X-Ways Forensics: Ermittlerversion
Werbung
Slide 1
Arbeitsaufteilungsmodell für
Ermittlungsbehörden
X-Ways Investigator
(Ermittlerversion von
X-Ways Forensics)
(Konkurrenz)
Preis
Vergleich der Benutzeroberflächen
X-Ways Forensics
Normalpreis
X-Ways
Investigator
halber
Preis
weitere Vereinfachungen
u. adminstrative Sicherheitsvorkehrungen möglich
für kriminalpolizeiliche Sachbearbeiter mit
Spezialisierungen wie Buchprüfung, Baurecht,
Geldwäsche, Kinderpornographie, ...
Funktionsumfang/
Komplexität
für Computerspezialisten
X-Ways Investigator: Wichtige Funktionen
Fälle anlegen, Asservate zuordnen (Datenträger oder Images,
mit allen unterstützten Dateisystemen); optional ausschließlich
Container als Asservate, und ebenfalls optional nur als sicher
klassifizierte (d. h. virenfreie) Container („Containerversion“)
Unterschiedlich spezialisierte Ermittler können mit denselben
Containern arbeiten, in ihren eigenen Fällen, oder
schreibgeschützt im Fall eines anderen Ermittlers.
logische Suche, Suche im Index
übergreifendes Auflisten von Dateien aus allen Asservaten,
dynamische Filter, Dateien sortieren, Dateien markieren
Dateien betrachten, Dokumente ausdrucken
Dateien in Berichtstabellen aufnehmen, mit
Kommentaren versehen, damit aus fachlicher
Sicht für den Fall bewerten; Bericht erstellen
Arbeitsaufteilung
Vorarbeiten mit X-Ways Forensics, z. B.
Datenträger-Sicherung, Images verifizieren,
RAIDs zusammensetzen, gelöschte Partitionen
X-Ways Forensics
suchen lassen, ...
intensive Suche nach gelöschten Dateien laufen lassen,
Signaturprüfung, Inhalte von Archiven und in
Dokumente eingebettete Bilder aufnehmen,
verschlüsselte Dateien separat behandeln, ...
grobes Bereinigen um irrelevante Daten, wie
bekanntermaßen unverdächtige Dateien laut Hash, exakte
Datei-Duplikate, anhand von fallspezifischen Filtern, ...
grobe Auswahl potentiell relevanter Dateien anhand von
Suchtreffern (nach Suchbegriffen wie von Ermittlern
vorgegeben), mit dem Dateityp-Filter oder Hash-Sets ...
aus großen Binärdateien wie freier Speicher, Swap-Datei,
wenn z. B. aufgrund von Suchtreffern relevant, nur grob
die Umgebung der Suchtreffer herauskopieren
Erzeugung eines Suchindexes
Datei-Container
Vorarbeiten mit X-Ways Forensics Ergebnis: ein sog.
mit allen potentiell relevanten Dateien
Container
In einem Container bleiben für jede Datei erhalten:
Datei-Inhalt, Dateigröße
Dateiname in Unicode (asiatische Sprachen kein Problem)
Originalpfad (optional incl. Name des Asservats)
Löschzustand (existent, gelöscht, umbenannt, verschoben, ...)
alle Original-Zeitstempel soweit vorhanden (Erstellung,
Inhaltsänderung, Datensatzänderung, letzter Zugriff, Löschung)
DOS/Windows-Attribute, Unix/Linux-Permissions/Filemode
Kompressions- und Verschlüsselungsstatus
ggf. Klassifikation als alternativer Datenstrom, Resource, Schlupf, ...
ggf. Klassifikation als fiktive Datei (für „Freier Speicher“,
eingebettete Bilder, Thumbnails, Partitionslücken usw.)
Auch beliebige Anmerkungen zu jeder einzelnen Datei können mit
weitergegeben werden, z. B. Realname des Besitzers der Datei.
Arbeitsaufteilung
Staatsanwalt
X-Ways Forensics
Bericht
„Containerversion“
X-Ways
Investigator
virenbefreit
Container
geschütztes internes
Netz
für Ermittler mit Spezialisierungen
wie Buchprüfung, Baurecht,
Geldwäsche, Kinderpornographie, ...
für Computerspezialisten bei LKÄ,
Polizeipräsidien, …
Installationsmöglichkeiten
Jeder Ermittler hat seine eigene Installation auf eigenem Rechner.
Individuelle Konfiguration. Etwas höherer administrativer
Aufwand. Erforderlich z. B. für Ermittler im Bereich Kinderpornographie, die eigenständig CDs und DVDs einlesen.
Mehrere Ermittler teilen sich eine Installation auf einem Server.
Wahlweise individuelle Konfiguration. Netzleitung stark belastet
beim Suchen, Hashen usw.
Mehrere Ermittler teilen sich eine Installation auf einem TerminalServer. Wahlweise individuelle Konfiguration. Netzleitung wird
immer nur mit den Bildschirmdaten belastet.
Administratoren verantwortlich für Installation, Benutzerkonten und
Vergabe der Zugriffsrechte auf Verzeichnisse mit Falldaten und
Containern. Sog. Case-Manager versorgen Ermittler mit Containern
und Such-Indexen.
Individueller Funktionsumfang
Die Benutzeroberfläche von X-Ways Investigator kann von den
Administratoren zum Teil individuell weiter vereinfacht/reduziert
werden, z. B. aus Sicherheitsgründen.
Verhindern des direkten Öffnens von Datenträgern
Verhindern des Öffnens von konventionellen Images
Verhindern des Öffnens von unsicheren Containern
Verhindern der Möglichkeit, eigene Container zu erstellen
Verhindern des Herauskopierens von Nicht-Bild-Dateien in den Bericht
Ausblenden der Möglichkeit, mit Hash-Datenbanken zu arbeiten
Verhindern der Wahl fortgeschrittener Optionen
Verhindern des Ausführens komplexerer Funktionen
Slide 2
Arbeitsaufteilungsmodell für
Ermittlungsbehörden
X-Ways Investigator
(Ermittlerversion von
X-Ways Forensics)
(Konkurrenz)
Preis
Vergleich der Benutzeroberflächen
X-Ways Forensics
Normalpreis
X-Ways
Investigator
halber
Preis
weitere Vereinfachungen
u. adminstrative Sicherheitsvorkehrungen möglich
für kriminalpolizeiliche Sachbearbeiter mit
Spezialisierungen wie Buchprüfung, Baurecht,
Geldwäsche, Kinderpornographie, ...
Funktionsumfang/
Komplexität
für Computerspezialisten
X-Ways Investigator: Wichtige Funktionen
Fälle anlegen, Asservate zuordnen (Datenträger oder Images,
mit allen unterstützten Dateisystemen); optional ausschließlich
Container als Asservate, und ebenfalls optional nur als sicher
klassifizierte (d. h. virenfreie) Container („Containerversion“)
Unterschiedlich spezialisierte Ermittler können mit denselben
Containern arbeiten, in ihren eigenen Fällen, oder
schreibgeschützt im Fall eines anderen Ermittlers.
logische Suche, Suche im Index
übergreifendes Auflisten von Dateien aus allen Asservaten,
dynamische Filter, Dateien sortieren, Dateien markieren
Dateien betrachten, Dokumente ausdrucken
Dateien in Berichtstabellen aufnehmen, mit
Kommentaren versehen, damit aus fachlicher
Sicht für den Fall bewerten; Bericht erstellen
Arbeitsaufteilung
Vorarbeiten mit X-Ways Forensics, z. B.
