Upload
emil
View
39
Download
0
Embed Size (px)
DESCRIPTION
Arbeitsaufteilungsmodell für Ermittlungsbehörden X-Ways Investigator (Ermittlerversion von X-Ways Forensics). (Konkurrenz). Preis. X-Ways Forensics. Normal- preis. X-Ways Investigator. halber Preis. weitere Vereinfachungen u. adminstrative Sicherheits-vorkehrungen möglich. - PowerPoint PPT Presentation
Citation preview
Arbeitsaufteilungsmodell für Ermittlungsbehörden
X-Ways Investigator(Ermittlerversion von
X-Ways Forensics)
Vergleich der Benutzeroberflächen
Funktionsumfang/Komplexität
Preis
X-WaysInvestigator
halberPreis
für kriminalpolizeiliche Sachbearbeiter mit Spezialisierungen wie Buchprüfung, Baurecht,
Geldwäsche, Kinderpornographie, ...
weitere Vereinfachungenu. adminstrative Sicherheits-
vorkehrungen möglich
für Computer-spezialisten
X-Ways Forensics
Normal-preis
(Konkurrenz)
X-Ways Investigator: Wichtige Funktionen Fälle anlegen, Asservate zuordnen (Datenträger oder Images,
mit allen unterstützten Dateisystemen); optional ausschließlich Container als Asservate, und ebenfalls optional nur als sicher klassifizierte (d. h. virenfreie) Container („Containerversion“)
Unterschiedlich spezialisierte Ermittler können mit denselben Containern arbeiten, in ihren eigenen Fällen, oder schreibgeschützt im Fall eines anderen Ermittlers.
logische Suche, Suche im Index
übergreifendes Auflisten von Dateien aus allen Asservaten, dynamische Filter, Dateien sortieren, Dateien markieren
Dateien betrachten, Dokumente ausdrucken
Dateien in Berichtstabellen aufnehmen, mitKommentaren versehen, damit aus fachlicherSicht für den Fall bewerten; Bericht erstellen
Arbeitsaufteilung
X-Ways Forensics
Vorarbeiten mit X-Ways Forensics, z. B. Datenträger-Sicherung, Images verifizieren,
RAIDs zusammensetzen, gelöschte Partitionensuchen lassen, ...
intensive Suche nach gelöschten Dateien laufen lassen,Signaturprüfung, Inhalte von Archiven und inDokumente eingebettete Bilder aufnehmen,verschlüsselte Dateien separat behandeln, ...
grobes Bereinigen um irrelevante Daten, wie bekanntermaßen unverdächtige Dateien laut Hash, exakte Datei-Duplikate, anhand von fallspezifischen Filtern, ...
grobe Auswahl potentiell relevanter Dateien anhand von Suchtreffern (nach Suchbegriffen wie von Ermittlern vorgegeben), mit dem Dateityp-Filter oder Hash-Sets ...
aus großen Binärdateien wie freier Speicher, Swap-Datei, wenn z. B. aufgrund von Suchtreffern relevant, nur grob die Umgebung der Suchtreffer herauskopieren
Erzeugung eines Suchindexes
Datei-ContainerVorarbeiten mit X-Ways Forensics Ergebnis: ein sog. mit allen potentiell relevanten Dateien
Container
In einem Container bleiben für jede Datei erhalten: Datei-Inhalt, Dateigröße Dateiname in Unicode (asiatische Sprachen kein Problem) Originalpfad (optional incl. Name des Asservats) Löschzustand (existent, gelöscht, umbenannt, verschoben, ...) alle Original-Zeitstempel soweit vorhanden (Erstellung,
Inhaltsänderung, Datensatzänderung, letzter Zugriff, Löschung) DOS/Windows-Attribute, Unix/Linux-Permissions/Filemode Kompressions- und Verschlüsselungsstatus ggf. Klassifikation als alternativer Datenstrom, Resource, Schlupf, ... ggf. Klassifikation als fiktive Datei (für „Freier Speicher“,
eingebettete Bilder, Thumbnails, Partitionslücken usw.)
Auch beliebige Anmerkungen zu jeder einzelnen Datei können mit weitergegeben werden, z. B. Realname des Besitzers der Datei.
Arbeitsaufteilung
X-Ways Forensics
für Computer-spezialisten bei LKÄ, Polizeipräsidien, …
„Container-version“
für Ermittler mit Spezialisierungen wie Buchprüfung, Baurecht,
Geldwäsche, Kinderpornographie, ...
Container
Bericht
virenbefreit
geschütztes internes Netz
Staatsanwalt
X-WaysInvestigator
Installationsmöglichkeiten
Jeder Ermittler hat seine eigene Installation auf eigenem Rechner. Individuelle Konfiguration. Etwas höherer administrativer Aufwand. Erforderlich z. B. für Ermittler im Bereich Kinder-pornographie, die eigenständig CDs und DVDs einlesen.
Mehrere Ermittler teilen sich eine Installation auf einem Server. Wahlweise individuelle Konfiguration. Netzleitung stark belastet beim Suchen, Hashen usw.
Mehrere Ermittler teilen sich eine Installation auf einem Terminal-Server. Wahlweise individuelle Konfiguration. Netzleitung wird immer nur mit den Bildschirmdaten belastet.
Administratoren verantwortlich für Installation, Benutzerkonten und Vergabe der Zugriffsrechte auf Verzeichnisse mit Falldaten und Containern. Sog. Case-Manager versorgen Ermittler mit Containern und Such-Indexen.
Individueller Funktionsumfang
Verhindern des direkten Öffnens von Datenträgern
Verhindern des Öffnens von konventionellen Images
Verhindern des Öffnens von unsicheren Containern
Verhindern der Möglichkeit, eigene Container zu erstellen
Verhindern des Herauskopierens von Nicht-Bild-Dateien in den Bericht
Ausblenden der Möglichkeit, mit Hash-Datenbanken zu arbeiten
Verhindern der Wahl fortgeschrittener Optionen
Verhindern des Ausführens komplexerer Funktionen
Die Benutzeroberfläche von X-Ways Investigator kann von den Administratoren zum Teil individuell weiter vereinfacht/reduziert werden, z. B. aus Sicherheitsgründen.