ICF Das Institut für Computer Forensik aus Gera in Thüringen ist Ihr Ansprechpartner für Datenanalyse und Datenrettung, mit schnellen und effektiven Methoden zur Datenwiederherstellung bei unerwarteten Datenverlust. Sowie eine echte Alternative um zu hohe Kosten für eine Datenrekonstruktion von Beginn an zu vermeiden.  Bitte richten Sie Ihre Datenrettungsanfrage über unser Kontaktformular oder direkt unter 0365-7109258. Unser PC Notdienst und Datenrettungsnotdienst wird Sie umfassend beraten.

Wir stellen Ihre verlorenen Daten wieder her

Wir sind auf Festplatten und SSD-Speicher spezialisiert egal welcher Typen, Modelle oder Hersteller. Es besteht eine hohe Wahrscheinlichkeit alle Daten zu retten sofern, nicht dass Magnetfeld, in dem sich Ihre Daten befinden, signifikant zerstört wurde.

Ursachen für einen Datenverlust

Wichtige Daten können aus verschiedenen Gründen verloren gegangen sein. Bei nachfolgend genannten typischen Ursachen und Symptomen können wir Ihre Daten wieder herstellen. Folgen können unter anderen sein: Computer, die nicht booten, unzugängliche Laufwerke und Partitionen oder Anwendungen, durch Viren beschädigte oder befallene Daten, Komponentenfehler oder Verunreinigung und Schäden an Leseköpfen oder einfach nur menschliche Fehlhandlungen.

Wir sind spezialisiert auf Datenwiederherstellung nach physischen und logischen Schäden durch mechanischen und elektrischen Ausfall oder Software-Korruption.

Typische Symptome von Festplattenfehlern sind: Schleifen und kratzen, klickt oder klackert, Festplatte piept oder fiept, HDD wird nicht erkannt, HDD startet nicht.

HINWEIS: Die aufgeführten Symptome und Fehlerbilder einer Festplatte sind schwerwiegende Probleme, die unbedingt sehr ernst genommen werden müssen. Wenn man die Chance auf eine erfolgreiche Rettung der Daten hochhalten will, ist von einer eigenständigen Reparatur der Festplatte abzusehen.

Die Rettung Ihrer Daten in 6 transparenten Schritten

Die Wiederherstellung von Daten aus defekten Speichermedien erfordert oft ein Eingreifen in das Innere dieser Datenträger unter besonderen Laborbedingungen, um dann mit speziellen Hardware und Softwaretools an die verschwundenen Daten zu gelangen.

Schon vor der eigentlichen Datenrettung sind zur Entscheidungsfindung der erfolgversprechenden Vorgehensweise Analysen notwendig z.B. über die Ursachen des Datenverlustes. Vor kostenrelevanten Arbeitsschritten Infomieren wir Sie über Erfolgsaussichten und damit verbundenen Arbeitsaufwand.

Es gilt, Festplattenreparatur geht vor Datenrettung

Wir reparieren unter bestimmten Voraussetzungen Festplatten mit dem Ziel, keine für den Kunden aufwendige und unter Umständen kostenintensive Datenrettung durchführen zu müssen. 25 Prozent der bei uns eingehenden Festplattenfehler lassen sich so schneller und preisgünstig beheben. Die Chance viel Geld zu sparen und dabei in der Regel alle Ihre Daten zu erhalten, sollten Sie sich auf keinen Fall entgehen lassen. Tel.  +49 365-71092-58

 

 

Profitieren Sie von unserer kostenlosen telefonischen Beratung. Kontaktieren Sie uns bevor Sie womöglich selbst versuchen wollen Daten wiederherzustellen.

Leider kommt es oft vor, dass Daten unwiederbringlich verloren gehen, wenn bevor die Datenträger bei uns eintreffen, die Fehlerursache nicht richtig erkannt wird und von Beginn an die nötigen wichtigen Schritte zur Datenrettung ausbleiben oder gar falsche Maßnahmen erfolgen. Oft gibt es nur einen einzigen Versuch oder Möglichkeit Ihre Daten zu retten. Öffnen Sie daher unter keinen Umständen selbst die Festplatte! Auch eine voreilige Neuinstallation eines Betriebssystems auf dem vermutlich beschädigten Datenträger kann Datenbereiche unwiederbringlich überschreiben in der Ihre wichtigen Arbeitsdateien liegen könnten.

Datenrettung-Techniker-Hotline: 0160 930 522 02

 

 

 

Weil es um Speichermedien mit Ihren sensiblen oder privaten Daten geht, werden Ihre Datenträger ausschließlich in den Laboren von ICF in Gera bearbeitet - bleiben also in vertrauensvollen Händen.

Preise für Datenträgerdiagnose und Datenrettung

Alle Preisangaben verstehen sich inklusive der gesetzlichen Umsatzsteuer von derzeit 19 %.

Wie Sie sich sicher denken können, sind in jeder Hinsicht keine zwei Datenrettungsszenarien identisch. Jede Wiederherstellung von Daten ist ein eigener individueller Prozess und kann nicht automatisiert und deshalb auch nicht vor vorne herein preislich fixiert werden. Trotzdem haben wir unseren Arbeitsablauf so gestaltet, dass wir unserem Motto, der transparenten Kostenaufstellung, gerecht werden können. So können wir jetzt unser Angebot hinsichtlich des Austausches der Schreib-Leseeinheit mit einem Festpreis von 148,00 Euro inkl. MwSt. festlegen.