Datenträger-Sicherung, Images verifizieren,
RAIDs zusammensetzen, gelöschte Partitionen
X-Ways Forensics
suchen lassen, ...
intensive Suche nach gelöschten Dateien laufen lassen,
Signaturprüfung, Inhalte von Archiven und in
Dokumente eingebettete Bilder aufnehmen,
verschlüsselte Dateien separat behandeln, ...
grobes Bereinigen um irrelevante Daten, wie
bekanntermaßen unverdächtige Dateien laut Hash, exakte
Datei-Duplikate, anhand von fallspezifischen Filtern, ...
grobe Auswahl potentiell relevanter Dateien anhand von
Suchtreffern (nach Suchbegriffen wie von Ermittlern
vorgegeben), mit dem Dateityp-Filter oder Hash-Sets ...
aus großen Binärdateien wie freier Speicher, Swap-Datei,
wenn z. B. aufgrund von Suchtreffern relevant, nur grob
die Umgebung der Suchtreffer herauskopieren
Erzeugung eines Suchindexes
Datei-Container
Vorarbeiten mit X-Ways Forensics Ergebnis: ein sog.
mit allen potentiell relevanten Dateien
Container
In einem Container bleiben für jede Datei erhalten:
Datei-Inhalt, Dateigröße
Dateiname in Unicode (asiatische Sprachen kein Problem)
Originalpfad (optional incl. Name des Asservats)
Löschzustand (existent, gelöscht, umbenannt, verschoben, ...)
alle Original-Zeitstempel soweit vorhanden (Erstellung,
Inhaltsänderung, Datensatzänderung, letzter Zugriff, Löschung)
DOS/Windows-Attribute, Unix/Linux-Permissions/Filemode
Kompressions- und Verschlüsselungsstatus
ggf. Klassifikation als alternativer Datenstrom, Resource, Schlupf, ...
ggf. Klassifikation als fiktive Datei (für „Freier Speicher“,
eingebettete Bilder, Thumbnails, Partitionslücken usw.)
Auch beliebige Anmerkungen zu jeder einzelnen Datei können mit
weitergegeben werden, z. B. Realname des Besitzers der Datei.
Arbeitsaufteilung
Staatsanwalt
X-Ways Forensics
Bericht
„Containerversion“
X-Ways
Investigator
virenbefreit
Container
geschütztes internes
Netz
für Ermittler mit Spezialisierungen
wie Buchprüfung, Baurecht,
Geldwäsche, Kinderpornographie, ...
für Computerspezialisten bei LKÄ,
Polizeipräsidien, …
Installationsmöglichkeiten
Jeder Ermittler hat seine eigene Installation auf eigenem Rechner.
Individuelle Konfiguration. Etwas höherer administrativer
Aufwand. Erforderlich z. B. für Ermittler im Bereich Kinderpornographie, die eigenständig CDs und DVDs einlesen.
Mehrere Ermittler teilen sich eine Installation auf einem Server.
Wahlweise individuelle Konfiguration. Netzleitung stark belastet
beim Suchen, Hashen usw.
Mehrere Ermittler teilen sich eine Installation auf einem TerminalServer. Wahlweise individuelle Konfiguration. Netzleitung wird
immer nur mit den Bildschirmdaten belastet.
Administratoren verantwortlich für Installation, Benutzerkonten und
Vergabe der Zugriffsrechte auf Verzeichnisse mit Falldaten und
Containern. Sog. Case-Manager versorgen Ermittler mit Containern
und Such-Indexen.
Individueller Funktionsumfang
Die Benutzeroberfläche von X-Ways Investigator kann von den
Administratoren zum Teil individuell weiter vereinfacht/reduziert
werden, z. B. aus Sicherheitsgründen.
Verhindern des direkten Öffnens von Datenträgern
Verhindern des Öffnens von konventionellen Images
Verhindern des Öffnens von unsicheren Containern
Verhindern der Möglichkeit, eigene Container zu erstellen
Verhindern des Herauskopierens von Nicht-Bild-Dateien in den Bericht
Ausblenden der Möglichkeit, mit Hash-Datenbanken zu arbeiten
Verhindern der Wahl fortgeschrittener Optionen
Verhindern des Ausführens komplexerer Funktionen
Slide 3
Arbeitsaufteilungsmodell für
Ermittlungsbehörden
X-Ways Investigator
(Ermittlerversion von
X-Ways Forensics)
(Konkurrenz)
Preis
Vergleich der Benutzeroberflächen
X-Ways Forensics
Normalpreis
X-Ways
Investigator
halber
Preis
weitere Vereinfachungen
u. adminstrative Sicherheitsvorkehrungen möglich
für kriminalpolizeiliche Sachbearbeiter mit
Spezialisierungen wie Buchprüfung, Baurecht,
Geldwäsche, Kinderpornographie, ...
Funktionsumfang/
Komplexität
für Computerspezialisten
X-Ways Investigator: Wichtige Funktionen
Fälle anlegen, Asservate zuordnen (Datenträger oder Images,
mit allen unterstützten Dateisystemen); optional ausschließlich
Container als Asservate, und ebenfalls optional nur als sicher
klassifizierte (d. h. virenfreie) Container („Containerversion“)
Unterschiedlich spezialisierte Ermittler können mit denselben
Containern arbeiten, in ihren eigenen Fällen, oder
schreibgeschützt im Fall eines anderen Ermittlers.
logische Suche, Suche im Index
übergreifendes Auflisten von Dateien aus allen Asservaten,
dynamische Filter, Dateien sortieren, Dateien markieren
Dateien betrachten, Dokumente ausdrucken
Dateien in Berichtstabellen aufnehmen, mit
Kommentaren versehen, damit aus fachlicher
Sicht für den Fall bewerten; Bericht erstellen
Arbeitsaufteilung
Vorarbeiten mit X-Ways Forensics, z. B.
Datenträger-Sicherung, Images verifizieren,
RAIDs zusammensetzen, gelöschte Partitionen
X-Ways Forensics
suchen lassen, ...
intensive Suche nach gelöschten Dateien laufen lassen,
Signaturprüfung, Inhalte von Archiven und in
Dokumente eingebettete Bilder aufnehmen,
verschlüsselte Dateien separat behandeln, ...
grobes Bereinigen um irrelevante Daten, wie
bekanntermaßen unverdächtige Dateien laut Hash, exakte
Datei-Duplikate, anhand von fallspezifischen Filtern, ...
grobe Auswahl potentiell relevanter Dateien anhand von
Suchtreffern (nach Suchbegriffen wie von Ermittlern
vorgegeben), mit dem Dateityp-Filter oder Hash-Sets ...
aus großen Binärdateien wie freier Speicher, Swap-Datei,
wenn z. B. aufgrund von Suchtreffern relevant, nur grob
die Umgebung der Suchtreffer herauskopieren
Erzeugung eines Suchindexes
Datei-Container
Vorarbeiten mit X-Ways Forensics Ergebnis: ein sog.
mit allen potentiell relevanten Dateien
Container
In einem Container bleiben für jede Datei erhalten:
Datei-Inhalt, Dateigröße
Dateiname in Unicode (asiatische Sprachen kein Problem)
Originalpfad (optional incl. Name des Asservats)
Löschzustand (existent, gelöscht, umbenannt, verschoben, ...)
alle Original-Zeitstempel soweit vorhanden (Erstellung,
Inhaltsänderung, Datensatzänderung, letzter Zugriff, Löschung)
DOS/Windows-Attribute, Unix/Linux-Permissions/Filemode
Kompressions- und Verschlüsselungsstatus
ggf. Klassifikation als alternativer Datenstrom, Resource, Schlupf, ...
ggf. Klassifikation als fiktive Datei (für „Freier Speicher“,
eingebettete Bilder, Thumbnails, Partitionslücken usw.)
