Forensische Analyse von Flash-Speichern: Bachelorarbeit
Forensische Analyse von Flash-Speichern: Bachelorarbeit von Daniel Scherer
Deutsch | 17. Juni 2015 | ISBN: 1514376466 | 80 Seiten | EPUB/MOBI/PDF (conv) | 3.58 MB
Deutsch | 17. Juni 2015 | ISBN: 1514376466 | 80 Seiten | EPUB/MOBI/PDF (conv) | 3.58 MB
Zusammenfassung Diese Bachelorarbeit beschäftigt sich mit der forensischen Analyse von Flash-Speichern, den hierbei auftretenden Problemen und zeigt auf, in welchen Bereichen eine Analyse möglich ist und in welchen nicht. Hierfür werden im ersten Teil dieser Arbeit die allgemeinen Grundlagen der forensischen Analyse, der elektrotechnische Aufbau von Flash-Speichern und deren Einsatzgebiete erläutert. Des Weiteren werden die Besonderheiten der Speicherverwaltung von Flash-Speichern und die daraus resultierenden Folgen für die Forensik aufgezeigt. Zuletzt werden noch einige Tools betrachtet, welche zum Teil in dem darauf folgenden Versuch zur Rekonstruktion und Untersuchung von Daten genutzt wurden. Abstract This bachelor thesis deals with the forensic analysis of flash memories, the problems experienced in this area and it demonstrates the areas in which an analysis is possible and where not. For this purpose, the general principles of forensic analysis, the electro technical structure of flash memories and their uses are discussed in the first part. Furthermore, it explains the specifics of the memory management of flash memories and the resulting consequences for forensics. In the last part some tools are still considered, which were partly used in the following attempt for reconstruction and analysis of data. Inhaltsverzeichnis: 1. Einleitung 2. Grundlagen der forensischen Analyse 2.1 Vorgehensweise 2.2 Integrität der Daten 2.2.1 Kryptographische Hashfunktionen 2.3 Write-Blocker 2.3.1 Hardware-Write-Blocker 2.3.2 Software-Write-Blocker 2.4 MAC-Time 2.5 Slack 2.6 File-Carving 2.6.1 Einführung in Carving 2.6.2 Carving-Methoden 3. Aufbau und Funktionsweise von Flash-Speicher 3.1 Aufbau 3.2 Vor- und Nachteile von Flash-Speichern 3.3 Lesen 3.4 Löschen 3.5 Schreiben 3.6 Arten von Flash-Speicherzellen 3.6.1 SLC-Flash 3.6.2 MLC-Flash 3.6.3 TLC-Flash 4. Arten von Flash-Speichern 4.1 USB-Stick 4.2 Speicherkarte 4.3 SSD 4.4 SSHD 5. Dateisysteme 5.1 FAT 5.2 NTFS 5.3 EXT 6. Speicherverwaltung bei Flash-Speichern 6.1 Pages und Blocks 6.2 Write Amplification und Read-Modify-Write-Zyklus 6.3 Wear-Leveling-Algorithmus 6.4 Flash-Translation-Layer (FTL) 6.5 Bad Block Management (BBM) und Reservesektoren 6.6 TRIM 6.7 Garbage Collector 7. Besonderheiten und Probleme bei der Flash-Forensik 7.1 White- und Black-Box Forensik 7.1.1 White-Box Forensik 7.1.2 Black-Box Forensik 7.2 Integrität der Daten 7.3 Write-Blocker 7.4 Slack 7.5 Reservesektoren 8. Betrachtete Programme 8.1 dd (Linux) 8.2 cmp (Linux) 8.3 nwdiff (Windows) 8.4 Recuva (Windows) 8.5 EnCase (Windows) 8.6 Sleuthkit (Linux/Windows) 8.7 Autopsie (Linux/Windows) 8.8 DiskDigger (Linux/Windows) 8.9 Photorec (Linux/Windows) 8.10 PC Inspector File Recovery (Windows) 8.11 USB Write Blocker for ALL Windows (Windows) 8.12 FileCompare (Windows) 8.13 PDFCreator (Windows) 9. Versuchsdurchführung 9.1 Ziel des Versuches 9.2 Genutzte Speichermedien 9.3 Technischer Aufbau 9.4 Versuch: Daten rekonstruieren 9.4.1 Speichermedien vorbereiten 9.4.2 Daten rekonstruieren 9.4.3 Ergebnisse des Versuches 9.4.4 Auswertung der Ergebnisse 10. Zusammenfassung