  • Festplatten
    (HDD)
  • Diagnose Fehleranalyse
  • keine Kosten
  • Wiederherstellung Ihrer Daten
  • ab 55,00 € inkl. MwSt.
  • Sie erhalten vorab eine Dateiliste und ein Angebot
  • Solid State Disk
    (SSD)
  • Diagnose Fehleranalyse
  • keine Kosten
  • Wiederherstellung Ihrer Daten
  • ab 55,00 € inkl. MwSt.
  • Sie erhalten vorab eine Dateiliste und ein Angebot
  • USB Stick
     
  • Diagnose Fehleranalyse
  • keine Kosten
  • Wiederherstellung Ihrer Daten
  • ab 25,00 € inkl. MwSt.
  • Sie erhalten vorab eine Dateiliste und ein Angebot
  • SD Karten
    (MicroSD, CF, MMC ...)
  • Diagnose Fehleranalyse
  • keine Kosten
  • Wiederherstellung Ihrer Daten
  • ab 45,00 € inkl. Mwst.
  • Sie erhalten vorab eine Dateiliste und ein Angebot
  • Smartphone
    und Tablets
  • Diagnose Fehleranalyse
  • keine Kosten
  • Wiederherstellung Ihrer Daten
  • ab 40,00 € inkl. Mwst.
  • Sie erhalten vorab eine Dateiliste und ein Angebot
  • NAS-, RAID- und
    Cloud-Systeme
  • Diagnose Fehleranalyse
  • keine Kosten
  • Wiederherstellung Ihrer Daten
  • ab 55,00 € inkl. MwSt.
  • Sie erhalten vorab eine Dateiliste und ein Angebot

Faire Preisgestaltung ohne Risiko

Diagnose

Nach der Diagnose erhalten Sie eine Kostenaufstellung für die Wiederherstellung Ihrer Daten inkl. einer Übersicht aller wiederherstellbaren Dateien. Zusätzlich erhalten Sie die Möglichkeit die Daten in unserem Labor in Gera einzusehen.

Besonderheiten

Bei schweren Beschädigungen sind jedoch alle Kosten nicht immer vorhersehbar, deshalb erhalten Sie in einem solchen Fall erst am Ende der Datenwiederherstellung eine Kostenaufstellung und auch erst dann entscheiden Sie, ob Sie bereit sind, die angegebenen Kosten zu übernehmen. Bei komplexen Systemen sind unsere Kundendienstberater in der Lage, Ihnen telefonisch eine Vorstellung davon zu geben, welche Preisgestaltung Sie bei Ihrer jeweiligen Konfiguration und den Umständen erwarten könnten.

Kosten Im Detail

Die genauen Preise werden immer vom Aufwand der Datenrettungsanalyse sowie des Datenwiederherstellungsprozesses bestimmt. Alle Arbeitsabläufe werden in der Kostenaufstellung beschrieben und mit einer Kostennote versehen.

Senden Sie bitte Ihre Datenträger oder Ihre mobilen Geräte sorgfältig und sicher verpackt an:
Institut für Computer Forensik, Wiesestrasse 189A, 07551 Gera

Warum das Institut für Computer Forensik für Ihre Datenrettung?

Ein führender Anbieter
Das icf zählt heute zu einem der führenden Anbieten von Leistungen rund um die Datenwiederherstellung.
Viele Jahre Branchenerfahrung
Unser Know-How stützt sich auf viele Jahre praktische Branchenerfahrung im Einsatz branchenführender Datenrettungsmethoden.
professionelles Spezialistenteam
Wir sind ein hochqualifiziertes professionelles Expertenteam für das Management von Datenrettung.
vorbildlicher Service
Sie können auf einen vorbildlichen Service vertrauen, den bisher über 500-Kunden erleben konnten.
Termintreue und Zuverlässigkeit
Wir können eine rechtzeitige, genaue und qualitativ hochwertige Rettung Ihrer Daten zusichern.

Ein Blick in unser Labor in Gera

Eine Datenrettung durchführen zu lassen und höchsten Ansprüchen gerecht werden? Alles machbar. Reinraum heißt das Zauberwort. Jedoch sind mit diesem Begriff sehr hohe und oft auch unnötige Kosten verbunden. Überdurchschnittliche Erfolgschancen bei der Rettung von Daten genauso wie bei forensischen Aufgabenstellungen erfüllen wir, indem uns für diverse Eingriffe ins Innenleben einer Festplatte luftdicht und staubfreie Handschuhboxen mit Schleuse inklusive je zwei Schlauch-Anschlüssen zur Begasung und gefilterten Belüftung zur Verfügung stehen. Hohe Reinraum kosten müssen Sie bei uns nicht fürchten.

Feedbacks zufriedener Kunden

Nachfolgend sehen Sie eine kleine und aktuelle Auswahl von Kundenmeinungen.
Weitere Berichte die uns unsere Kunden als Feedback auf unsere Datenrettungsleistungen zugeschickt hatten, finden Sie auf unseren Referenzseiten.

Forensische Beweissicherung im Institut für Computer Forensik

Wissenschaft

Computer Forensik ist eine angewandte Wissenschaft über die Aufdeckung von Verbrechen im Zusammenhang mit Computerinformationen, über das Studium digitaler Beweise, über Suchmethoden, die Erlangung und Sicherung solcher Beweise.

Ereignisanalyse

Das Hauptanwendungsgebiet der Forensik ist somit die Analyse und Untersuchung von Ereignissen, bei denen Computerinformationen als Gegenstand von Verstößen erscheinen, Computer oder Handy als Instrument zur Begehung einer Straftat sowie aller digitalen Beweise.

Grundsätze

Für die Untersuchung und Sammlung digitaler Beweise müssen die Grundsätze der Unveränderlichkeit, Integrität, Vollständigkeit der Informationen und ihrer Zuverlässigkeit eingehalten werden.

Internet, Computer oder Smartphone als Angriffswerkzeug

Unsere forensisches Leistungsspektrum

Forensik als Ableger der Informationssicherheit ist weitaus weniger entwickelt als Penetrationstests oder die Installation von Schutzanwendungen. Ein kompetenter Ansatz bei der Durchführung digitaler Beweismittel stellt nicht nur das Bild eines möglichen Vorfalls wieder her, sondern ermöglicht auch die Ermittlung der Wege und Voraussetzungen für das Auftreten des Vorfalls.

