Das Institut für Computer Forensik ist führend im Bereich der professionellen Datenwiederherstellung und Forensischen Datenaufbereitung für Potsdam in Brandenburg mit Sitz und Laboren in Gera
Diese Leistungen sind der Kernkompetenzbereich im Institut für Computer Forensik – wir liefern umfassende, zeitnahe und präzise Lösungen. Nachfolgend finden Sie unsere Dienstleistungen, die für Sie oder Ihr Unternehmen von großem Interesse sein könnten.
Diensleistungen Datenrettung, Datenwiederherstellung für Potsdam in Brandenburg
- Datenrettung RAID für Potsdam
- Datenrettung Festplatten für Potsdam
- Datenrettung Server für Potsdam
- Datenrettung SSD Festplatten für Potsdam
- Datenrettung SD Karte für Potsdam
- Datebrettubg USB Stick für Potsdam
- Datenrettung Smartphone und Handy für Potsdam
- Datenrettung CLOUD für Potsdam
Wir stellen erfolgreich Daten von allen digitalen Medien und Betriebssystemen nach Hardwarefehlern und logischen Schäden wieder her. Erfahren Sie mehr über die Datenwiederherstellung über eine telefonische Beratung.
Wichtige Hinweise
 |
Erfahren Sie mehr und lassen sich von unseren Kundenberatern Informieren Tel.: 0365 7109258 |
 |
Ihre Mailanfrage wird in kürze bearbeitet. Bitte beschreiben Sie ausführlich den Schadenshergang |
 |
Sie befinden sich auf der örtlichen Landingpage für Potsdam. Auf unserer Hauptdomain finden Sie ausführliche Informationen über das Institut für Computer Forensik Gera und unseren einzelnen Leistungen |
Ablauf Datenrettung für Potsdam
- Telefonische Beratung
- Zusendung oder persönliche Abgabe ihrer Festplatte im Labor
- Nach Schadensbegutachtung erfolgt die Übermittlung der Schadensursache
- Datenwiederherstellung im eigenen Labor
- erstellen eines Angebotes
- versendung einer Dateiliste oder persönliche Einsichtname vor Ort im Labor
- Übergabe der geretteten Daten
- Rechnungslegung mit aussagekräftiger Beschreibung der einzelnen Arbeitsschritte
Besondere Leistungen
- Reparatur von Festplatten und elektronischen Baugruppen für Potsdam
- Datenlöschung
Ausbildung Praktikum
- Praktikum IT Forensik für Potsdam
- Praktikum Datenrettung für Potsdam
Dienstleistungen It Forensik für Potsdam in Brandenburg
Die Digitale Forensik wird häufig auch als Computerforensik oder IT-Forensik bezeichnet und überall dort eingesetzt, wo digitale Daten Ziel, Mittel eines Strafdeliktes sind. Nahezu jede Straftat hinterlässt digitale Spuren. Wer in der Lage ist, diese Spuren auszuwerten, kann Täter überführen. Damit dies geschehen kann, müssen die oft schwer nachvollziehbaren Spuren auf digitalen Geräten vom Ausgangspunkt nachverfolgt und so gesichert werden, dass sie als Beweismittel in einem Strafverfahren vor Gericht eingesetzt werden können. Der Unterschied zur IT-Security, die danach fragt: „Was könnte geschehen?“, beschäftigt sich die Digitale Forensik mit der Frage: „Was ist geschehen?“.
- Forensische Datensammlung für Potsdam
- Forensische Untersuchung für Potsdam
- Forensische Datenanalyse für Potsdam
- Forensische Dokumentation für Potsdam
Handheld-Computer (PDA)
Diese Klasse umfasst:
PDA, PDA (Personal Digital Assistant), Palmtop, Pocket PC, Organisatoren, Smartphones, Kommunikatoren, elektronische Tagebücher. Ein Merkmal dieser Klasse von Computern ist, dass ein erheblicher Teil der Benutzerdaten in ihrem flüchtigen Betriebsspeicher gespeichert wird. Wenn Sie den Handheld ausschalten, gehen alle diese Informationen unwiederbringlich verloren.
