Was BKA und LKA mit beschlagnahmten PCs machen

Gestern abend waren wir noch bei einer Veranstaltung zum Thema Computer-Forensik. Die Vorträge waren, nun ja, nur in Teilen interessant. Spannender waren die unzähligen Mitarbeiter der Strafverfolgungsbehörden, die ebenfalls anwesend waren. So konnte man sich mal ganz in Ruhe informieren, wie beispielsweise beim LKA vorgegangen wird, wenn Rechner untersucht werden sollen. So sie noch laufen, wird nämlich zunächst eine Sicherung des RAMs vorgenommen, damit die dort gespeicherten Daten nicht verloren gehen. Dann wird schlicht und ergreifend der Stecker gezogen und das System eingepackt. Runtergefahren wird nicht, damit nicht irgendwelche Jobs ausgelöst werden, die Daten löschen oder ähnliches.

Im Labor werden dann die Festplatten ausgebaut und Images davon gezogen. Anschließend wird das beschlagnahmte System weggepackt und nur noch mit den Images gearbeitet. Via WMware wird das System vom Image gestartet und an allen möglichen Stellen nach Spuren und Daten gesucht. Und hier hat sich dank Windows Vista einiges verändert: einerseits fehlen den Ermittlern Informationen, da Vista an einigen Stellen keine Zeitstempel mehr anlegt - andererseits liefert Vista dank neuer Features wie Volumenschattenkopien aber auch neue Infos. Anderes Beispiel: Aus den thumbs-Dateien lassen sich Bilder rekonstruieren, allerdings ließ sich unter XP nicht herausbekommen, von welchem User diese stammten. Unter Vista werden die Thumbnail-Übersichten auch in den Benutzerprofilen gespeichert, so dass die Ermittler hier zuordnen können, wer welche Bilder auf dem System hatte.

Ausführlichere Infos gibt es in Kürze in einem Beitrag bei PC Professionell.

6. März 2008, 14:12 in CeBIT 2008 | Permalink