebssystem war auf die Bezeichnung „Jonas Wolf“ registriert. Dieses Konto war das letzte Mal am 07.06.2021 um 06:15:50 Uhr eingeloggt. Dateien auf der Festplatte wurden laut NTFS Zeitstempel letztmalig am 07.06.2021 erstellt. Informationen hierzu wurden ausgedruckt und als Anlage beigefügt. Unter den Installierten Programmen wurde die Software CCleaner aufgefunden. (\Windows\System32\config\SOFTWARE). Diese dient dem Verschlüsseln, Entschlüsseln oder Löschen von Daten. Außerdem konnte ein Mailprogramm (Mozilla Thunderbird) aufgefunden werden. Insgesamt wurden 48 Mails festgestellt. Die zugehörige Mailadresse ist wolfie.wolf.jonas@gmail.com. Die relevanten E-Mails zum o.g. Fall wurden ebenfalls markiert und den Anlagen beigefügt. Hierbei geht es um die Kommunikation mit der E-Mailadresse tanja_lowe@gmx.de. Es wurden augenscheinlich mehrere Bilder von dem Beschuldigten Jonas Wolf und Tanja Lowe aufgefunden. Außerdem wurde am 01.06.2021 in einer E-Mail ein Screenshot von einem Gespräch mit seiner Ehefrau festgestellt. Diese Mail verschickte er an tanja_lowe@gmx.de mit dem Hinweis, dass er einen gemeinsamen Urlaub mit Tanja Lowe plant und es mit der “Alten” nicht mehr aushalten würde. Anhand der MRU-Listen (Most Recently Used = Zuletzt häufig benutzt) kann der Name der Datei, die vom User aktiv geöffnet/verwendet wurde, festgestellt werden. Nachfolgend werden einige relevante MRU-Einträge aus der NTUSER.DAT des Benutzers „Jonas Wolf” aufgeführt: • Tollkirsche_7.jpg • Giftpflanzen.pdf • Geheim.7z • PW.txt Der Dateipfad der geöffneten Dateien wird in der MRU-Liste nicht gespeichert. Diese Informationen können in der Regel den LNK-Dateien im Verzeichnis „Recent” des Benutzers entnommen werden. Bei LNK- Dateien handelt es sich um Verknüpfungen. Die Dateien, die aufgefunden wurden, wurden zum Anhang beigefügt. Wingstown Seite 7 von 14 22.07.2021
Polizeipräsidium Wingstown VNr. ERS/12356789/2021/6 Weiterhin wurde das Verschlüsselungsprogramm ,,VeraCrypt” inklusive einer verschlüsselten Containerdatei: Verschlüsselt_geheim festgestellt, der am 01.06.2021 erstellt wurde. Bei dem Programm Veracrypt handelt es sich um eine Datenverschlüsselungssoftware. Die Software bietet die Möglichkeit, den gesamten Datenträger, einzelne Partitionen oder von Veracrypt erstellte Container-Dateien zu verschlüsseln. Zur Verschlüsselung wird ein vom Anwender gewähltes Kennwort verwendet. Artefakte aus der Windows-Registrierungsdatenbank verweisen auf einen externen Datenträger (USB- Stick). Dieser wurde am 01.06.2021 um 08:26 Uhr ein USB-Stick an diesem Computer angeschlossen. Dieser USB-Stick ist laut der Seriennummer (0000000042), der gleiche USB- Stick, der zur Untersuchung vorliegt. Mit der Annahme, dass die Verschlüsselung des VeraCrypt Containers mit der .txt Datei auf dem USB-Stick erfolgte, wurde die Datei mit dem Passwort aus dem USB- Stick erfolgreich entschlüsselt. Dabei handelt es sich augenscheinlich um Bilder von dem Beschuldigten und seiner Freundin. Die Dateien im VeraCrypt Container waren somit voll zugänglich und wurden exportiert und den Anlagen beigefügt. Im Execution Log wurde ersichtlich, dass die Datei Tor.exe am 31.05.21 um 13:23:00 Uhr ausgeführt wurde. Die Datei befindet sich auf dem Systemlaufwerk im Pfad “C:\Users\Jonas Wolf\Desktop\Tor Browser\Browser\TorBrowser\Tor\tor.exe. Der Tor- Browser bietet eine Möglichkeit, sich anonym und verhältnismäßig sicher im Internet und im Darknet zu bewegen. Außerdem wurden die Webbrowser: Chrome, Firefox und Internet Explorer aktiv genutzt. Der Verlauf dieser befinden sich im Anhang. In den Internetverlaufsdaten wurden außerdem nach Hinweisen zu Auftragskillern gesucht. Dabei wurden Google Chrome History Einträge, mit folgenden Suchbegriffen aufgefunden: • Auftragskiller im darknet • Auftragskiller im darknet preisliste • Verlauf von chrome löschen Pfad: \Users\Jonas Wolf\AppData\Local\Google\Chrome\User Data\Default\History Wingstown Seite 8 von 14 22.07.2021