Der normale "Aus" -Zustand des Handhelds bedeutet eigentlich nicht ausschalten, sondern "einschlafen" oder in den Ruhezustand. In diesem Fall wird Strom nur zur Aufrechterhaltung des Arbeitsspeichers benötigt. In diesem Zustand kann es abhängig vom aktuellen Zustand der Batterie bis zu mehreren Tagen gespeichert werden.
Wenn der Handheld zum Zeitpunkt der Suche eingeschaltet ist (aktiv), sollten Sie zuerst ein Bild machen oder den Inhalt des Bildschirms auf andere Weise korrigieren, wie oben erwähnt. Bei Inaktivität erlischt der Bildschirm automatisch, und nach ein paar Minuten wechselt die Geldpost in den Ruhezustand. Nach dem Fotografieren können Sie es manuell mit der Ein / Aus-Taste ausschalten, sofern eine solche Taste vorhanden ist.
Das Berühren des Handheld-Bildschirms ist nicht möglich, da der Bildschirm empfindlich ist. Jede Berührung des Bildschirms wird als Befehl wahrgenommen.
Entfernen Sie den Akku aus dem Handheld-Gerät nicht.
Zusammen mit ihm sollten Sie unbedingt die Halterung (Ständer mit Netzteil und Schnittstellengeräten) oder ein anderes Ladegerät entfernen. Sie können den PDA für eine kurze Zeit, normalerweise mehrere Tage, ohne Nachladen selbst aufbewahren. Die Lagerzeit hängt vom Anfangszustand der Batterie ab. Nachdem der Speicher erschöpft ist, geht der Inhalt des RAMs verloren. Es ist besser, nicht zu riskieren und den Computer so bald wie möglich an einen Experten zu übergeben. Lassen Sie es bis zu einer solchen Übertragung, wenn möglich, in die Halterung eingesetzt, damit die Batterie nicht entladen wird. In der Halterung (die natürlich an das Stromnetz angeschlossen sein muss) können Sie das Handheld unbegrenzt aufbewahren. Die Aufbewahrung in einer Station ist zwar nicht mit der Computerabdichtung kompatibel.
Das Suchprotokoll (Abhebungen, persönliche Suche) sollte ungefähr Folgendes anzeigen: „Während der Überprüfung und Entfernung des Handheld-Computers wurden die Tasten nicht gedrückt, der Bildschirm wurde nicht berührt, der Akku oder die Wechseldatenträger wurden nicht entfernt. Der im Ruhezustand befindliche Handheld-Computer (beim Einschlafen) wurde so verpackt und versiegelt, dass jeglicher Zugriff auf die Bedienelemente (Tasten, Bildschirm) und seine Anschlüsse ausgeschlossen werden kann, ohne dass die Siegel beschädigt werden.
Drucker
Moderne Drucker (mit sehr wenigen Ausnahmen) stehen dem Benutzer keine Computermedien zur Verfügung. Daher müssen Drucker nicht zurückgezogen werden. Es müssen nur alle Ausdrucke im Ausgabefach des Druckers oder neben ihm entfernt werden, da diese Ausdrucke auch Computerinformationen enthalten. Darüber hinaus verfügen einige Fotodrucker über einen Anschluss zum direkten Anschließen von Medien wie Flash-Laufwerken. Wenn ein solches Laufwerk im Druckersteckplatz verbleibt, sollte es entfernt werden, und der Drucker kann nicht berührt werden. Bei der Durchführung einer Inspektion oder Suche sollte das Vorhandensein des Druckers und die Verbindungsmethode zum Computer im Protokoll wiedergegeben werden.
Es gibt eine Ausnahme von dieser Regel - es werden Fälle von Fälschungen dokumentiert.
