Christian Stern schrieb:
Ausgangssituation: Partition mit reiserfs auf der elektronische Nachrichten liegen. Die Wiederherstellung brachte extrem viele Daten von dieser Partition wieder zum Vorschein (vorher anderweitig genutzt), doch nicht die "kurz" zuvor gelöschten Daten. Die durchnummerierten Nachtichten in den Postfächern weisen Lücken auf, die Logs, die wiederhergestellt worden sind, verraten an wen und das verschickt worden ist. Der Verdacht liegt nah, dass jemand mit Programmen wie dd, destroy, schred oder ähnlichem diese Nachrichten gelöscht hat, oder das herkömmliche Wiederherstellungsvarianten nicht funktionierten. Nun die Frage: Sind diese Löschvarianten leicht selbst nachzuweisen? Vielleicht durch Suchen nach auffälligen bzw. immergleichen Strings mit foremost oder ähnlichem?
Evtl. könnten gewisse "Bitfolgen" darauf hindeuten, ob das als Beweis aber reicht, vielleicht gibt es bei den HDDs auch die Möglichkeit durch Spezialisten Protokolle des HDD-Controllers auszulesen,...
Verweise zu Analyse von Festplatten bzw. Daten sind willkommen, aber auch zu Firmen, Einzelpersonen, die forensische Arbeit leisten (können).
Ob sich die einzelnen Programme nachweisen lassen, k. A. afaik hinterlassen die gängigen open-source Tools aber zumindest keinen eindeutigen Footprint (wie das bei kommerziellen Tools ist ...). Für die meisten Programme gilt daß sie Unterschiedliche Modi bieten die angewendet werden können, (alle Bits mit "0" überschreiben).
Bin natürlich kein Forensiker, evtl. wenn es wirklich um "vor Gericht verwertbare Informationen/Beweise geht" würde ich jemand zu Rate ziehen dessen täglich Brot sowas ist, weil man hier sehr leicht auch Fehler machen kann die Beweise zerstören. Außerdem wäre bei mir auch nicht die nötige Hardware (nur lesender Zugriff mittels Schreibblocker usw.) da, die man dazu evtl. haben sollte, wenn man ganz sicher sein will. Auf jeden Fall sollte man Prüfsummen von den sichergestellten Daten erstellen die sicherstellen daß man selbst keine Manipulation unternommen hat ... (ob da nach den neuesten Erkenntnissen md5sum z.B. noch ausreicht ...).
Christian Stern
hth MH