Versteckte Daten finden mit Open-Source-Tools
iX über den Einsatz von Carving-Werkzeugen

Hannover, 15. April 2008 - Für gut funktionierende Software zur Wiederherstellung gelöschter Daten muss man nicht tief in den Geldbeutel greifen: Kostenlose Tools aus der Open-Source-Welt stehen den kommerziellen Werkzeugen in nichts nach. Einziges Manko ist die fehlende grafische Oberfläche, die die Benutzerführung nicht ganz einfach macht, schreibt das IT-Profimagazin iX in seiner aktuellen Ausgabe 5/08.

Ob gelöschte Dateien wiederherzustellen sind oder der Zugriff auf geschützte Festplatten gefragt ist: Moderne Forensik-Tools, sogenannte File Carver, sind Ermittlern - zum Beispiel bei der Suche nach kinderpornographischen Inhalten - in vielerlei Hinsicht nützlich. Das IT-Profimagazin iX hat in seiner aktuellen Ausgabe Carving-Werkzeuge auf den Prüfstand gestellt.

In der Standardkonfiguration arbeiteten alle Werkzeuge im iX-Test zuverlässig und unterstützten den forensischen Prozess erheblich. Jedoch gelten auch hier wie für alle anderen forensischen Tools die folgenden Grundsätze: "Die Ergebnisse der Tools müssen in der Regel manuell nachgearbeitet sowie korrekt interpretiert werden. Außerdem unterscheiden sich die Ergebnisse im Detail so stark voneinander, dass man sich nie auf ein einzelnes Tool verlassen sollte", erläutert iX-Redakteurin Ute Roos.

Wer mit den Werkzeugen arbeitet, sollte nicht mit Festplattenplatz geizen, rät die iX-Expertin. Alle Tools benötigen bis auf eine Ausnahme extrem viel Speicherplatz, da sie üblicherweise viele Dubletten sowie falschpositive Funde liefern, die man anschließend manuell herausfiltern muss. Ist die zu untersuchende Festplatte sehr stark fragmentiert oder schlicht viel zu groß, stoßen jedoch alle verfügbaren Carving-Werkzeuge an ihre virtuellen Grenzen.

"Sieht man einmal von der Benutzerführung ab, müssen sich die Open-Source-Lösungen gegenüber den kommerziellen nicht verstecken. Schließlich steckt hinter einer komfortablen grafischen Oberfläche oftmals dieselbe Technik. Allerdings konnten wir im iX-Test keinen Platzhirsch ermitteln. Gute Ermittler setzen in der Praxis - aufgrund der unterschiedlichen Funde je Werkzeug - mehrere Tools ein, um qualifizierte Ergebnisse zu bekommen", so Ute Roos.