Auch beliebige Anmerkungen zu jeder einzelnen Datei können mit
weitergegeben werden, z. B. Realname des Besitzers der Datei.
Arbeitsaufteilung
Staatsanwalt
X-Ways Forensics
Bericht
„Containerversion“
X-Ways
Investigator
virenbefreit
Container
geschütztes internes
Netz
für Ermittler mit Spezialisierungen
wie Buchprüfung, Baurecht,
Geldwäsche, Kinderpornographie, ...
für Computerspezialisten bei LKÄ,
Polizeipräsidien, …
Installationsmöglichkeiten
Jeder Ermittler hat seine eigene Installation auf eigenem Rechner.
Individuelle Konfiguration. Etwas höherer administrativer
Aufwand. Erforderlich z. B. für Ermittler im Bereich Kinderpornographie, die eigenständig CDs und DVDs einlesen.
Mehrere Ermittler teilen sich eine Installation auf einem Server.
Wahlweise individuelle Konfiguration. Netzleitung stark belastet
beim Suchen, Hashen usw.
Mehrere Ermittler teilen sich eine Installation auf einem TerminalServer. Wahlweise individuelle Konfiguration. Netzleitung wird
immer nur mit den Bildschirmdaten belastet.
Administratoren verantwortlich für Installation, Benutzerkonten und
Vergabe der Zugriffsrechte auf Verzeichnisse mit Falldaten und
Containern. Sog. Case-Manager versorgen Ermittler mit Containern
und Such-Indexen.
Individueller Funktionsumfang
Die Benutzeroberfläche von X-Ways Investigator kann von den
Administratoren zum Teil individuell weiter vereinfacht/reduziert
werden, z. B. aus Sicherheitsgründen.
Verhindern des direkten Öffnens von Datenträgern
Verhindern des Öffnens von konventionellen Images
Verhindern des Öffnens von unsicheren Containern
Verhindern der Möglichkeit, eigene Container zu erstellen
Verhindern des Herauskopierens von Nicht-Bild-Dateien in den Bericht
Ausblenden der Möglichkeit, mit Hash-Datenbanken zu arbeiten
Verhindern der Wahl fortgeschrittener Optionen
Verhindern des Ausführens komplexerer Funktionen
Slide 4
Arbeitsaufteilungsmodell für
Ermittlungsbehörden
X-Ways Investigator
(Ermittlerversion von
X-Ways Forensics)
(Konkurrenz)
Preis
Vergleich der Benutzeroberflächen
X-Ways Forensics
Normalpreis
X-Ways
Investigator
halber
Preis
weitere Vereinfachungen
u. adminstrative Sicherheitsvorkehrungen möglich
für kriminalpolizeiliche Sachbearbeiter mit
Spezialisierungen wie Buchprüfung, Baurecht,
Geldwäsche, Kinderpornographie, ...
Funktionsumfang/
Komplexität
für Computerspezialisten
X-Ways Investigator: Wichtige Funktionen
Fälle anlegen, Asservate zuordnen (Datenträger oder Images,
mit allen unterstützten Dateisystemen); optional ausschließlich
Container als Asservate, und ebenfalls optional nur als sicher
klassifizierte (d. h. virenfreie) Container („Containerversion“)
Unterschiedlich spezialisierte Ermittler können mit denselben
Containern arbeiten, in ihren eigenen Fällen, oder
schreibgeschützt im Fall eines anderen Ermittlers.
logische Suche, Suche im Index
übergreifendes Auflisten von Dateien aus allen Asservaten,
dynamische Filter, Dateien sortieren, Dateien markieren
Dateien betrachten, Dokumente ausdrucken
Dateien in Berichtstabellen aufnehmen, mit
Kommentaren versehen, damit aus fachlicher
Sicht für den Fall bewerten; Bericht erstellen
Arbeitsaufteilung
Vorarbeiten mit X-Ways Forensics, z. B.
Datenträger-Sicherung, Images verifizieren,
RAIDs zusammensetzen, gelöschte Partitionen
X-Ways Forensics
suchen lassen, ...
intensive Suche nach gelöschten Dateien laufen lassen,
Signaturprüfung, Inhalte von Archiven und in
Dokumente eingebettete Bilder aufnehmen,
verschlüsselte Dateien separat behandeln, ...
grobes Bereinigen um irrelevante Daten, wie
bekanntermaßen unverdächtige Dateien laut Hash, exakte
Datei-Duplikate, anhand von fallspezifischen Filtern, ...
grobe Auswahl potentiell relevanter Dateien anhand von
Suchtreffern (nach Suchbegriffen wie von Ermittlern
vorgegeben), mit dem Dateityp-Filter oder Hash-Sets ...
aus großen Binärdateien wie freier Speicher, Swap-Datei,
wenn z. B. aufgrund von Suchtreffern relevant, nur grob
die Umgebung der Suchtreffer herauskopieren
Erzeugung eines Suchindexes
Datei-Container
Vorarbeiten mit X-Ways Forensics Ergebnis: ein sog.
mit allen potentiell relevanten Dateien
Container
In einem Container bleiben für jede Datei erhalten:
Datei-Inhalt, Dateigröße
Dateiname in Unicode (asiatische Sprachen kein Problem)
Originalpfad (optional incl. Name des Asservats)
Löschzustand (existent, gelöscht, umbenannt, verschoben, ...)
alle Original-Zeitstempel soweit vorhanden (Erstellung,
Inhaltsänderung, Datensatzänderung, letzter Zugriff, Löschung)
DOS/Windows-Attribute, Unix/Linux-Permissions/Filemode
Kompressions- und Verschlüsselungsstatus
ggf. Klassifikation als alternativer Datenstrom, Resource, Schlupf, ...
ggf. Klassifikation als fiktive Datei (für „Freier Speicher“,
eingebettete Bilder, Thumbnails, Partitionslücken usw.)
Auch beliebige Anmerkungen zu jeder einzelnen Datei können mit
weitergegeben werden, z. B. Realname des Besitzers der Datei.
Arbeitsaufteilung
Staatsanwalt
X-Ways Forensics
Bericht
„Containerversion“
X-Ways
Investigator
virenbefreit
Container
geschütztes internes
Netz
für Ermittler mit Spezialisierungen
wie Buchprüfung, Baurecht,
Geldwäsche, Kinderpornographie, ...
für Computerspezialisten bei LKÄ,
Polizeipräsidien, …
Installationsmöglichkeiten
Jeder Ermittler hat seine eigene Installation auf eigenem Rechner.
Individuelle Konfiguration. Etwas höherer administrativer
Aufwand. Erforderlich z. B. für Ermittler im Bereich Kinderpornographie, die eigenständig CDs und DVDs einlesen.