Drucker werden sehr oft für gefälschte Dokumente verwendet, da ihre Auflösung (von 600 dpi und mehr) die Auflösung des menschlichen Auges übersteigt. Das heißt, eine auf einem modernen Drucker gedruckte Fälschung kann nicht mit dem Auge unterschieden werden.
Bei einer Untersuchung kann festgestellt werden, dass das gefälschte Dokument auf diesem bestimmten Drucker oder mit einer bestimmten Kassette gedruckt wurde.
Bei betrügerischen Dokumenten sollten neben Computern auch Computerspeichermedien entfernt werden:
- Drucker
- Tintenpatronen (außer möglicherweise neuen in der Verpackung) und andere Verbrauchsmaterialien (Toner, Farbbänder, Tinten);
- alle erkannten Ausdrucke;
- sauberes Papier und Film, der für die Verwendung im Drucker vorbereitet ist.
Der Drucker sollte versiegelt sein, so dass die Stromversorgung und der Zugriff auf die Druckeinheit nicht möglich sind, ohne die Verpackung zu stören. Diese Tatsache spiegelt sich im Protokoll wider. Andere festgehaltene Materialien sollten ebenfalls versiegelt werden.
Scanner
In Scannern sowie in Druckern stehen keine Medien zur Verfügung. Das Entfernen macht keinen Sinn.
Leider ist es nicht möglich festzustellen, ob ein bestimmtes Bild (Scan-Kopie) von einem bestimmten Scanner erhalten wurde.
Bei der Durchführung einer Inspektion oder Suche muss lediglich das Vorhandensein des Scanners und die Art seiner Verbindung zum Computer im Protokoll berücksichtigt werden.
Flash-Laufwerke
Flash-Laufwerke sind als eigenständige Geräte sowie als Bestandteil anderer Geräte wie Audioplayer oder Digitalkameras erhältlich. Die Form und Größe von Geräten mit Flash-Laufwerken ist ebenfalls sehr unterschiedlich. Meistens sind diese Laufwerke mit einer USB-Schnittstelle ausgestattet, über die sie identifiziert werden können.
Solche Laufwerke verlieren bei Stromausfall keine Daten und können daher lange Zeit gespeichert werden. Beim Herausziehen sollte es so versiegelt werden, dass der Zugriff auf den USB-Anschluss und die Bedienelemente (falls vorhanden) ausgeschlossen werden.
Das Entfernen einer Kopie des Flash-Laufwerks ist grundsätzlich möglich. Wie das geht, wird im Abschnitt "Computer- und technisches Fachwissen" beschrieben. Ein solches Kopieren ist jedoch nicht unbedingt erforderlich, da das Flash-Laufwerk immer noch herausgezogen wird, wenn Grund zu der Annahme besteht, dass es Informationen enthält, die für die Ursache wesentlich sind. Dann wird es zur Prüfung übergeben. Es ist logisch, vor Ort eine Kopie anzufertigen, in der es keine Zeit gibt, auf die Ergebnisse der Untersuchung zu warten, und Sie schnell Informationen erhalten müssen, um die Untersuchung fortzusetzen. In solchen Fällen nimmt der Spezialist eine Kopie des Laufwerks an sich, das Laufwerk selbst wird versiegelt, zurückgezogen und verschoben, um auf die Untersuchung zu warten, und seine Kopie wird einer Recherche unterzogen, um inoffizielle, aber dringende Informationen zu erhalten.
Handys
Bevor ein beschlagnahmtes Mobiltelefon als Träger von Computerinformationen betrachtet wird, muss entschieden werden, ob Materialspuren erforderlich sind - Fingerabdrücke, Medikamentenspuren und andere.
Es ist zu beachten, dass einige Methoden des Fingerabdrucks dazu führen können, dass das Telefon unbrauchbar wird.
