Datenträgeranalyse

Dieser Artikel oder nachfolgende Abschnitt ist nicht hinreichend mit Belegen (beispielsweise Einzelnachweisen) ausgestattet. Angaben ohne ausreichenden Beleg könnten demnächst entfernt werden. Bitte hilf Wikipedia, indem du die Angaben recherchierst und gute Belege einfügst.

Die Datenträgeranalyse beschreibt verschiedene Verfahren, um Inhalte von Datenträgern zu untersuchen. In der IT-Forensik wird dies angewandt, um nach einem möglichen Schadensfall Daten des Angriffes auf ein System der Informationstechnik zu dokumentieren und vorhandene Nutzdaten zu sichern.

Eine Datenträgeranalyse kann online auf dem noch laufenden System durchgeführt werden oder offline, in dem man den zu analysierenden Datenträger an einen speziellen Computer anschließt.

Bei der Onlineanalyse kann auch der Ist-Zustand des (noch) laufenden Systems inkl. Programmen, Diensten, Speicherinhalt und Prozessorzustand untersucht und gesichert werden. Durch Rootkits und andere Malware können diese Informationen verfälscht dargestellt werden. Im Offlinebetrieb können die Datenträger unverfälscht untersucht werden. Eventuelle Änderungen an dem Datenträger können mittels spezieller Analysetools erkannt werden.