Polizeipräsidium Wingstown VNr. ERS/12356789/2021/6 Abbildung 1: ASS01 Notebook Vorderseite Abbildung 2: ASS01 Notebook Rückseite Wingstown Seite 9 von 14 22.07.2021
Polizeipräsidium Wingstown VNr. ERS/12356789/2021/6 5.2 Auswertung des USB-Stick's Mit der Software AXIOM 4.8.1.2 wurde der USB- Stick aufbereitet. Auf dem USB-Stick wurde ausschließlich nur eine .txt Datei gefunden. Diese Datei wurde am 01.06.2021 erstellt und beinhaltet einen Text mit dem Hinweis: Geheim pw: Wings2020. Hierbei konnte ermittelt werden, dass es sich um den Schlüssel des Veracrypt Containers handelt. Der Container wurde erfolgreich entschlüsselt. Abbildung 3: ASS02 USB-Stick 5.3 Auswertung des Mobiltelefons Der zur Auswertung eingereichte Untersuchungsgegenstand, bei dem technisch eine Untersuchung mit den hier verfügbaren Mitteln möglich war, wurde mit der hier verwendeten Auswerteeinheit Cellebrite-System (UFED Touch2) verbunden und die Daten physisch ausgelesen. Bei dem Mobiltelefon handelt es sich um ein Samsung S8. Aus der forensischen Software Cellebrite konnten die Eigentümer Information Jonas Wolf ausgelesen werden. Laut dem Cellebrite Bericht wurde auf diesem Mobiltelefon die Email- Adresse. Wolfie.wolf.jonas@gmail.com hinterlegt. Das Gerät wurde erstmalig am 20.04.2021 aktiviert. Es wurden 301 Kontaktdaten gesichtet. Nach einer gezielten Suche wurde die Kontakte Tanja Lowe und Lena Jonas aufgefunden. Die Aufbereitung der Messages wurde mit der Software Oxygen Forensics durchgeführt. Es wurden insgesamt 100 Whatsapp Nachrichten exportiert. Die Kommunikation zwischen Jonas Wolf, Tanja Lowe und Lena Jonas am Tag der Tat, wurde in den Anhang beigefügt. Am 15.06.2021 empfängt der Beschuldigte die Nachricht von Tanja Lowe:,,Hallo mein Schatz, ich freue mich auf unseren Urlaub! ’’ Außerdem war die Kommunikation mit einer weiteren Person an diesem Tag auffällig. Augenscheinlich handelt es sich um den Auftragskiller. Dieser ist mit dem Namen Wingstown Seite 10 von 14 22.07.2021
Polizeipräsidium Wingstown VNr. ERS/12356789/2021/6 John Wick auf dem Gerät gespeichert. Am 15.06.2021 9:46:21 (UTC) schreibt der Beschuldigte:,,Wir fahren morgen weg. Sie ist alleine. Lass aufkeinenfall Spuren zurück!!!!’’ Um 9:48:09 (UTC) schickt der Beschuldigte erneut eine Nachricht an John Wick:,,Du kannst loslegen, sobald wir weg sind. ’’ Abbildung 4: ASS03 Smartphone Vorderseite Abbildung 5: ASS03 Smartphone Rückseite 6 Bemerkungen Bei Zeitangaben ist zu berücksichtigen, dass diese vom Benutzer individuell eingestellt und verändert werden können. Für das Auslesen wurde System 1, MicroSystemation XRY, und/oder System 2, Cellebrite UFED / Physical Analyzer, verwendet und/oder System 3 Guidancesoftware Encase Forensics. Wingstown Seite 11 von 14 22.07.2021