In diesem Zusammenhang bieten wir folgende Dienstleistungen an:

Penetrationstests

ICF Gera hilft Ihnen Privat und in Ihrem Unternehmen, das Risiko solcher Vorfälle erheblich zu reduzieren. Wir führen Penetrationstests auf verschiedenen Komplexitätsstufen durch. Anschließend erstellen wir einen detaillierten Bericht über die geleistete Arbeit und geben Empfehlungen zur Beseitigung der Sicherheitsverletzungen.

Präventive Angriffssimulation

ICF Gera arbeitet mit Methoden zur Bewertung der Sicherheit von Computersystemen oder Netzwerken mittels Angriffssimulation eines Angreifers. Der Prozess beinhaltet eine umfassende Analyse des Systems auf potenzielle Schwachstellen. Die Analyse wird von der Position eines potenziellen Eindringlings aus durchgeführt und kann den aktiven Einsatz von Systemschwachstellen beinhalten. Das Ergebnis der Arbeit ist ein Bericht, der alle gefundenen "Schwächen" des Sicherheitssystems enthält und möglicherweise Empfehlungen für deren Beseitigung enthält. Der Zweck von Penetrationstests besteht darin, die Möglichkeit seiner Implementierung zu bewerten und wirtschaftliche Verluste infolge der erfolgreichen Durchführung eines Angriffs vorherzusagen. Penetrationstests sind Teil einer Sicherheitsüberprüfung.

Untersuchungen von Straftaten

ICF Gera hilft bei der Untersuchung von Straftaten, bei denen Computer oder Mobile Geräte wie Smartphone als Angriffswerkzeug eingesetzt worden sind. Wir rekonstruieren das Bild des Vorfalls, indem wir digitale Informationen von verschiedenen elektronischen Geräten überprüfen, sammeln, sichern, analysieren, dokumentieren

Bitte beachten Sie:

Um an die Beweise zu gelangen, müssen wir besondere Vorkehrungen treffen, denn die Beweise müssen so sichergestellt werden, dass diese nicht oder möglichst wenig verändert werden. Auch spätere Veränderungen müssen erkannt und verhindert werden. Dies gilt besonders für die gesamte Beweismittelkette. Allein das Einschalten eines Computers vernichtet Beweise, es können belastende oder auch entlastende Beweise sein, welche nicht mehr ausgewertet werden, da sie nicht gefunden werden können.

Datenwiederherstellung PotsdamDas Institut für Computer Forensik ist führend im Bereich der professionellen Datenwiederherstellung und Forensischen Datenaufbereitung für Potsdam in Brandenburg mit Sitz und Laboren in Gera

ICF rettet Daten von allen Medien und Betriebssystemen, für Institutionen, Unternehmen und Privatkunden. Seit über 11 Jahren sind wir der Experte in der Datenrettung und Wiederherstellung wertvoller Daten sowie IT-Forensischen Aufarbeitung.

Datenrettung Potsdam

Diese Leistungen sind der Kernkompetenzbereich im Institut für Computer Forensik – wir liefern umfassende, zeitnahe und präzise Lösungen. Nachfolgend finden Sie unsere Dienstleistungen, die für Sie oder Ihr Unternehmen von großem Interesse sein könnten.

Diensleistungen Datenrettung, Datenwiederherstellung für Potsdam in Brandenburg

Datenrettung klein

  • Datenrettung RAID für Potsdam
  • Datenrettung Festplatten für Potsdam
  • Datenrettung Server für Potsdam
  • Datenrettung SSD Festplatten für Potsdam
  • Datenrettung SD Karte für Potsdam
  • Datebrettubg USB Stick für Potsdam
  • Datenrettung Smartphone und Handy für Potsdam
  • Datenrettung CLOUD für Potsdam

Wir stellen erfolgreich Daten von allen digitalen Medien und Betriebssystemen nach Hardwarefehlern und logischen Schäden wieder her. Erfahren Sie mehr über die Datenwiederherstellung über eine telefonische Beratung.

Wichtige Hinweise

Bitte nehmen Sie sich unbedingt Zeit und informieren Sie sich ausführlich über den Ablauf der Datenwiederherstellung um von Beginn an die richtigen Entscheidungen zu treffen und vor allem Kosten zu sparen.
Hotline Groß Erfahren Sie mehr und lassen sich von unseren Kundenberatern Informieren
Tel.: 0365 7109258
E Mail Kontakt groß Ihre Mailanfrage wird in kürze bearbeitet. Bitte beschreiben Sie ausführlich den Schadenshergang
ICF Gera Institut Sie befinden sich auf der örtlichen Landingpage für Potsdam. Auf unserer Hauptdomain finden Sie ausführliche Informationen über das Institut für Computer Forensik Gera und unseren einzelnen Leistungen

 

Ablauf Datenrettung für Potsdam

  • Telefonische Beratung
  • Zusendung oder persönliche Abgabe ihrer Festplatte im Labor
  • Nach Schadensbegutachtung erfolgt die Übermittlung der Schadensursache
  • Datenwiederherstellung im eigenen Labor
  • erstellen eines Angebotes
  • versendung einer Dateiliste oder persönliche Einsichtname vor Ort im Labor
  • Übergabe der geretteten Daten
  • Rechnungslegung mit aussagekräftiger Beschreibung der einzelnen Arbeitsschritte

Besondere Leistungen

  • Reparatur von Festplatten und elektronischen Baugruppen für Potsdam
  • Datenlöschung 

Datenlöschung klein

Ausbildung Praktikum

  • Praktikum IT Forensik für Potsdam
  • Praktikum Datenrettung für Potsdam

Dienstleistungen It Forensik für Potsdam in Brandenburg

Forensik klein

Die Digitale Forensik wird häufig auch als Computerforensik oder IT-Forensik bezeichnet und überall dort eingesetzt, wo digitale Daten Ziel, Mittel eines Strafdeliktes sind. Nahezu jede Straftat hinterlässt digitale Spuren. Wer in der Lage ist, diese Spuren auszuwerten, kann Täter überführen. Damit dies geschehen kann, müssen die oft schwer nachvollziehbaren Spuren auf digitalen Geräten vom Ausgangspunkt nachverfolgt und so gesichert werden, dass sie als Beweismittel in einem Strafverfahren vor Gericht eingesetzt werden können. Der Unterschied zur IT-Security, die danach fragt: „Was könnte geschehen?“, beschäftigt sich die Digitale Forensik mit der Frage: „Was ist geschehen?“.