In den meisten Fällen müssen Sie beim Abheben das Mobiltelefon ausschalten, um den Verlust vorhandener Daten durch den Erhalt neuer Anrufe und neuer SMS zu verhindern. Der Akku darf nicht entfernt werden.
In einigen Fällen kann der Betriebsleiter jedoch entscheiden, dass die Kontrolle eingehender Anrufe wichtiger ist. Dann muss das Telefon eingeschaltet bleiben und es bei Bedarf aufladen.
Ein ausgeschaltetes Telefon ist in einer starren Verpackung verpackt und versiegelt, um den Zugang zu seinen Kontrollorganen auszuschließen. Dies ist im Protokoll vermerkt.
Wenn Sie das Telefon ausschalten, müssen Sie sich nicht um den PIN-Code für den Zugriff auf Daten auf der SIM-Karte des Telefons kümmern. Sie können jederzeit einen PUK (PIN Unlock Key) von Ihrem Diensteanbieter erhalten und damit auf Ihre SIM-Karte zugreifen.
Es gibt viel technische Literatur über Feld- und Laboruntersuchungen von Informationen von Mobiltelefonen [60].
Switches und Router
Normalerweise hat ein Switch * (Switch) einen internen nichtflüchtigen Speicher, in den nur das Betriebssystem und die Konfigurationsdatei passen. Diese Konfiguration kann Gegenstand der Untersuchung sein. Bei kleinen Switches steht dem Benutzer möglicherweise kein Speicherplatz zur Verfügung, obwohl sie ihre Konfiguration (Einstellungen) beibehalten. Sehr kleine Schalter für den Heimgebrauch und Hubs haben möglicherweise nicht einmal Einstellungen.
Ein Router * (Router) kann, abhängig von seinem Ziel, so wenig Speicher haben wie ein Switch, auf dem nur eine relativ kleine Konfigurationsdatei gespeichert ist, oder er kann über ein umfangreicheres Speichergerät verfügen, beispielsweise eine Festplatte.
Die Konfiguration eines Routers oder Switches kann für die Untersuchung nur für bestimmte Arten von Straftaten von Interesse sein. In den meisten Fällen ist ihre Konfiguration nicht von Interesse.
Der Fachmann kann die gesamte Konfiguration vom Router entfernen oder vor Ort wechseln, wenn Sie das Kennwort für den Zugriff kennen.
Eingeschaltete Schalter und Router sollten während der Demontage durch Ziehen des Stromkabels oder durch einen Hardware-Schalter (Schalter) getrennt werden, der sich direkt am eingebauten Netzteil befindet.
Auto-Computer
Nahezu alle modernen Automodelle sind mit Bordcomputern ausgestattet. Sein Hauptzweck ist die Optimierung des Motormodus, um Kraftstoff zu sparen. Der Computer sammelt zahlreiche Daten von verschiedenen Fahrzeuggeräten. Im Falle eines Unfalls können Informationen über die letzten Sekunden abgerufen werden - Geschwindigkeit, Umdrehungen, Positionen der Gas- und Bremspedale, Wischermodus, Beleuchtungseinrichtungen usw.
Zusätzlich führt der Bordcomputer Navigationsfunktionen aus oder es ist ein separater Navigationscomputer dafür installiert. Er legt die Position des Fahrzeugs zu verschiedenen Zeitpunkten fest und berechnet mögliche Routen zu den angegebenen Punkten.
Leider sind die Bordcomputer nicht als persönlich vereinheitlicht. Der Standort des Computers und seines Speichergeräts hängt vom Automodell ab. Um Computerspeichermedien zu entfernen oder zu kopieren, sollten Sie einen Spezialisten vom (autorisierten) Wartungszentrum des jeweiligen Autoherstellers einladen.
