5 Einführung in die Post-mortem-Analyse
Eine Post-mortem-Analyse (P.m.-Analyse) findet statt, wenn Sie – wie in Kapitel 4 beschrieben – ein forensisches Duplikat der betroffenen Datenträger erstellt haben. Diese Kopien ermöglichen es Ihnen, in Ruhe und ohne Zeitdruck an der Beweissammlung zu arbeiten. Daten werden hierbei weder modifiziert noch zerstört, da Sie auf Duplikaten arbeiten. Diese Untersuchung findet offsite statt, das betroffene System kann eventuell schon wieder mit sauberen Backups auf neuen Datenträgern1 produktiv betrieben werden, während die Analyse noch in vollem Gang ist.
Die unterschiedlichen Aspekte, die bei der Post-mortem-Analyse von Festplatten-Images von Interesse sind, werden wir uns im Folgenden für Windows- und Unix-Systeme ...
Get Computer-Forensik, 5th Edition now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