  • Forensische Datensammlung für Potsdam
  • Forensische Untersuchung für Potsdam
  • Forensische Datenanalyse für Potsdam
  • Forensische Dokumentation für Potsdam

Handheld-Computer (PDA)

Diese Klasse umfasst:

PDA, PDA (Personal Digital Assistant), Palmtop, Pocket PC, Organisatoren, Smartphones, Kommunikatoren, elektronische Tagebücher. Ein Merkmal dieser Klasse von Computern ist, dass ein erheblicher Teil der Benutzerdaten in ihrem flüchtigen Betriebsspeicher gespeichert wird. Wenn Sie den Handheld ausschalten, gehen alle diese Informationen unwiederbringlich verloren.

Der normale "Aus" -Zustand des Handhelds bedeutet eigentlich nicht ausschalten, sondern "einschlafen" oder in den Ruhezustand. In diesem Fall wird Strom nur zur Aufrechterhaltung des Arbeitsspeichers benötigt. In diesem Zustand kann es abhängig vom aktuellen Zustand der Batterie bis zu mehreren Tagen gespeichert werden.

Wenn der Handheld zum Zeitpunkt der Suche eingeschaltet ist (aktiv), sollten Sie zuerst ein Bild machen oder den Inhalt des Bildschirms auf andere Weise korrigieren, wie oben erwähnt. Bei Inaktivität erlischt der Bildschirm automatisch, und nach ein paar Minuten wechselt die Geldpost in den Ruhezustand. Nach dem Fotografieren können Sie es manuell mit der Ein / Aus-Taste ausschalten, sofern eine solche Taste vorhanden ist.

Das Berühren des Handheld-Bildschirms ist nicht möglich, da der Bildschirm empfindlich ist. Jede Berührung des Bildschirms wird als Befehl wahrgenommen.

Entfernen Sie den Akku aus dem Handheld-Gerät nicht.

Zusammen mit ihm sollten Sie unbedingt die Halterung (Ständer mit Netzteil und Schnittstellengeräten) oder ein anderes Ladegerät entfernen. Sie können den PDA für eine kurze Zeit, normalerweise mehrere Tage, ohne Nachladen selbst aufbewahren. Die Lagerzeit hängt vom Anfangszustand der Batterie ab. Nachdem der Speicher erschöpft ist, geht der Inhalt des RAMs verloren. Es ist besser, nicht zu riskieren und den Computer so bald wie möglich an einen Experten zu übergeben. Lassen Sie es bis zu einer solchen Übertragung, wenn möglich, in die Halterung eingesetzt, damit die Batterie nicht entladen wird. In der Halterung (die natürlich an das Stromnetz angeschlossen sein muss) können Sie das Handheld unbegrenzt aufbewahren. Die Aufbewahrung in einer Station ist zwar nicht mit der Computerabdichtung kompatibel.
Das Suchprotokoll (Abhebungen, persönliche Suche) sollte ungefähr Folgendes anzeigen: „Während der Überprüfung und Entfernung des Handheld-Computers wurden die Tasten nicht gedrückt, der Bildschirm wurde nicht berührt, der Akku oder die Wechseldatenträger wurden nicht entfernt. Der im Ruhezustand befindliche Handheld-Computer (beim Einschlafen) wurde so verpackt und versiegelt, dass jeglicher Zugriff auf die Bedienelemente (Tasten, Bildschirm) und seine Anschlüsse ausgeschlossen werden kann, ohne dass die Siegel beschädigt werden.

Drucker

Moderne Drucker (mit sehr wenigen Ausnahmen) stehen dem Benutzer keine Computermedien zur Verfügung. Daher müssen Drucker nicht zurückgezogen werden. Es müssen nur alle Ausdrucke im Ausgabefach des Druckers oder neben ihm entfernt werden, da diese Ausdrucke auch Computerinformationen enthalten. Darüber hinaus verfügen einige Fotodrucker über einen Anschluss zum direkten Anschließen von Medien wie Flash-Laufwerken. Wenn ein solches Laufwerk im Druckersteckplatz verbleibt, sollte es entfernt werden, und der Drucker kann nicht berührt werden. Bei der Durchführung einer Inspektion oder Suche sollte das Vorhandensein des Druckers und die Verbindungsmethode zum Computer im Protokoll wiedergegeben werden.

Es gibt eine Ausnahme von dieser Regel - es werden Fälle von Fälschungen dokumentiert.

Drucker werden sehr oft für gefälschte Dokumente verwendet, da ihre Auflösung (von 600 dpi und mehr) die Auflösung des menschlichen Auges übersteigt. Das heißt, eine auf einem modernen Drucker gedruckte Fälschung kann nicht mit dem Auge unterschieden werden.

Bei einer Untersuchung kann festgestellt werden, dass das gefälschte Dokument auf diesem bestimmten Drucker oder mit einer bestimmten Kassette gedruckt wurde.