Mehrere Ermittler teilen sich eine Installation auf einem Server.
Wahlweise individuelle Konfiguration. Netzleitung stark belastet
beim Suchen, Hashen usw.
Mehrere Ermittler teilen sich eine Installation auf einem TerminalServer. Wahlweise individuelle Konfiguration. Netzleitung wird
immer nur mit den Bildschirmdaten belastet.
Administratoren verantwortlich für Installation, Benutzerkonten und
Vergabe der Zugriffsrechte auf Verzeichnisse mit Falldaten und
Containern. Sog. Case-Manager versorgen Ermittler mit Containern
und Such-Indexen.
Individueller Funktionsumfang
Die Benutzeroberfläche von X-Ways Investigator kann von den
Administratoren zum Teil individuell weiter vereinfacht/reduziert
werden, z. B. aus Sicherheitsgründen.
Verhindern des direkten Öffnens von Datenträgern
Verhindern des Öffnens von konventionellen Images
Verhindern des Öffnens von unsicheren Containern
Verhindern der Möglichkeit, eigene Container zu erstellen
Verhindern des Herauskopierens von Nicht-Bild-Dateien in den Bericht
Ausblenden der Möglichkeit, mit Hash-Datenbanken zu arbeiten
Verhindern der Wahl fortgeschrittener Optionen
Verhindern des Ausführens komplexerer Funktionen
Slide 5
Arbeitsaufteilungsmodell für
Ermittlungsbehörden
X-Ways Investigator
(Ermittlerversion von
X-Ways Forensics)
(Konkurrenz)
Preis
Vergleich der Benutzeroberflächen
X-Ways Forensics
Normalpreis
X-Ways
Investigator
halber
Preis
weitere Vereinfachungen
u. adminstrative Sicherheitsvorkehrungen möglich
für kriminalpolizeiliche Sachbearbeiter mit
Spezialisierungen wie Buchprüfung, Baurecht,
Geldwäsche, Kinderpornographie, ...
Funktionsumfang/
Komplexität
für Computerspezialisten
X-Ways Investigator: Wichtige Funktionen
Fälle anlegen, Asservate zuordnen (Datenträger oder Images,
mit allen unterstützten Dateisystemen); optional ausschließlich
Container als Asservate, und ebenfalls optional nur als sicher
klassifizierte (d. h. virenfreie) Container („Containerversion“)
Unterschiedlich spezialisierte Ermittler können mit denselben
Containern arbeiten, in ihren eigenen Fällen, oder
schreibgeschützt im Fall eines anderen Ermittlers.
logische Suche, Suche im Index
übergreifendes Auflisten von Dateien aus allen Asservaten,
dynamische Filter, Dateien sortieren, Dateien markieren
Dateien betrachten, Dokumente ausdrucken
Dateien in Berichtstabellen aufnehmen, mit
Kommentaren versehen, damit aus fachlicher
Sicht für den Fall bewerten; Bericht erstellen
Arbeitsaufteilung
Vorarbeiten mit X-Ways Forensics, z. B.
Datenträger-Sicherung, Images verifizieren,
RAIDs zusammensetzen, gelöschte Partitionen
X-Ways Forensics
suchen lassen, ...
intensive Suche nach gelöschten Dateien laufen lassen,
Signaturprüfung, Inhalte von Archiven und in
Dokumente eingebettete Bilder aufnehmen,
verschlüsselte Dateien separat behandeln, ...
grobes Bereinigen um irrelevante Daten, wie
bekanntermaßen unverdächtige Dateien laut Hash, exakte
Datei-Duplikate, anhand von fallspezifischen Filtern, ...
grobe Auswahl potentiell relevanter Dateien anhand von
Suchtreffern (nach Suchbegriffen wie von Ermittlern
vorgegeben), mit dem Dateityp-Filter oder Hash-Sets ...
aus großen Binärdateien wie freier Speicher, Swap-Datei,
wenn z. B. aufgrund von Suchtreffern relevant, nur grob
die Umgebung der Suchtreffer herauskopieren
Erzeugung eines Suchindexes
Datei-Container
Vorarbeiten mit X-Ways Forensics Ergebnis: ein sog.
mit allen potentiell relevanten Dateien
Container
In einem Container bleiben für jede Datei erhalten:
Datei-Inhalt, Dateigröße
Dateiname in Unicode (asiatische Sprachen kein Problem)
Originalpfad (optional incl. Name des Asservats)
Löschzustand (existent, gelöscht, umbenannt, verschoben, ...)
alle Original-Zeitstempel soweit vorhanden (Erstellung,
Inhaltsänderung, Datensatzänderung, letzter Zugriff, Löschung)
DOS/Windows-Attribute, Unix/Linux-Permissions/Filemode
Kompressions- und Verschlüsselungsstatus
ggf. Klassifikation als alternativer Datenstrom, Resource, Schlupf, ...
ggf. Klassifikation als fiktive Datei (für „Freier Speicher“,
eingebettete Bilder, Thumbnails, Partitionslücken usw.)
Auch beliebige Anmerkungen zu jeder einzelnen Datei können mit
weitergegeben werden, z. B. Realname des Besitzers der Datei.
Arbeitsaufteilung
Staatsanwalt
X-Ways Forensics
Bericht
„Containerversion“
X-Ways
Investigator
virenbefreit
Container
geschütztes internes
Netz
für Ermittler mit Spezialisierungen
wie Buchprüfung, Baurecht,
Geldwäsche, Kinderpornographie, ...
für Computerspezialisten bei LKÄ,
Polizeipräsidien, …
Installationsmöglichkeiten
Jeder Ermittler hat seine eigene Installation auf eigenem Rechner.
Individuelle Konfiguration. Etwas höherer administrativer
Aufwand. Erforderlich z. B. für Ermittler im Bereich Kinderpornographie, die eigenständig CDs und DVDs einlesen.
Mehrere Ermittler teilen sich eine Installation auf einem Server.
Wahlweise individuelle Konfiguration. Netzleitung stark belastet
beim Suchen, Hashen usw.
Mehrere Ermittler teilen sich eine Installation auf einem TerminalServer. Wahlweise individuelle Konfiguration. Netzleitung wird
immer nur mit den Bildschirmdaten belastet.
Administratoren verantwortlich für Installation, Benutzerkonten und
Vergabe der Zugriffsrechte auf Verzeichnisse mit Falldaten und
Containern. Sog. Case-Manager versorgen Ermittler mit Containern
und Such-Indexen.
Individueller Funktionsumfang
Die Benutzeroberfläche von X-Ways Investigator kann von den
Administratoren zum Teil individuell weiter vereinfacht/reduziert
werden, z. B. aus Sicherheitsgründen.
Verhindern des direkten Öffnens von Datenträgern
Verhindern des Öffnens von konventionellen Images
Verhindern des Öffnens von unsicheren Containern
Verhindern der Möglichkeit, eigene Container zu erstellen
Verhindern des Herauskopierens von Nicht-Bild-Dateien in den Bericht
Ausblenden der Möglichkeit, mit Hash-Datenbanken zu arbeiten
Verhindern der Wahl fortgeschrittener Optionen
Verhindern des Ausführens komplexerer Funktionen
Slide 6
Arbeitsaufteilungsmodell für
Ermittlungsbehörden
X-Ways Investigator
(Ermittlerversion von
X-Ways Forensics)
(Konkurrenz)
Preis
Vergleich der Benutzeroberflächen
X-Ways Forensics
Normalpreis
X-Ways
Investigator
halber
Preis
weitere Vereinfachungen
u. adminstrative Sicherheitsvorkehrungen möglich
für kriminalpolizeiliche Sachbearbeiter mit
Spezialisierungen wie Buchprüfung, Baurecht,
Geldwäsche, Kinderpornographie, ...
