01707017173
kontakt@fm-edv.de

Datenrettung / IT-Forensik Fall

EDV - Datenrettung - Elektro

Datenrettung / IT-Forensik Fall

   Allgemein    September 1, 2024  |  0
Datenrettung und IT-Forensik (1) Log Eintrag Software Deinstallation

Datenrettung / IT-Forensik Fall

Mitte August erfolgte eine telefonische Anfrage zu einer Datenrettung / IT-Forensik eines Desktop PC / Computer, bei dem laut Kundenangabe eine vorsätzliche Datenlöschung stattgefunden haben soll. Die Software zur Buchhaltung eines Betriebes war nicht mehr funktionsfähig.

Datenrettung und IT-Forensik (1) Log Eintrag Software Deinstallation

Der Desktop PC wurde noch am selben Tag angeliefert und der Vorfall durch den Kunden geschildert.

Erstmaßnahmen

Als Erstmaßnahme wurde die Festplatte ausgebaut und überprüft.
Die Überprüfung der Festplatte erfolgte mit Spezialhardware zur Datenrettung von der
Firma ACELab, Modell „PC-3000 UDMA“

  • Es waren keine Hardware- oder Elektronikdefekte feststellbar, die auf eine Manipulation deuten.
  • Es waren äußerlich keine Beschädigungen ersichtlich. Der Datenträger selbst war in Ordnung.
Datenrettung und IT-Forensik (9) mit Spezialhardware
Datenrettung und IT-Forensik (2) Überprüfung und Image Erstellung mit ACELab PC-3000 UDMA

Im Anschluss daran wurde eine 1:1 (Bit-Bit) Kopie des verbauten 1TB HDD Datenträgers als Sicherung erstellt. Verwendet wurde hierzu ein Hardware Schreibschutz-Blocker, Modell „WriteProtect Portable“ des Herstellers LogiCube. Für die forensische Analyse wurde im Anschluss ein Analysekopie im E01 Format erstellt.

Analyse

Bei der weiteren tiefergehenden Analyse kam eine Software für Digitale Forensik (Autospy) zum Einsatz. Mittels verschiedener “Ingest”-Module können Aktivitäten ausgelesen und dann visualisiert werden.

Datenrettung und IT-Forensik (5) Autopsy
Datenrettung und IT-Forensik (5) Autopsy Timeline
Datenrettung und IT-Forensik (5) Autopsy Timeline Details
Datenrettung und IT-Forensik (6) Autopsy Forensic Report

Wiederherstellung

Nachdem der Systemzustand der Anlieferung gesichert war, erfolgte ein erster Start des PC.
In der Systemwiederherstellung gibt es für den 26.07.2024 15:09 sowie 15:10 je einen Eintrag für die
Deinstallation der benötigten Software.
Das Programm wurde mit sehr hoher Wahrscheinlichkeit aktiv von einer Person vom PC entfernt.

Der Versuch die Deinstallation vom 26.07.2024 mittels der Systemwiederherstellung rückgängig zu machen war erfolglos. Dies wurde laut den Daten auch am 26.07.2024 gegen 15:18 schon versucht. Dem Programm fehlten Dateien um erfolgreich starten zu können.

Die Wiederherstellung der Arbeitsumgebung war mit hohem Aufwand und zusätzlicher Unterstützung durch den Softwarehersteller möglich.

Erschwerend kam hinzu, dass keinerlei Sicherung vorhanden war und die verwendete Software bereits seit mehreren Jahren abgekündigt war.

Für den Kunden wurde der Fall zusätzlich in einem Bericht dokumentiert und zur Verfügung gestellt.

Teilen

 

Altenmarkt 17 in 93413 Cham

kontakt@fm-edv.de

01707017173

©  2024 Fischer Markus EDV. WordPress mit dem Mesmerize-Theme

Skip to content