X-Ways
·.·. Computerforensik-Software aus Deutschland .·.·
   
 

Datei-Container,
Minimalsicherungen
und bereinigte Sicherungen

Sowohl Datei-Container als auch Minimalsicherungen sind spezielle Arten von Images, die nur ausgewählte Dateien und/oder Datenträgerbereiche enthalten. Sie werden für die elektronische Beweismittelsicherung als Ersatz für konventionelle vollständige forensische Sicherungen verwendet, in Fällen, in denen nur einige Dateien benötigt werden und eine vollständige sektorweise Sicherung stark übertrieben wäre. 

Bereinigte Sicherung erlauben anders herum gezielt den Ausschluß unterdrückter Dateien. Die Cluster, in denen die Inhalte dieser Dateien gespeichert sind, werden in der Sicherung mit binären Nullen oder einem Muster gefüllt. Alle sonstigen Daten werden in normal in die Sicherung übertragen.  Diese Art von Images ist vermutlich die beste Lösung zum Schutz des Kernbereichs privater Lebensgestaltung und zur Wahrung von Zeugnisverweigerungsrechten von Berufsgeheimnisträgern wie Ärzten und Rechtsanwälten. 

In Deutschland ist laut Bundesverfassungsgericht eine übermäßige Datenerhebung zu vermeiden. Verhältnismäßigkeitsgrundsätze und Verfahrensrechte müssen beachtet werden. Zumindest bei schwerwiegenden, bewußten oder willkürlichen Verfahrensverstößen ist ein Beweisverwertungsverbot als Folge einer fehlerhaften Durchsuchung und Beschlagnahme von Datenträgern und der darauf vorhandenen Daten geboten (vgl. 08.06.2005). Eingriffe in den absolut geschützten Kernbereich privater Lebensgestaltung sind zu vermeiden. Die Erhebung kernbereichsrelevanter Daten soll soweit wie informationstechnisch und ermittlungstechnisch möglich unterbleiben (vgl. 27.02.2008).

Beachten Sie, daß Sie konventionell erzeugte Roh-Images auch nachträglich noch bereinigen (redigieren) können, in WinHex, indem Sie ausgewählte Dateien über das Kontextmenü des Verzeichnis-Browsers sicher löschen. Diese Operation arbeitet mit einer etwas feineren Granularität, nicht in Einheiten von ganzen Clustern. D. h. sie kann z. B. in NTFS-Dateisystemen auch Dateien mit sog. residenter Speicherung (Inline-Speicherung) löschen und läßt den logisch nicht zu einer Datei gehörigen Schlupf stehen.

Art der Sicherung: Datei-Container Minimalsicherung Bereinigte Sicherung
Erzeugbar mit X-Ways Investigator,
X-Ways Forensics
X-Ways Forensics
ab v17.1
X-Ways Forensics
ab v17.2
Wird Speicherplatz für die ausgeschlossenen Daten im Image alloziert? nein nein ja
Wie werden ausgeschlossene Daten im Image referenziert? gar nicht als NTFS-Sparse-Bereiche mit binären Nullen oder Muster gefüllt
Verhalten der allozierten ausgeschlossenen Daten beim Kopieren des Containers/Images ./. müssen kopiert werden, extrem komprimierbar müssen kopiert werden, sehr gut komprimierbar
Kompatibilität mit anderen Tools ** *
Eignung für teilweise forensische Sicherungen
Eignung zum Austausch ausgewählter Dateien mit anderen Ermittlern nach der Sicherung    
Kann Daten von ausgewählten Dateien und Verzeichnissen enthalten und andere auslassen  
Kann Daten von ausgewählten Dateien auslassen und alle anderen enthalten    
Kann Dateien transportieren, die nicht auf der Dateisystem-Ebene liegen (z. B. extrahierte E-Mails, Datei-Anhänge, Einzelbildern aus Videos, in Excel-Spreadsheets eingebettete Bilder, Ausschnitte von Dateien, Dateien in Zip-Archive, ...)    
Alle Dateisystem-Metadaten über Dateien konservieren
Kann MBRs, Partitionstabellen, Bootsektoren und spezielle Dateisystembereiche enthalten
MBRs, Partitionstabellen, Bootsektoren und Dateisystem-Datenstrukturen bleiben automatisch einlesbar, auffindbar und funktional, zumindest in forensischen Tools*  
Nichtproprietäres Format/Layout  
Leichte Vergleichbarkeit mit dem Originaldatenträger  
Original-Offsets und Original-Abstände zwischen diversen Daten und Metadaten bleiben erhalten  
Daten von verschiedenen physischen Datenträgern in einem einzigen Image    
Unterstützt dynamische Platten von Windows und Linux LVM2 als Quelle  
Hashes einzelner Dateien    
Hashes von am Stück kopierten Sektor-Bereichen  
Kann nach Erstellung als Ganzes gehasht, komprimiert, verschlüsselt, gesplittet und vom Roh-Format in ein .e01-Evidence-File konvertiert werden
Kann sofort als Ganzes gehasht, komprimiert, verschlüsselt, gesplittet und als .e01-Evidence-File gespeichert werden    

* es sei denn, diese Tools benötigen Dateisystem-Datenstrukturen, die nicht in die Sicherung aufgenommen wurden, oder verstehen die Original-Partitionierungsmethode oder das Dateisystem generell nicht

** bestimmte Tools (Details)

Vereinfachte grafische Darstellung.