Funktionsumfang/
Komplexität
für Computerspezialisten
X-Ways Investigator: Wichtige Funktionen
Fälle anlegen, Asservate zuordnen (Datenträger oder Images,
mit allen unterstützten Dateisystemen); optional ausschließlich
Container als Asservate, und ebenfalls optional nur als sicher
klassifizierte (d. h. virenfreie) Container („Containerversion“)
Unterschiedlich spezialisierte Ermittler können mit denselben
Containern arbeiten, in ihren eigenen Fällen, oder
schreibgeschützt im Fall eines anderen Ermittlers.
logische Suche, Suche im Index
übergreifendes Auflisten von Dateien aus allen Asservaten,
dynamische Filter, Dateien sortieren, Dateien markieren
Dateien betrachten, Dokumente ausdrucken
Dateien in Berichtstabellen aufnehmen, mit
Kommentaren versehen, damit aus fachlicher
Sicht für den Fall bewerten; Bericht erstellen
Arbeitsaufteilung
Vorarbeiten mit X-Ways Forensics, z. B.
Datenträger-Sicherung, Images verifizieren,
RAIDs zusammensetzen, gelöschte Partitionen
X-Ways Forensics
suchen lassen, ...
intensive Suche nach gelöschten Dateien laufen lassen,
Signaturprüfung, Inhalte von Archiven und in
Dokumente eingebettete Bilder aufnehmen,
verschlüsselte Dateien separat behandeln, ...
grobes Bereinigen um irrelevante Daten, wie
bekanntermaßen unverdächtige Dateien laut Hash, exakte
Datei-Duplikate, anhand von fallspezifischen Filtern, ...
grobe Auswahl potentiell relevanter Dateien anhand von
Suchtreffern (nach Suchbegriffen wie von Ermittlern
vorgegeben), mit dem Dateityp-Filter oder Hash-Sets ...
aus großen Binärdateien wie freier Speicher, Swap-Datei,
wenn z. B. aufgrund von Suchtreffern relevant, nur grob
die Umgebung der Suchtreffer herauskopieren
Erzeugung eines Suchindexes
Datei-Container
Vorarbeiten mit X-Ways Forensics Ergebnis: ein sog.
mit allen potentiell relevanten Dateien
Container
In einem Container bleiben für jede Datei erhalten:
Datei-Inhalt, Dateigröße
Dateiname in Unicode (asiatische Sprachen kein Problem)
Originalpfad (optional incl. Name des Asservats)
Löschzustand (existent, gelöscht, umbenannt, verschoben, ...)
alle Original-Zeitstempel soweit vorhanden (Erstellung,
Inhaltsänderung, Datensatzänderung, letzter Zugriff, Löschung)
DOS/Windows-Attribute, Unix/Linux-Permissions/Filemode
Kompressions- und Verschlüsselungsstatus
ggf. Klassifikation als alternativer Datenstrom, Resource, Schlupf, ...
ggf. Klassifikation als fiktive Datei (für „Freier Speicher“,
eingebettete Bilder, Thumbnails, Partitionslücken usw.)
Auch beliebige Anmerkungen zu jeder einzelnen Datei können mit
weitergegeben werden, z. B. Realname des Besitzers der Datei.
Arbeitsaufteilung
Staatsanwalt
X-Ways Forensics
Bericht
„Containerversion“
X-Ways
Investigator
virenbefreit
Container
geschütztes internes
Netz
für Ermittler mit Spezialisierungen
wie Buchprüfung, Baurecht,
Geldwäsche, Kinderpornographie, ...
für Computerspezialisten bei LKÄ,
Polizeipräsidien, …
Installationsmöglichkeiten
Jeder Ermittler hat seine eigene Installation auf eigenem Rechner.
Individuelle Konfiguration. Etwas höherer administrativer
Aufwand. Erforderlich z. B. für Ermittler im Bereich Kinderpornographie, die eigenständig CDs und DVDs einlesen.
Mehrere Ermittler teilen sich eine Installation auf einem Server.
Wahlweise individuelle Konfiguration. Netzleitung stark belastet
beim Suchen, Hashen usw.
Mehrere Ermittler teilen sich eine Installation auf einem TerminalServer. Wahlweise individuelle Konfiguration. Netzleitung wird
immer nur mit den Bildschirmdaten belastet.
Administratoren verantwortlich für Installation, Benutzerkonten und
Vergabe der Zugriffsrechte auf Verzeichnisse mit Falldaten und
Containern. Sog. Case-Manager versorgen Ermittler mit Containern
und Such-Indexen.
Individueller Funktionsumfang
Die Benutzeroberfläche von X-Ways Investigator kann von den
Administratoren zum Teil individuell weiter vereinfacht/reduziert
werden, z. B. aus Sicherheitsgründen.
Verhindern des direkten Öffnens von Datenträgern
Verhindern des Öffnens von konventionellen Images
Verhindern des Öffnens von unsicheren Containern
Verhindern der Möglichkeit, eigene Container zu erstellen
Verhindern des Herauskopierens von Nicht-Bild-Dateien in den Bericht
Ausblenden der Möglichkeit, mit Hash-Datenbanken zu arbeiten
Verhindern der Wahl fortgeschrittener Optionen
Verhindern des Ausführens komplexerer Funktionen
Slide 7
Arbeitsaufteilungsmodell für
Ermittlungsbehörden
X-Ways Investigator
(Ermittlerversion von
X-Ways Forensics)
(Konkurrenz)
Preis
Vergleich der Benutzeroberflächen
X-Ways Forensics
Normalpreis
X-Ways
Investigator
halber
Preis
weitere Vereinfachungen
u. adminstrative Sicherheitsvorkehrungen möglich
für kriminalpolizeiliche Sachbearbeiter mit
Spezialisierungen wie Buchprüfung, Baurecht,
Geldwäsche, Kinderpornographie, ...
Funktionsumfang/
Komplexität
für Computerspezialisten
X-Ways Investigator: Wichtige Funktionen
Fälle anlegen, Asservate zuordnen (Datenträger oder Images,
mit allen unterstützten Dateisystemen); optional ausschließlich
Container als Asservate, und ebenfalls optional nur als sicher
klassifizierte (d. h. virenfreie) Container („Containerversion“)
Unterschiedlich spezialisierte Ermittler können mit denselben
Containern arbeiten, in ihren eigenen Fällen, oder
schreibgeschützt im Fall eines anderen Ermittlers.
logische Suche, Suche im Index
übergreifendes Auflisten von Dateien aus allen Asservaten,
dynamische Filter, Dateien sortieren, Dateien markieren
Dateien betrachten, Dokumente ausdrucken
Dateien in Berichtstabellen aufnehmen, mit
Kommentaren versehen, damit aus fachlicher
Sicht für den Fall bewerten; Bericht erstellen
Arbeitsaufteilung
Vorarbeiten mit X-Ways Forensics, z. B.