Modems
Einige Modems speichern Benutzerinformationen - Netzwerkeinstellungen oder Telefonnummern des Providers. Wenn es keinen Spezialisten gibt, der angeben kann, welches Modemmodell vorhanden ist - mit oder ohne Speicher -, muss das Modem von der Stromversorgung getrennt, versiegelt und entfernt werden.
Digitalkameras
Fast alle Digitalkameras (Kameras) verfügen über ein herausnehmbares und eingebautes Laufwerk mit ausreichend großer Kapazität. Dieses Laufwerk steht dem Benutzer nicht nur zum Lesen, sondern auch zum Schreiben zur Verfügung. Daher können Sie neben aufgenommenen Fotos und Videos auch andere Benutzerinformationen finden. Manchmal wird eine Digitalkamera als tragbares USB-Laufwerk verwendet.
Wechseldatenträger
Es gibt verschiedene Standardtypen solcher Laufwerke. Dies sind nun veraltete und veraltete Disketten (HDDs) oder Disketten, magnetooptische Datenträger, CDs (CDs), DVDs, austauschbare Flashkarten und auch HDDs, die in einem separaten Paket erstellt wurden.
Kurzlebige Daten
In diesem Kapitel wird beschrieben, wie ein Spezialist während einer Untersuchungsaktion mit kurzlebigen oder volatilen Daten umgehen sollte. Dieser Begriff wird normalerweise als solche Information bezeichnet, die nur von kurzer Dauer ist und nur existiert, bis der Computer ausgeschaltet ist oder bis ein bestimmtes Programm abgeschlossen ist.
Liste von
Hier sind einige Arten von kurzlebigen Daten:
- den Inhalt des RAM *, dh alle Programme (Aufgaben, Prozesse), System- und Anwendungsprogramme (Benutzerprogramme), die gerade ausgeführt werden;
- der vorherige Inhalt des RAM in Bereichen des RAM, die derzeit als frei betrachtet werden;
- eine Liste der geöffneten Dateien mit Informationen darüber, welcher Prozess welche Datei verwendet;
- Informationen zu Benutzersitzungen, dh angemeldeten (angemeldeten, registrierten) Benutzern;
- Netzwerkkonfiguration - dynamisch zugewiesene IP-Adresse, Subnetzmaske, ARP-Tabelle, Netzwerkschnittstellenzähler, Routing-Tabelle;
- Netzwerkverbindungen - Informationen zu aktuellen Verbindungen (Verbindungen) unter Verwendung verschiedener Protokolle, zu den entsprechenden dynamischen Einstellungen der Firewall * oder des Paketfilters;
- aktuelle Systemzeit;
- eine Liste geplanter Aufgaben;
- Cache von Domainnamen und NETBIOS-Namen;
- geladene Kernelmodule (LKM);
- eingehängte Dateisysteme, zugeordnete Netzlaufwerke;
- Datei oder Auslagerungsbereich * (Auslagerungsdatei) auf der Festplatte - Informationen zum aktuellen Status des virtuellen Teils des Arbeitsspeichers sowie zu den zuvor vorhandenen Daten;
- temporäre Dateien, die automatisch gelöscht werden, wenn das Betriebssystem heruntergefahren oder das Betriebssystem geladen wird.
Alle aufgelisteten Daten mit Ausnahme der letzten beiden Elemente werden im RAM gespeichert.
Außerdem können Proben des Netzwerkverkehrs * in beide Richtungen vom und zum untersuchten Computer als kurzlebige Daten betrachtet werden. Es ist ziemlich schwierig, das Gerät und die Funktionen des Programms anhand des RAM-Inhalts zu analysieren (Speicherabzug *). In vielen Fällen ist es jedoch nicht schwierig, seine Funktionen aus dem vom Programm erzeugten Verkehr zu bestimmen. Daher ist eine Stichprobe des Computerverkehrs über einen angemessenen Zeitraum eine gute Ergänzung zum Studium unbekannter Programme.