Bei betrügerischen Dokumenten sollten neben Computern auch Computerspeichermedien entfernt werden:

  • Drucker
  • Tintenpatronen (außer möglicherweise neuen in der Verpackung) und andere Verbrauchsmaterialien (Toner, Farbbänder, Tinten);
  • alle erkannten Ausdrucke;
  • sauberes Papier und Film, der für die Verwendung im Drucker vorbereitet ist.
    Der Drucker sollte versiegelt sein, so dass die Stromversorgung und der Zugriff auf die Druckeinheit nicht möglich sind, ohne die Verpackung zu stören. Diese Tatsache spiegelt sich im Protokoll wider. Andere festgehaltene Materialien sollten ebenfalls versiegelt werden.

Scanner

In Scannern sowie in Druckern stehen keine Medien zur Verfügung. Das Entfernen macht keinen Sinn.
Leider ist es nicht möglich festzustellen, ob ein bestimmtes Bild (Scan-Kopie) von einem bestimmten Scanner erhalten wurde.

Bei der Durchführung einer Inspektion oder Suche muss lediglich das Vorhandensein des Scanners und die Art seiner Verbindung zum Computer im Protokoll berücksichtigt werden.

Flash-Laufwerke

Flash-Laufwerke sind als eigenständige Geräte sowie als Bestandteil anderer Geräte wie Audioplayer oder Digitalkameras erhältlich. Die Form und Größe von Geräten mit Flash-Laufwerken ist ebenfalls sehr unterschiedlich. Meistens sind diese Laufwerke mit einer USB-Schnittstelle ausgestattet, über die sie identifiziert werden können.

Solche Laufwerke verlieren bei Stromausfall keine Daten und können daher lange Zeit gespeichert werden. Beim Herausziehen sollte es so versiegelt werden, dass der Zugriff auf den USB-Anschluss und die Bedienelemente (falls vorhanden) ausgeschlossen werden.

Das Entfernen einer Kopie des Flash-Laufwerks ist grundsätzlich möglich. Wie das geht, wird im Abschnitt "Computer- und technisches Fachwissen" beschrieben. Ein solches Kopieren ist jedoch nicht unbedingt erforderlich, da das Flash-Laufwerk immer noch herausgezogen wird, wenn Grund zu der Annahme besteht, dass es Informationen enthält, die für die Ursache wesentlich sind. Dann wird es zur Prüfung übergeben. Es ist logisch, vor Ort eine Kopie anzufertigen, in der es keine Zeit gibt, auf die Ergebnisse der Untersuchung zu warten, und Sie schnell Informationen erhalten müssen, um die Untersuchung fortzusetzen. In solchen Fällen nimmt der Spezialist eine Kopie des Laufwerks an sich, das Laufwerk selbst wird versiegelt, zurückgezogen und verschoben, um auf die Untersuchung zu warten, und seine Kopie wird einer Recherche unterzogen, um inoffizielle, aber dringende Informationen zu erhalten.

Handys

Bevor ein beschlagnahmtes Mobiltelefon als Träger von Computerinformationen betrachtet wird, muss entschieden werden, ob Materialspuren erforderlich sind - Fingerabdrücke, Medikamentenspuren und andere.
Es ist zu beachten, dass einige Methoden des Fingerabdrucks dazu führen können, dass das Telefon unbrauchbar wird.
In den meisten Fällen müssen Sie beim Abheben das Mobiltelefon ausschalten, um den Verlust vorhandener Daten durch den Erhalt neuer Anrufe und neuer SMS zu verhindern. Der Akku darf nicht entfernt werden.

In einigen Fällen kann der Betriebsleiter jedoch entscheiden, dass die Kontrolle eingehender Anrufe wichtiger ist. Dann muss das Telefon eingeschaltet bleiben und es bei Bedarf aufladen.

Ein ausgeschaltetes Telefon ist in einer starren Verpackung verpackt und versiegelt, um den Zugang zu seinen Kontrollorganen auszuschließen. Dies ist im Protokoll vermerkt.

Wenn Sie das Telefon ausschalten, müssen Sie sich nicht um den PIN-Code für den Zugriff auf Daten auf der SIM-Karte des Telefons kümmern. Sie können jederzeit einen PUK (PIN Unlock Key) von Ihrem Diensteanbieter erhalten und damit auf Ihre SIM-Karte zugreifen.

Es gibt viel technische Literatur über Feld- und Laboruntersuchungen von Informationen von Mobiltelefonen [60].

Switches und Router

Normalerweise hat ein Switch * (Switch) einen internen nichtflüchtigen Speicher, in den nur das Betriebssystem und die Konfigurationsdatei passen. Diese Konfiguration kann Gegenstand der Untersuchung sein. Bei kleinen Switches steht dem Benutzer möglicherweise kein Speicherplatz zur Verfügung, obwohl sie ihre Konfiguration (Einstellungen) beibehalten. Sehr kleine Schalter für den Heimgebrauch und Hubs haben möglicherweise nicht einmal Einstellungen.
Ein Router * (Router) kann, abhängig von seinem Ziel, so wenig Speicher haben wie ein Switch, auf dem nur eine relativ kleine Konfigurationsdatei gespeichert ist, oder er kann über ein umfangreicheres Speichergerät verfügen, beispielsweise eine Festplatte.

Die Konfiguration eines Routers oder Switches kann für die Untersuchung nur für bestimmte Arten von Straftaten von Interesse sein. In den meisten Fällen ist ihre Konfiguration nicht von Interesse.
Der Fachmann kann die gesamte Konfiguration vom Router entfernen oder vor Ort wechseln, wenn Sie das Kennwort für den Zugriff kennen.