Datenträger-Sicherung, Images verifizieren,
RAIDs zusammensetzen, gelöschte Partitionen
X-Ways Forensics
suchen lassen, ...
intensive Suche nach gelöschten Dateien laufen lassen,
Signaturprüfung, Inhalte von Archiven und in
Dokumente eingebettete Bilder aufnehmen,
verschlüsselte Dateien separat behandeln, ...
grobes Bereinigen um irrelevante Daten, wie
bekanntermaßen unverdächtige Dateien laut Hash, exakte
Datei-Duplikate, anhand von fallspezifischen Filtern, ...
grobe Auswahl potentiell relevanter Dateien anhand von
Suchtreffern (nach Suchbegriffen wie von Ermittlern
vorgegeben), mit dem Dateityp-Filter oder Hash-Sets ...
aus großen Binärdateien wie freier Speicher, Swap-Datei,
wenn z. B. aufgrund von Suchtreffern relevant, nur grob
die Umgebung der Suchtreffer herauskopieren
Erzeugung eines Suchindexes
Datei-Container
Vorarbeiten mit X-Ways Forensics Ergebnis: ein sog.
mit allen potentiell relevanten Dateien
Container
In einem Container bleiben für jede Datei erhalten:
Datei-Inhalt, Dateigröße
Dateiname in Unicode (asiatische Sprachen kein Problem)
Originalpfad (optional incl. Name des Asservats)
Löschzustand (existent, gelöscht, umbenannt, verschoben, ...)
alle Original-Zeitstempel soweit vorhanden (Erstellung,
Inhaltsänderung, Datensatzänderung, letzter Zugriff, Löschung)
DOS/Windows-Attribute, Unix/Linux-Permissions/Filemode
Kompressions- und Verschlüsselungsstatus
ggf. Klassifikation als alternativer Datenstrom, Resource, Schlupf, ...
ggf. Klassifikation als fiktive Datei (für „Freier Speicher“,
eingebettete Bilder, Thumbnails, Partitionslücken usw.)
Auch beliebige Anmerkungen zu jeder einzelnen Datei können mit
weitergegeben werden, z. B. Realname des Besitzers der Datei.
Arbeitsaufteilung
Staatsanwalt
X-Ways Forensics
Bericht
„Containerversion“
X-Ways
Investigator
virenbefreit
Container
geschütztes internes
Netz
für Ermittler mit Spezialisierungen
wie Buchprüfung, Baurecht,
Geldwäsche, Kinderpornographie, ...
für Computerspezialisten bei LKÄ,
Polizeipräsidien, …
Installationsmöglichkeiten
Jeder Ermittler hat seine eigene Installation auf eigenem Rechner.
Individuelle Konfiguration. Etwas höherer administrativer
Aufwand. Erforderlich z. B. für Ermittler im Bereich Kinderpornographie, die eigenständig CDs und DVDs einlesen.
Mehrere Ermittler teilen sich eine Installation auf einem Server.
Wahlweise individuelle Konfiguration. Netzleitung stark belastet
beim Suchen, Hashen usw.
Mehrere Ermittler teilen sich eine Installation auf einem TerminalServer. Wahlweise individuelle Konfiguration. Netzleitung wird
immer nur mit den Bildschirmdaten belastet.
Administratoren verantwortlich für Installation, Benutzerkonten und
Vergabe der Zugriffsrechte auf Verzeichnisse mit Falldaten und
Containern. Sog. Case-Manager versorgen Ermittler mit Containern
und Such-Indexen.
Individueller Funktionsumfang
Die Benutzeroberfläche von X-Ways Investigator kann von den
Administratoren zum Teil individuell weiter vereinfacht/reduziert
werden, z. B. aus Sicherheitsgründen.
Verhindern des direkten Öffnens von Datenträgern
Verhindern des Öffnens von konventionellen Images
Verhindern des Öffnens von unsicheren Containern
Verhindern der Möglichkeit, eigene Container zu erstellen
Verhindern des Herauskopierens von Nicht-Bild-Dateien in den Bericht
Ausblenden der Möglichkeit, mit Hash-Datenbanken zu arbeiten
Verhindern der Wahl fortgeschrittener Optionen
Verhindern des Ausführens komplexerer Funktionen
Slide 8
Arbeitsaufteilungsmodell für
Ermittlungsbehörden
X-Ways Investigator
(Ermittlerversion von
X-Ways Forensics)
(Konkurrenz)
Preis
Vergleich der Benutzeroberflächen
X-Ways Forensics
Normalpreis
X-Ways
Investigator
halber
Preis
weitere Vereinfachungen
u. adminstrative Sicherheitsvorkehrungen möglich
für kriminalpolizeiliche Sachbearbeiter mit
Spezialisierungen wie Buchprüfung, Baurecht,
Geldwäsche, Kinderpornographie, ...
Funktionsumfang/
Komplexität
für Computerspezialisten
X-Ways Investigator: Wichtige Funktionen
Fälle anlegen, Asservate zuordnen (Datenträger oder Images,
mit allen unterstützten Dateisystemen); optional ausschließlich
Container als Asservate, und ebenfalls optional nur als sicher
klassifizierte (d. h. virenfreie) Container („Containerversion“)
Unterschiedlich spezialisierte Ermittler können mit denselben
Containern arbeiten, in ihren eigenen Fällen, oder
schreibgeschützt im Fall eines anderen Ermittlers.
logische Suche, Suche im Index
übergreifendes Auflisten von Dateien aus allen Asservaten,
dynamische Filter, Dateien sortieren, Dateien markieren
Dateien betrachten, Dokumente ausdrucken
Dateien in Berichtstabellen aufnehmen, mit
Kommentaren versehen, damit aus fachlicher
Sicht für den Fall bewerten; Bericht erstellen
Arbeitsaufteilung
Vorarbeiten mit X-Ways Forensics, z. B.
Datenträger-Sicherung, Images verifizieren,
RAIDs zusammensetzen, gelöschte Partitionen
X-Ways Forensics
suchen lassen, ...
intensive Suche nach gelöschten Dateien laufen lassen,
Signaturprüfung, Inhalte von Archiven und in
Dokumente eingebettete Bilder aufnehmen,
verschlüsselte Dateien separat behandeln, ...
grobes Bereinigen um irrelevante Daten, wie
bekanntermaßen unverdächtige Dateien laut Hash, exakte
Datei-Duplikate, anhand von fallspezifischen Filtern, ...
grobe Auswahl potentiell relevanter Dateien anhand von
Suchtreffern (nach Suchbegriffen wie von Ermittlern
vorgegeben), mit dem Dateityp-Filter oder Hash-Sets ...
aus großen Binärdateien wie freier Speicher, Swap-Datei,
wenn z. B. aufgrund von Suchtreffern relevant, nur grob
die Umgebung der Suchtreffer herauskopieren
Erzeugung eines Suchindexes
Datei-Container
Vorarbeiten mit X-Ways Forensics Ergebnis: ein sog.
mit allen potentiell relevanten Dateien
Container
In einem Container bleiben für jede Datei erhalten:
Datei-Inhalt, Dateigröße
Dateiname in Unicode (asiatische Sprachen kein Problem)
Originalpfad (optional incl. Name des Asservats)
Löschzustand (existent, gelöscht, umbenannt, verschoben, ...)
alle Original-Zeitstempel soweit vorhanden (Erstellung,
Inhaltsänderung, Datensatzänderung, letzter Zugriff, Löschung)
DOS/Windows-Attribute, Unix/Linux-Permissions/Filemode
Kompressions- und Verschlüsselungsstatus
ggf. Klassifikation als alternativer Datenstrom, Resource, Schlupf, ...
ggf. Klassifikation als fiktive Datei (für „Freier Speicher“,
eingebettete Bilder, Thumbnails, Partitionslücken usw.)