Polizeipräsidium Wingstown VNr. ERS/12356789/2021/6 Einschränkungen in den Extraktionsmöglichkeiten sind der Rubrik ‚Device Overview’ in den XRY-Datensicherungen (System 1) bzw. bei UFED (System 2) dem Phone Examination Report Index zu entnehmen. Sollte für eine mittels PIN-Abfrage geschützte SIM-Karte die PUK anstelle der PIN mitgeteilt worden sein, so wurde für die SIM-Karte hier die neue PIN ‚0000’ vergeben. Bei der Bewertung von Zeitstempeln (Mobiltelefone) ist zu beachten, dass die Systemzeit jederzeit durch den Benutzer beliebig verstellt oder durch Ereignisse (z.B. Akkuentnahme, Tiefentladung) systembedingt zurückgesetzt werden kann. Durch Starten eines Mobiltelefons mit einer anderen als der zuletzt benutzten SIM- Karte können Anruflisten gelöscht und andere Daten/Einstellungen verändert werden (z.B. Menüsprache). Sollte für ein Mobiltelefon mehr als eine Datensicherung vorliegen, so sind beide Datensicherungen in die Auswertung einzubeziehen, da die Inhalte der Extraktionen einander ergänzen könnten. Sollte eine Datensicherung aus mehreren Teilen bestehen, so sind diese vor dem Betrachten im selben Verzeichnis auf einem Datenträger zusammenzuführen. 7 Glossar NTFS- Dateisystem: Forensische Sicherung: Bitweise 1:1-Kopie eines digitalen Datenträgers. Bei der Erstellung wird ein Hardware-Schreibschutz eingesetzt, um eine Veränderung des Originals zu verhindern. Einfach gelöschte Dateien: Dateien, die gelöscht wurden, zu denen aber noch Metadaten im Dateisystem existieren, so dass eine Wiederherstellung gute Ergebnisse liefern kann, sofern eine Datei nicht teilweise oder ganz überschrieben wurde. Nicht zugeordneter Bereich (engl. Unallocated clusters): Sektoren einer Partition, die nicht für das Speichern aktueller Dateien genutzt werden, in denen jedoch noch Dateiinhalte bzw. Dateifragmente ehemals existenter Dateien vorhanden sein können. Slack: Der ungenutzte Bereich am Ende einer Datei in einem Dateisystem, welches feste Speicherblockgrößen verwendet. Sektorfehler/Lesefehler: Bei digitalen Datenträgern kann es aufgrund unterschied- lichster Umstände dazu kommen, dass einzelne Speicherbereiche (Sektoren) defekt sind. Von diesen Speicherbereichen können keine Daten mehr gelesen werden. In der Regel erkennt das Betriebssystem solche Sektorfehler selbstständig und markiert diese, so dass dort keine Daten mehr gespeichert werden. Bei einer Spiegelung / forensischen Sicherung von Datenträgern werden solche Sektorfehler in der Regel mit Nullen aufgefüllt. Trotz Sektorfehlern wird in der Regel eine auswertbare Sicherung erzeugt. Wingstown Seite 12 von 14 22.07.2021
Polizeipräsidium Wingstown VNr. ERS/12356789/2021/6 Android: Logische Extraktion: Sicherung der Daten, auf die die Auswerte-Software Zugriff über das Betriebssystem des auszuwertenden Gerätes erlangt. Physische Extraktion: Bitweises Auslesen des physischen Speichers. Aus dem physischen Speicherabzug können oft gelöschte Daten wiederhergestellt sowie Dateien dekodiert werden, die im logischen Extraktionsumfang nicht enthalten wären. Für gezielte Suchen nach gelöschten Dateien sind eventuell weitere Informationen zum Untersuchungsziel erforderlich. Android OS: Betriebssystem der Firma Google für Smartphones Root-Zugriff: Administrativer Zugriff auf das Betriebssystem (zumeist Android) mit einem höheren Rechteumfang, wodurch der Extraktionsumfang erhöht sein kann. Der Root-Zugriff kann - geräte- und softwareabhängig – durch die verwendete Auswerte-Software eingerichtet werden. In einigen Fällen, in denen dies nicht möglich ist, kann durch hiesige Dienststelle der Root-Zugriff eingerichtet werden. Wingstown Seite 13 von 14 22.07.2021
Polizeipräsidium Wingstown VNr. ERS/12356789/2021/6 8 Anlagen Anlage 1: Bericht Axiom Notebook (ASS01) und USB-Stick (ASS02) Anlage 2: Bericht Cellebrite Samsung S8 (ASS03) Anlage 3: Bericht Oxygen Samsung S8 WhatsApp Messages Anlage 4: Image Sicherungsnachweise Notebook (FTK Imager) Anlage 5: Image Sicherungsnachweise USB-Stick (FTK Imager) Anlage 6: Timeline aus Axiom Wingstown Seite 14 von 14 22.07.2021
Sie können auch lesen