Eingeschaltete Schalter und Router sollten während der Demontage durch Ziehen des Stromkabels oder durch einen Hardware-Schalter (Schalter) getrennt werden, der sich direkt am eingebauten Netzteil befindet.
Auto-Computer

Nahezu alle modernen Automodelle sind mit Bordcomputern ausgestattet. Sein Hauptzweck ist die Optimierung des Motormodus, um Kraftstoff zu sparen. Der Computer sammelt zahlreiche Daten von verschiedenen Fahrzeuggeräten. Im Falle eines Unfalls können Informationen über die letzten Sekunden abgerufen werden - Geschwindigkeit, Umdrehungen, Positionen der Gas- und Bremspedale, Wischermodus, Beleuchtungseinrichtungen usw.
Zusätzlich führt der Bordcomputer Navigationsfunktionen aus oder es ist ein separater Navigationscomputer dafür installiert. Er legt die Position des Fahrzeugs zu verschiedenen Zeitpunkten fest und berechnet mögliche Routen zu den angegebenen Punkten.

Leider sind die Bordcomputer nicht als persönlich vereinheitlicht. Der Standort des Computers und seines Speichergeräts hängt vom Automodell ab. Um Computerspeichermedien zu entfernen oder zu kopieren, sollten Sie einen Spezialisten vom (autorisierten) Wartungszentrum des jeweiligen Autoherstellers einladen.
Modems

Einige Modems speichern Benutzerinformationen - Netzwerkeinstellungen oder Telefonnummern des Providers. Wenn es keinen Spezialisten gibt, der angeben kann, welches Modemmodell vorhanden ist - mit oder ohne Speicher -, muss das Modem von der Stromversorgung getrennt, versiegelt und entfernt werden.
Digitalkameras

Fast alle Digitalkameras (Kameras) verfügen über ein herausnehmbares und eingebautes Laufwerk mit ausreichend großer Kapazität. Dieses Laufwerk steht dem Benutzer nicht nur zum Lesen, sondern auch zum Schreiben zur Verfügung. Daher können Sie neben aufgenommenen Fotos und Videos auch andere Benutzerinformationen finden. Manchmal wird eine Digitalkamera als tragbares USB-Laufwerk verwendet.

Wechseldatenträger

Es gibt verschiedene Standardtypen solcher Laufwerke. Dies sind nun veraltete und veraltete Disketten (HDDs) oder Disketten, magnetooptische Datenträger, CDs (CDs), DVDs, austauschbare Flashkarten und auch HDDs, die in einem separaten Paket erstellt wurden.

Kurzlebige Daten

In diesem Kapitel wird beschrieben, wie ein Spezialist während einer Untersuchungsaktion mit kurzlebigen oder volatilen Daten umgehen sollte. Dieser Begriff wird normalerweise als solche Information bezeichnet, die nur von kurzer Dauer ist und nur existiert, bis der Computer ausgeschaltet ist oder bis ein bestimmtes Programm abgeschlossen ist.
Liste von

Hier sind einige Arten von kurzlebigen Daten:

  • den Inhalt des RAM *, dh alle Programme (Aufgaben, Prozesse), System- und Anwendungsprogramme (Benutzerprogramme), die gerade ausgeführt werden;
  • der vorherige Inhalt des RAM in Bereichen des RAM, die derzeit als frei betrachtet werden;
  • eine Liste der geöffneten Dateien mit Informationen darüber, welcher Prozess welche Datei verwendet;
  • Informationen zu Benutzersitzungen, dh angemeldeten (angemeldeten, registrierten) Benutzern;
  • Netzwerkkonfiguration - dynamisch zugewiesene IP-Adresse, Subnetzmaske, ARP-Tabelle, Netzwerkschnittstellenzähler, Routing-Tabelle;
  • Netzwerkverbindungen - Informationen zu aktuellen Verbindungen (Verbindungen) unter Verwendung verschiedener Protokolle, zu den entsprechenden dynamischen Einstellungen der Firewall * oder des Paketfilters;
  • aktuelle Systemzeit;
  • eine Liste geplanter Aufgaben;
  • Cache von Domainnamen und NETBIOS-Namen;
  • geladene Kernelmodule (LKM);
  • eingehängte Dateisysteme, zugeordnete Netzlaufwerke;
  • Datei oder Auslagerungsbereich * (Auslagerungsdatei) auf der Festplatte - Informationen zum aktuellen Status des virtuellen Teils des Arbeitsspeichers sowie zu den zuvor vorhandenen Daten;
  • temporäre Dateien, die automatisch gelöscht werden, wenn das Betriebssystem heruntergefahren oder das Betriebssystem geladen wird.

Alle aufgelisteten Daten mit Ausnahme der letzten beiden Elemente werden im RAM gespeichert.
Außerdem können Proben des Netzwerkverkehrs * in beide Richtungen vom und zum untersuchten Computer als kurzlebige Daten betrachtet werden. Es ist ziemlich schwierig, das Gerät und die Funktionen des Programms anhand des RAM-Inhalts zu analysieren (Speicherabzug *). In vielen Fällen ist es jedoch nicht schwierig, seine Funktionen aus dem vom Programm erzeugten Verkehr zu bestimmen. Daher ist eine Stichprobe des Computerverkehrs über einen angemessenen Zeitraum eine gute Ergänzung zum Studium unbekannter Programme.

Es ist klar, dass kurzlebige Daten (mit Ausnahme des Auslagerungsbereichs *) nur von einem laufenden Computer entfernt werden können. Nach dem Herunterfahren gehen alle diese Daten verloren. Das heißt, die Entfernung kurzlebiger Daten wird nicht von einem Experten während eines CTE durchgeführt, sondern von einem Spezialisten während einer Untersuchungsaktion. Die Ausnahme ist das Fachwissen eines PDA * (Handheld-Computer), der normalerweise im Ein-Zustand, aber im Ruhezustand * gespeichert ist.