Auch beliebige Anmerkungen zu jeder einzelnen Datei können mit
weitergegeben werden, z. B. Realname des Besitzers der Datei.
Arbeitsaufteilung
Staatsanwalt
X-Ways Forensics
Bericht
„Containerversion“
X-Ways
Investigator
virenbefreit
Container
geschütztes internes
Netz
für Ermittler mit Spezialisierungen
wie Buchprüfung, Baurecht,
Geldwäsche, Kinderpornographie, ...
für Computerspezialisten bei LKÄ,
Polizeipräsidien, …
Installationsmöglichkeiten
Jeder Ermittler hat seine eigene Installation auf eigenem Rechner.
Individuelle Konfiguration. Etwas höherer administrativer
Aufwand. Erforderlich z. B. für Ermittler im Bereich Kinderpornographie, die eigenständig CDs und DVDs einlesen.
Mehrere Ermittler teilen sich eine Installation auf einem Server.
Wahlweise individuelle Konfiguration. Netzleitung stark belastet
beim Suchen, Hashen usw.
Mehrere Ermittler teilen sich eine Installation auf einem TerminalServer. Wahlweise individuelle Konfiguration. Netzleitung wird
immer nur mit den Bildschirmdaten belastet.
Administratoren verantwortlich für Installation, Benutzerkonten und
Vergabe der Zugriffsrechte auf Verzeichnisse mit Falldaten und
Containern. Sog. Case-Manager versorgen Ermittler mit Containern
und Such-Indexen.
Individueller Funktionsumfang
Die Benutzeroberfläche von X-Ways Investigator kann von den
Administratoren zum Teil individuell weiter vereinfacht/reduziert
werden, z. B. aus Sicherheitsgründen.
Verhindern des direkten Öffnens von Datenträgern
Verhindern des Öffnens von konventionellen Images
Verhindern des Öffnens von unsicheren Containern
Verhindern der Möglichkeit, eigene Container zu erstellen
Verhindern des Herauskopierens von Nicht-Bild-Dateien in den Bericht
Ausblenden der Möglichkeit, mit Hash-Datenbanken zu arbeiten
Verhindern der Wahl fortgeschrittener Optionen
Verhindern des Ausführens komplexerer Funktionen
Arbeitsaufteilungsmodell für
Ermittlungsbehörden
X-Ways Investigator
(Ermittlerversion von
X-Ways Forensics)
(Konkurrenz)
Preis
Vergleich der Benutzeroberflächen
X-Ways Forensics
Normalpreis
X-Ways
Investigator
halber
Preis
weitere Vereinfachungen
u. adminstrative Sicherheitsvorkehrungen möglich
für kriminalpolizeiliche Sachbearbeiter mit
Spezialisierungen wie Buchprüfung, Baurecht,
Geldwäsche, Kinderpornographie, ...
Funktionsumfang/
Komplexität
für Computerspezialisten
X-Ways Investigator: Wichtige Funktionen
Fälle anlegen, Asservate zuordnen (Datenträger oder Images,
mit allen unterstützten Dateisystemen); optional ausschließlich
Container als Asservate, und ebenfalls optional nur als sicher
klassifizierte (d. h. virenfreie) Container („Containerversion“)
Unterschiedlich spezialisierte Ermittler können mit denselben
Containern arbeiten, in ihren eigenen Fällen, oder
schreibgeschützt im Fall eines anderen Ermittlers.
logische Suche, Suche im Index
übergreifendes Auflisten von Dateien aus allen Asservaten,
dynamische Filter, Dateien sortieren, Dateien markieren
Dateien betrachten, Dokumente ausdrucken
Dateien in Berichtstabellen aufnehmen, mit
Kommentaren versehen, damit aus fachlicher
Sicht für den Fall bewerten; Bericht erstellen
Arbeitsaufteilung
Vorarbeiten mit X-Ways Forensics, z. B.
Datenträger-Sicherung, Images verifizieren,
RAIDs zusammensetzen, gelöschte Partitionen
X-Ways Forensics
suchen lassen, ...
intensive Suche nach gelöschten Dateien laufen lassen,
Signaturprüfung, Inhalte von Archiven und in
Dokumente eingebettete Bilder aufnehmen,
verschlüsselte Dateien separat behandeln, ...
grobes Bereinigen um irrelevante Daten, wie
bekanntermaßen unverdächtige Dateien laut Hash, exakte
Datei-Duplikate, anhand von fallspezifischen Filtern, ...
grobe Auswahl potentiell relevanter Dateien anhand von
Suchtreffern (nach Suchbegriffen wie von Ermittlern
vorgegeben), mit dem Dateityp-Filter oder Hash-Sets ...
aus großen Binärdateien wie freier Speicher, Swap-Datei,
wenn z. B. aufgrund von Suchtreffern relevant, nur grob
die Umgebung der Suchtreffer herauskopieren
Erzeugung eines Suchindexes
Datei-Container
Vorarbeiten mit X-Ways Forensics Ergebnis: ein sog.
mit allen potentiell relevanten Dateien
Container
In einem Container bleiben für jede Datei erhalten:
Datei-Inhalt, Dateigröße
Dateiname in Unicode (asiatische Sprachen kein Problem)
Originalpfad (optional incl. Name des Asservats)
Löschzustand (existent, gelöscht, umbenannt, verschoben, ...)
alle Original-Zeitstempel soweit vorhanden (Erstellung,
Inhaltsänderung, Datensatzänderung, letzter Zugriff, Löschung)
DOS/Windows-Attribute, Unix/Linux-Permissions/Filemode
Kompressions- und Verschlüsselungsstatus
ggf. Klassifikation als alternativer Datenstrom, Resource, Schlupf, ...
ggf. Klassifikation als fiktive Datei (für „Freier Speicher“,
eingebettete Bilder, Thumbnails, Partitionslücken usw.)
Auch beliebige Anmerkungen zu jeder einzelnen Datei können mit
weitergegeben werden, z. B. Realname des Besitzers der Datei.
Arbeitsaufteilung
Staatsanwalt
X-Ways Forensics
Bericht
„Containerversion“
X-Ways
Investigator
virenbefreit
Container
geschütztes internes
Netz
für Ermittler mit Spezialisierungen
wie Buchprüfung, Baurecht,
Geldwäsche, Kinderpornographie, ...
für Computerspezialisten bei LKÄ,
Polizeipräsidien, …
Installationsmöglichkeiten
Jeder Ermittler hat seine eigene Installation auf eigenem Rechner.
Individuelle Konfiguration. Etwas höherer administrativer
Aufwand. Erforderlich z. B. für Ermittler im Bereich Kinderpornographie, die eigenständig CDs und DVDs einlesen.
Mehrere Ermittler teilen sich eine Installation auf einem Server.
Wahlweise individuelle Konfiguration. Netzleitung stark belastet
beim Suchen, Hashen usw.