Es ist klar, dass kurzlebige Daten (mit Ausnahme des Auslagerungsbereichs *) nur von einem laufenden Computer entfernt werden können. Nach dem Herunterfahren gehen alle diese Daten verloren. Das heißt, die Entfernung kurzlebiger Daten wird nicht von einem Experten während eines CTE durchgeführt, sondern von einem Spezialisten während einer Untersuchungsaktion. Die Ausnahme ist das Fachwissen eines PDA * (Handheld-Computer), der normalerweise im Ein-Zustand, aber im Ruhezustand * gespeichert ist.
Sollte ich versuchen, kurzlebige Daten von einem funktionierenden Computer zu entfernen? Einerseits kann dies nützlich und sogar sehr wertvoll sein, beispielsweise eine Aufzeichnung der aktuellen TCP-Sitzung mit dem angegriffenen Knoten oder ein Schlüssel für den Zugriff auf die Kryptodisk *. Auf der anderen Seite ist es beim Entfernen des RAM-Inhalts unmöglich, die Informationen auf dem Computer, einschließlich der Festplatte, nicht zu ändern. Dies kann die Beurteilung der Zuverlässigkeit der nachfolgenden Prüfung beeinträchtigen. In jedem Fall entscheidet der Spezialist, welcher Aspekt für den Fall wichtiger ist - die Sicherheit langlebiger Informationen oder die Fähigkeit, kurzfristig kritisch zu werden. Natürlich muss der Spezialist über die wesentlichen Umstände des Falls informiert werden.
Wenn beispielsweise eine Kryptodisk von einem Verdächtigen verwendet wird, ist es möglich, auf seinen Inhalt zuzugreifen, indem entweder das Kennwort herausgefunden wird oder indem der Computer im eingeschalteten Zustand mit einer aktivierten (eingebundenen) Kryptodisk gefunden wird. Nach der Demontage der Kryptodisk ist das Auffinden des Passworts nicht einfach. In der Praxis des Autors gab es mehrere Fälle, in denen es dem Verdächtigen gelang, das Kennwort für seine Kryptodisk durch hoch entwickelte Täuschung oder primitive Einschüchterung herauszufinden. Ein kompetenter IT-Benutzer weiß jedoch genau: Wenn er kein Kennwort angibt, können Daten auf einer Kryptodisk nicht entschlüsselt werden. Es gibt einen zweiten Weg. Es ist notwendig, den eingeschalteten Computer irgendwie zu durchbrechen, und während der Zugriff auf die Kryptodisc geöffnet ist, entfernen Sie alle Daten oder entfernen Sie den Verschlüsselungsschlüssel aus dem RAM.
Lohnt es sich zu versuchen, kurzlebige Informationen zu entfernen, bei denen die Gefahr besteht, dass die Daten wesentlich geändert werden oder der Computer sofort heruntergefahren wird, entscheidet der Experte anhand der Fallmaterialien.
In jedem Fall wird dringend empfohlen, möglichst kurze kurzlebige Informationen ohne Risiko zu nehmen - um ein Bild aufzunehmen oder das aktuelle Bild auf dem Bildschirm des eingeschalteten Computers zu beschreiben.
Sammeln
Für das Sammeln von kurzlebigen Informationen aus RAM und Swap * gibt es verschiedene Softwaretools für verschiedene Betriebssysteme. Es ist für einen Spezialisten nicht zu hoffen, dass solche Tools auf dem untersuchten Computer gefunden werden, sondern dass er eigene Programme verwendet, die im Voraus auf einer Diskette, einer CD oder einem Flash-Laufwerk vorbereitet sind. Meistens eine CD verwenden.
