Refine
Document Type
- Bachelor Thesis (1)
- Master's Thesis (1)
Language
- German (2)
Keywords
- Computerforensik (1)
- Dateiformat (1)
- Datenspeicherung (1)
- JPEG (1)
Institute
In der vorliegenden Arbeit wird eine Methodik entwickelt, mit der ausgewählte forensische Software-Tools miteinander verglichen werden können. Dieser Ver-gleich basiert auf einem erstellten Image, welches diverse Artefakte beinhaltet. Auf Grundlage dieser Artefakte wird eine Bewertungsmatrix erzeugt, welche für den Vergleich der ausgewählten Forensik-Tools X-Ways, Axiom und Autopsy genutzt wird. Anhand der Ergebnisse, die durch die Matrix generiert wurden, lässt sich Axiom als bestes der drei getesteten Tools herausstellen. Hierbei muss allerdings berücksichtigt werden, dass die Beurteilung nach subjektiven Kriterien geschehen ist und keine eindeutige Aussage getroffen werden kann, ob ein forensisches Tool eine erfolgreiche Auswertung liefert
Der technologische Fortschritt ermöglicht das Speichern von größeren Datenmengen. Dies hat zur Folge, dass Daten mehr Platz auf einem Datenträger einnehmen und die Wahrscheinlichkeit des Aufteilens einer Datei auf mehrere auf dem Datenträger verteilte Positionen steigt. Von dieser sogenannten Fragmentierung sind auch JPEG-Dateien betroffen, wobei sich die Frage stellt, wie ein Zusammensetzen der Fragmente ohne die notwendigen Informationen aus dem Dateisystem möglich ist.
Ziel dieser Masterarbeit ist es, eine prototypische Implementierung eines intelligenten Carving Algorithmus zur Rekonstruktion fragmentierter JPEG-Dateien zu entwickeln, welcher durch erzeugte Testszenarien evaluiert wird.
Um dieses Ziel zu erreichen, wird ein Programm erstellt, welches sich an dem Smart Carving-Prinzip orientiert und diverse Carving-Methoden einbezieht. Für die anschließende Beurteilung der Lauffähigkeit des Prototyps werden Szenarien zum Testen von Stärken und Schwächen entwickelt. Die Ergebnisse aus diesen werden durch eine Evaluationsstrategie bewertet.
Anhand der Ergebnisse wird deutlich, dass der entwickelte Prototyp noch viele Schwächen aufweist. Bei manchen Szenarien können vollständig korrekte Ergebnisse geliefert werden und die JPEG-Dateien rekonstruiert werden, bei anderen Szenarien sind die Ergebnisse unzureichend. Diese Ergebnisse und der Fakt, dass der Prototyp lediglich für kleine Datenmengen konzipiert und erprobt wurde, zeigen, dass ein Einsatz des Programms in einer realen Umgebung noch nicht möglich ist.