Sollte ich versuchen, kurzlebige Daten von einem funktionierenden Computer zu entfernen? Einerseits kann dies nützlich und sogar sehr wertvoll sein, beispielsweise eine Aufzeichnung der aktuellen TCP-Sitzung mit dem angegriffenen Knoten oder ein Schlüssel für den Zugriff auf die Kryptodisk *. Auf der anderen Seite ist es beim Entfernen des RAM-Inhalts unmöglich, die Informationen auf dem Computer, einschließlich der Festplatte, nicht zu ändern. Dies kann die Beurteilung der Zuverlässigkeit der nachfolgenden Prüfung beeinträchtigen. In jedem Fall entscheidet der Spezialist, welcher Aspekt für den Fall wichtiger ist - die Sicherheit langlebiger Informationen oder die Fähigkeit, kurzfristig kritisch zu werden. Natürlich muss der Spezialist über die wesentlichen Umstände des Falls informiert werden.

Wenn beispielsweise eine Kryptodisk von einem Verdächtigen verwendet wird, ist es möglich, auf seinen Inhalt zuzugreifen, indem entweder das Kennwort herausgefunden wird oder indem der Computer im eingeschalteten Zustand mit einer aktivierten (eingebundenen) Kryptodisk gefunden wird. Nach der Demontage der Kryptodisk ist das Auffinden des Passworts nicht einfach. In der Praxis des Autors gab es mehrere Fälle, in denen es dem Verdächtigen gelang, das Kennwort für seine Kryptodisk durch hoch entwickelte Täuschung oder primitive Einschüchterung herauszufinden. Ein kompetenter IT-Benutzer weiß jedoch genau: Wenn er kein Kennwort angibt, können Daten auf einer Kryptodisk nicht entschlüsselt werden. Es gibt einen zweiten Weg. Es ist notwendig, den eingeschalteten Computer irgendwie zu durchbrechen, und während der Zugriff auf die Kryptodisc geöffnet ist, entfernen Sie alle Daten oder entfernen Sie den Verschlüsselungsschlüssel aus dem RAM.

Lohnt es sich zu versuchen, kurzlebige Informationen zu entfernen, bei denen die Gefahr besteht, dass die Daten wesentlich geändert werden oder der Computer sofort heruntergefahren wird, entscheidet der Experte anhand der Fallmaterialien.

In jedem Fall wird dringend empfohlen, möglichst kurze kurzlebige Informationen ohne Risiko zu nehmen - um ein Bild aufzunehmen oder das aktuelle Bild auf dem Bildschirm des eingeschalteten Computers zu beschreiben.

Sammeln

Für das Sammeln von kurzlebigen Informationen aus RAM und Swap * gibt es verschiedene Softwaretools für verschiedene Betriebssysteme. Es ist für einen Spezialisten nicht zu hoffen, dass solche Tools auf dem untersuchten Computer gefunden werden, sondern dass er eigene Programme verwendet, die im Voraus auf einer Diskette, einer CD oder einem Flash-Laufwerk vorbereitet sind. Meistens eine CD verwenden.

Darüber hinaus sollten Sie einen anderen Spediteur vorbereiten, um die Ergebnisse der Entfernung kurzlebiger Informationen aufzuzeichnen. Ein Flash-Laufwerk wird bevorzugt. Um die Ergebnisse anstelle eines Flash-Laufwerks oder eines anderen Geräts zurückzusetzen, können Sie ein Remote-Computerlaufwerk als Netzwerklaufwerk anschließen. Dies kann ein tragbarer Computer eines Spezialisten sein, der mitgebracht und mit demselben Segment eines LAN verbunden ist, oder ein stationärer Computer eines Spezialisten, der über das Internet erreichbar ist. Es wird dringend davon abgeraten, die empfangenen kurzlebigen Daten auf der Festplatte des untersuchten Computers abzulegen. Dies kann einige der wesentlichen Informationen für den Fall zerstören und die Ergebnisse der nachfolgenden Untersuchung in Frage stellen.

Die Richtigkeit der Arbeit von Softwaretools zum Entfernen von Informationen von einem funktionierenden Computer hängt nicht nur von diesen Tools selbst ab. Das Ergebnis kann auch vom Status des untersuchten Computers beeinflusst werden. Wenn er beispielsweise mit einer Malware wie Rootkit * infiziert ist, erhält der Spezialist möglicherweise nicht die korrekten Informationen, auch wenn die Tools einwandfrei funktionieren.

Hier einige nützliche Programme zum Sammeln kurzlebiger Daten:

  • Mit den Dienstprogrammen „PMDump“, „userdump“ und „dd“ können Sie den Inhalt des Arbeitsspeichers des Computers entfernen (Speicherabbild). Wenn Sie ein beliebiges Programm ausführen, wird der Inhalt des RAM geändert, so dass das Ergebnis solcher Dienstprogramme nicht vollständig „sauber“ ist. Dies ist jedoch ein unvermeidlicher Fehler.
  • Die Dienstprogramme "ifconfig", "ipconfig", "arp", "route", "netstat", "ipfw", "ipfilter", "ipchain" und "iptables" entfernen die aktuelle Netzwerkkonfiguration des Computers.
  • Die Dienstprogramme "netstat" und "nmap" entfernen Informationen zu aktuellen Netzwerkverbindungen und zu offenen Ports.
  • Die Dienstprogramme „Task Manager“, „pslist“, „ps“ und „top“ bieten eine Liste der aktuellen Prozesse - ausführbare Programme.
  • Die Dienstprogramme „lsof“ bieten eine Liste der aktuell geöffneten Dateien.
  • Dienstprogramme “w”, “last” geben eine Liste der Benutzer an, die angemeldet sind.
  • Die Dienstprogramme „Datum“ und „Nlsinfo“ enthalten Informationen zur aktuellen Systemzeit.
  • Die Dienstprogramme „Ethereal“ und „tcpdump“ bieten die Möglichkeit, den aktuellen Netzwerkverkehr des Computers zu erfassen.
  • Die Dienstprogramme "lsmod" und "kldstat" zeigen eine Liste der geladenen Kernelmodule an.