Darüber hinaus sollten Sie einen anderen Spediteur vorbereiten, um die Ergebnisse der Entfernung kurzlebiger Informationen aufzuzeichnen. Ein Flash-Laufwerk wird bevorzugt. Um die Ergebnisse anstelle eines Flash-Laufwerks oder eines anderen Geräts zurückzusetzen, können Sie ein Remote-Computerlaufwerk als Netzwerklaufwerk anschließen. Dies kann ein tragbarer Computer eines Spezialisten sein, der mitgebracht und mit demselben Segment eines LAN verbunden ist, oder ein stationärer Computer eines Spezialisten, der über das Internet erreichbar ist. Es wird dringend davon abgeraten, die empfangenen kurzlebigen Daten auf der Festplatte des untersuchten Computers abzulegen. Dies kann einige der wesentlichen Informationen für den Fall zerstören und die Ergebnisse der nachfolgenden Untersuchung in Frage stellen.
Die Richtigkeit der Arbeit von Softwaretools zum Entfernen von Informationen von einem funktionierenden Computer hängt nicht nur von diesen Tools selbst ab. Das Ergebnis kann auch vom Status des untersuchten Computers beeinflusst werden. Wenn er beispielsweise mit einer Malware wie Rootkit * infiziert ist, erhält der Spezialist möglicherweise nicht die korrekten Informationen, auch wenn die Tools einwandfrei funktionieren.
Hier einige nützliche Programme zum Sammeln kurzlebiger Daten:
- Mit den Dienstprogrammen „PMDump“, „userdump“ und „dd“ können Sie den Inhalt des Arbeitsspeichers des Computers entfernen (Speicherabbild). Wenn Sie ein beliebiges Programm ausführen, wird der Inhalt des RAM geändert, so dass das Ergebnis solcher Dienstprogramme nicht vollständig „sauber“ ist. Dies ist jedoch ein unvermeidlicher Fehler.
- Die Dienstprogramme "ifconfig", "ipconfig", "arp", "route", "netstat", "ipfw", "ipfilter", "ipchain" und "iptables" entfernen die aktuelle Netzwerkkonfiguration des Computers.
- Die Dienstprogramme "netstat" und "nmap" entfernen Informationen zu aktuellen Netzwerkverbindungen und zu offenen Ports.
- Die Dienstprogramme „Task Manager“, „pslist“, „ps“ und „top“ bieten eine Liste der aktuellen Prozesse - ausführbare Programme.
- Die Dienstprogramme „lsof“ bieten eine Liste der aktuell geöffneten Dateien.
- Dienstprogramme “w”, “last” geben eine Liste der Benutzer an, die angemeldet sind.
- Die Dienstprogramme „Datum“ und „Nlsinfo“ enthalten Informationen zur aktuellen Systemzeit.
- Die Dienstprogramme „Ethereal“ und „tcpdump“ bieten die Möglichkeit, den aktuellen Netzwerkverkehr des Computers zu erfassen.
- Die Dienstprogramme "lsmod" und "kldstat" zeigen eine Liste der geladenen Kernelmodule an.
Welche kurzlebigen Informationen müssen in welcher Reihenfolge erhoben werden? Hängt von der Art der Beweise ab, die wir zu finden beabsichtigen.
Wenn es darum geht, den zu untersuchenden Computer oder die Infektion durch Malware zu "hacken", sollten Sie Folgendes sammeln: RAM-Inhalt, Liste der Prozesse, Liste der offenen Ports, Liste der Benutzer, Netzwerkkonfiguration, Beispieldatenverkehr.
Wenn es sich um E-Mails oder illegale Inhalte handelt, die möglicherweise auf dem untersuchten Computer gespeichert werden, sollten Sie Folgendes sammeln: eine Liste der Prozesse, Informationen zu Kryptodisks *, die aktuelle Uhrzeit und möglicherweise die Netzwerkkonfiguration.
Wenn es sich um einen unzulässigen Zugriff handelt, der angeblich von dem untersuchten Computer aus ausgeführt wird, sollte Folgendes gesammelt werden: eine Liste von Prozessen, Informationen zu aktuellen Netzwerkverbindungen, ein Beispiel für den Datenverkehr.
Für Fälle von Urheberrechtsverletzungen sollten Sie Folgendes sammeln: eine Liste der Vorgänge, die aktuelle Uhrzeit, den Inhalt temporärer Dateien und den Paging-Bereich *.
Wenn es eine Gelegenheit gibt, ist es besser, alle verfügbaren kurzlebigen Informationen zu sammeln.
Das Verfahren zum Sammeln von Informationen wird so empfohlen, dass zuerst das am kürzesten lebende erfasst wird.
Nämlich - um es in der folgenden Reihenfolge zu sammeln:
- aktuelle Netzwerkverbindungen;
- aktuelle Benutzersitzungen;
- Inhalt des RAMs;
- Prozessliste;
- offene Dateien;
- Verkehrsmuster;
- Schlüssel und Passwörter;
- Netzwerkkonfiguration;
- aktuelle Uhrzeit.
Wenn Netzwerkmomente nicht wichtig sind (z. B. ist der Computer derzeit nicht mit dem Netzwerk verbunden), sollte zuerst der Inhalt des Arbeitsspeichers (Speicherabbild) entfernt werden - für die geringste Verzerrung, da beim Start eines Programms der Speicherzustand des Computers geändert wird.
Bevor kurzlebige Informationen von einem Computer entfernt werden, müssen Hindernisse in der Form überwunden werden:
- aktiver Bildschirmschoner * (Bildschirmschoner) mit Kennwortschutz (biometrisches Kennwort);
- unzureichende Berechtigungen des aktuellen Benutzers;
- blockierte, deaktivierte oder fehlende Funktionen zum Anschließen externer Geräte (USB-Anschluss, CD-ROM-Laufwerk).
Hat ein Spezialist das Recht, spezielle Mittel zur Überwindung solcher Schutzmaßnahmen zu verwenden - Programme, die sich auf unbefugten Zugriff, bösartige Programme oder Mittel zur Umgehung des Urheberrechts beziehen?
Eigentlich hat. Neben Schadprogrammen, deren Verwendung in jedem Fall illegal ist.
Datenrettung zusammengafasst:
Bei der Datenrettung bei ICF Gera für Potsdam sind Sie richtig, wenn Sie folgendes was hier nocheinmal zusammengafasst suchen:
- Datei wiederherstellen lassen für Potsdam
- Dateiwiederherstellung für Potsdam
- Festplatten-Datenrettung für Potsdam
- Festplattenreparatur für Potsdam
- MAC/NAS/Raid-Rebuild für Potsdam
- MAC/NAS/Raid wiederherstellen für Potsdam
- MAC/NAS/Raid retten für Potsdam
- Festplatten-Wiederherstellung für Potsdam
- Datenwiederherstellung für Potsdam
- MAC/NAS/Raid-Recovery für Potsdam
- Datenrettung für Festplatte für Potsdam
- Festplatten-Rettung für Potsdam
- MAC/NAS/Raid-Datenrettung für Potsdam
- MAC/NAS/Raid-Rettung für Potsdam
- Daten retten lassen für Potsdam
- MAC/NAS/Raid-Restorement für Potsdam
- Festplatte reparieren lassen für Potsdam
- MAC/NAS/Raid-Restore für Potsdam
- Festplatten-Reparatur für Potsdam
- Datei retten lassen für Potsdam
- MAC/NAS/Raid-Wiederherstellung für Potsdam
- Festplatte retten lassen für Potsdam
- Festplatte wiederherstellen lassen für Potsdam
- Daten wiederherstellen lassen für Potsdam
Sie sind bei uns an der richtigen Adresse, wenn Sie folgendes gesucht haben:
- MAC Festplatten Daten retten, reparieren und von ICF Gera wiederherstellen lassen
- NAS Festplatten Daten retten, reparieren und von ICF Gera wiederherstellen lassen
- RAID Festplatten Daten retten, reparieren und Von ICF Gera wiederherstellen lassen