Welche kurzlebigen Informationen müssen in welcher Reihenfolge erhoben werden? Hängt von der Art der Beweise ab, die wir zu finden beabsichtigen.

Wenn es darum geht, den zu untersuchenden Computer oder die Infektion durch Malware zu "hacken", sollten Sie Folgendes sammeln: RAM-Inhalt, Liste der Prozesse, Liste der offenen Ports, Liste der Benutzer, Netzwerkkonfiguration, Beispieldatenverkehr.

Wenn es sich um E-Mails oder illegale Inhalte handelt, die möglicherweise auf dem untersuchten Computer gespeichert werden, sollten Sie Folgendes sammeln: eine Liste der Prozesse, Informationen zu Kryptodisks *, die aktuelle Uhrzeit und möglicherweise die Netzwerkkonfiguration.

Wenn es sich um einen unzulässigen Zugriff handelt, der angeblich von dem untersuchten Computer aus ausgeführt wird, sollte Folgendes gesammelt werden: eine Liste von Prozessen, Informationen zu aktuellen Netzwerkverbindungen, ein Beispiel für den Datenverkehr.

Für Fälle von Urheberrechtsverletzungen sollten Sie Folgendes sammeln: eine Liste der Vorgänge, die aktuelle Uhrzeit, den Inhalt temporärer Dateien und den Paging-Bereich *.

Wenn es eine Gelegenheit gibt, ist es besser, alle verfügbaren kurzlebigen Informationen zu sammeln.
Das Verfahren zum Sammeln von Informationen wird so empfohlen, dass zuerst das am kürzesten lebende erfasst wird.

Nämlich - um es in der folgenden Reihenfolge zu sammeln:

  • aktuelle Netzwerkverbindungen;
  • aktuelle Benutzersitzungen;
  • Inhalt des RAMs;
  • Prozessliste;
  • offene Dateien;
  • Verkehrsmuster;
  • Schlüssel und Passwörter;
  • Netzwerkkonfiguration;
  • aktuelle Uhrzeit.

Wenn Netzwerkmomente nicht wichtig sind (z. B. ist der Computer derzeit nicht mit dem Netzwerk verbunden), sollte zuerst der Inhalt des Arbeitsspeichers (Speicherabbild) entfernt werden - für die geringste Verzerrung, da beim Start eines Programms der Speicherzustand des Computers geändert wird.

Bevor kurzlebige Informationen von einem Computer entfernt werden, müssen Hindernisse in der Form überwunden werden:

  • aktiver Bildschirmschoner * (Bildschirmschoner) mit Kennwortschutz (biometrisches Kennwort);
  • unzureichende Berechtigungen des aktuellen Benutzers;
  • blockierte, deaktivierte oder fehlende Funktionen zum Anschließen externer Geräte (USB-Anschluss, CD-ROM-Laufwerk).

Hat ein Spezialist das Recht, spezielle Mittel zur Überwindung solcher Schutzmaßnahmen zu verwenden - Programme, die sich auf unbefugten Zugriff, bösartige Programme oder Mittel zur Umgehung des Urheberrechts beziehen?
Eigentlich hat. Neben Schadprogrammen, deren Verwendung in jedem Fall illegal ist.

Datenrettung zusammengafasst:

Bei der Datenrettung bei ICF Gera für Potsdam sind Sie richtig, wenn Sie folgendes was hier nocheinmal zusammengafasst suchen:

  • Datei wiederherstellen lassen für Potsdam
  • Dateiwiederherstellung für Potsdam
  • Festplatten-Datenrettung für Potsdam
  • Festplattenreparatur für Potsdam
  • MAC/NAS/Raid-Rebuild für Potsdam
  • MAC/NAS/Raid wiederherstellen für Potsdam
  • MAC/NAS/Raid retten für Potsdam
  • Festplatten-Wiederherstellung für Potsdam
  • Datenwiederherstellung für Potsdam
  • MAC/NAS/Raid-Recovery für Potsdam
  • Datenrettung für Festplatte für Potsdam
  • Festplatten-Rettung für Potsdam
  • MAC/NAS/Raid-Datenrettung für Potsdam
  • MAC/NAS/Raid-Rettung für Potsdam
  • Daten retten lassen für Potsdam
  • MAC/NAS/Raid-Restorement für Potsdam
  • Festplatte reparieren lassen für Potsdam
  • MAC/NAS/Raid-Restore für Potsdam
  • Festplatten-Reparatur für Potsdam
  • Datei retten lassen für Potsdam
  • MAC/NAS/Raid-Wiederherstellung für Potsdam
  • Festplatte retten lassen für Potsdam
  • Festplatte wiederherstellen lassen für Potsdam
  • Daten wiederherstellen lassen für Potsdam

 

MAC/NAS/RAID-Festplatte retten, reparieren und wiederherstellen lassen. Die Datenrettung ICF Gera ist Ihr allererster Datenrettungsansprechpartner für MAC-Datenrettung, NAS-Datenrettung und RAID-Datenrettung. Fachmännische MAC-Wiederherstellung, NAS-Wiederherstellung und RAID-Wiederherstellung für Potsdam ist unsere tägliche Herausforderung.

 

Sie sind bei uns an der richtigen Adresse, wenn Sie folgendes gesucht haben:

  • MAC Festplatten Daten retten, reparieren und von ICF Gera wiederherstellen lassen
  • NAS Festplatten Daten retten, reparieren und von ICF Gera wiederherstellen lassen
  • RAID Festplatten Daten retten, reparieren und Von ICF Gera wiederherstellen lassen

Kommentare (0)

Rated 0 out of 5 based on 0 voters
Bisher wurden hier noch keine Kommentare veröffentlicht

Einen Kommentar verfassen

  1. Posting comment as a guest.
Rate this post:
Anhänge (0 / 3)
Deinen Standort teilen
Gib den Text aus dem Bild ein. Nicht zu erkennen?