Mehrere Ermittler teilen sich eine Installation auf einem TerminalServer. Wahlweise individuelle Konfiguration. Netzleitung wird
immer nur mit den Bildschirmdaten belastet.
Administratoren verantwortlich für Installation, Benutzerkonten und
Vergabe der Zugriffsrechte auf Verzeichnisse mit Falldaten und
Containern. Sog. Case-Manager versorgen Ermittler mit Containern
und Such-Indexen.
Individueller Funktionsumfang
Die Benutzeroberfläche von X-Ways Investigator kann von den
Administratoren zum Teil individuell weiter vereinfacht/reduziert
werden, z. B. aus Sicherheitsgründen.
Verhindern des direkten Öffnens von Datenträgern
Verhindern des Öffnens von konventionellen Images
Verhindern des Öffnens von unsicheren Containern
Verhindern der Möglichkeit, eigene Container zu erstellen
Verhindern des Herauskopierens von Nicht-Bild-Dateien in den Bericht
Ausblenden der Möglichkeit, mit Hash-Datenbanken zu arbeiten
Verhindern der Wahl fortgeschrittener Optionen
Verhindern des Ausführens komplexerer Funktionen
Slide 2
Arbeitsaufteilungsmodell für
Ermittlungsbehörden
X-Ways Investigator
(Ermittlerversion von
X-Ways Forensics)
(Konkurrenz)
Preis
Vergleich der Benutzeroberflächen
X-Ways Forensics
Normalpreis
X-Ways
Investigator
halber
Preis
weitere Vereinfachungen
u. adminstrative Sicherheitsvorkehrungen möglich
für kriminalpolizeiliche Sachbearbeiter mit
Spezialisierungen wie Buchprüfung, Baurecht,
Geldwäsche, Kinderpornographie, ...
Funktionsumfang/
Komplexität
für Computerspezialisten
X-Ways Investigator: Wichtige Funktionen
Fälle anlegen, Asservate zuordnen (Datenträger oder Images,
mit allen unterstützten Dateisystemen); optional ausschließlich
Container als Asservate, und ebenfalls optional nur als sicher
klassifizierte (d. h. virenfreie) Container („Containerversion“)
Unterschiedlich spezialisierte Ermittler können mit denselben
Containern arbeiten, in ihren eigenen Fällen, oder
schreibgeschützt im Fall eines anderen Ermittlers.
logische Suche, Suche im Index
übergreifendes Auflisten von Dateien aus allen Asservaten,
dynamische Filter, Dateien sortieren, Dateien markieren
Dateien betrachten, Dokumente ausdrucken
Dateien in Berichtstabellen aufnehmen, mit
Kommentaren versehen, damit aus fachlicher
Sicht für den Fall bewerten; Bericht erstellen
Arbeitsaufteilung
Vorarbeiten mit X-Ways Forensics, z. B.
Datenträger-Sicherung, Images verifizieren,
RAIDs zusammensetzen, gelöschte Partitionen
X-Ways Forensics
suchen lassen, ...
intensive Suche nach gelöschten Dateien laufen lassen,
Signaturprüfung, Inhalte von Archiven und in
Dokumente eingebettete Bilder aufnehmen,
verschlüsselte Dateien separat behandeln, ...
grobes Bereinigen um irrelevante Daten, wie
bekanntermaßen unverdächtige Dateien laut Hash, exakte
Datei-Duplikate, anhand von fallspezifischen Filtern, ...
grobe Auswahl potentiell relevanter Dateien anhand von
Suchtreffern (nach Suchbegriffen wie von Ermittlern
vorgegeben), mit dem Dateityp-Filter oder Hash-Sets ...
aus großen Binärdateien wie freier Speicher, Swap-Datei,
wenn z. B. aufgrund von Suchtreffern relevant, nur grob
die Umgebung der Suchtreffer herauskopieren
Erzeugung eines Suchindexes
Datei-Container
Vorarbeiten mit X-Ways Forensics Ergebnis: ein sog.
mit allen potentiell relevanten Dateien
Container
In einem Container bleiben für jede Datei erhalten:
Datei-Inhalt, Dateigröße
Dateiname in Unicode (asiatische Sprachen kein Problem)
Originalpfad (optional incl. Name des Asservats)
Löschzustand (existent, gelöscht, umbenannt, verschoben, ...)
alle Original-Zeitstempel soweit vorhanden (Erstellung,
Inhaltsänderung, Datensatzänderung, letzter Zugriff, Löschung)
DOS/Windows-Attribute, Unix/Linux-Permissions/Filemode
Kompressions- und Verschlüsselungsstatus
ggf. Klassifikation als alternativer Datenstrom, Resource, Schlupf, ...
ggf. Klassifikation als fiktive Datei (für „Freier Speicher“,
eingebettete Bilder, Thumbnails, Partitionslücken usw.)
Auch beliebige Anmerkungen zu jeder einzelnen Datei können mit
weitergegeben werden, z. B. Realname des Besitzers der Datei.
Arbeitsaufteilung
Staatsanwalt
X-Ways Forensics
Bericht
„Containerversion“
X-Ways
Investigator
virenbefreit
Container
geschütztes internes
Netz
für Ermittler mit Spezialisierungen
wie Buchprüfung, Baurecht,
Geldwäsche, Kinderpornographie, ...
für Computerspezialisten bei LKÄ,
Polizeipräsidien, …
Installationsmöglichkeiten
Jeder Ermittler hat seine eigene Installation auf eigenem Rechner.
Individuelle Konfiguration. Etwas höherer administrativer
Aufwand. Erforderlich z. B. für Ermittler im Bereich Kinderpornographie, die eigenständig CDs und DVDs einlesen.
Mehrere Ermittler teilen sich eine Installation auf einem Server.
Wahlweise individuelle Konfiguration. Netzleitung stark belastet
beim Suchen, Hashen usw.
Mehrere Ermittler teilen sich eine Installation auf einem TerminalServer. Wahlweise individuelle Konfiguration. Netzleitung wird
immer nur mit den Bildschirmdaten belastet.
Administratoren verantwortlich für Installation, Benutzerkonten und
Vergabe der Zugriffsrechte auf Verzeichnisse mit Falldaten und
Containern. Sog. Case-Manager versorgen Ermittler mit Containern
und Such-Indexen.
Individueller Funktionsumfang
Die Benutzeroberfläche von X-Ways Investigator kann von den
Administratoren zum Teil individuell weiter vereinfacht/reduziert
werden, z. B. aus Sicherheitsgründen.
Verhindern des direkten Öffnens von Datenträgern
Verhindern des Öffnens von konventionellen Images
Verhindern des Öffnens von unsicheren Containern
Verhindern der Möglichkeit, eigene Container zu erstellen
Verhindern des Herauskopierens von Nicht-Bild-Dateien in den Bericht
Ausblenden der Möglichkeit, mit Hash-Datenbanken zu arbeiten
Verhindern der Wahl fortgeschrittener Optionen
Verhindern des Ausführens komplexerer Funktionen
Slide 3
Arbeitsaufteilungsmodell für
Ermittlungsbehörden
X-Ways Investigator
(Ermittlerversion von
X-Ways Forensics)
(Konkurrenz)
Preis
Vergleich der Benutzeroberflächen
X-Ways Forensics
Normalpreis
X-Ways
Investigator
halber
Preis
weitere Vereinfachungen
u. adminstrative Sicherheitsvorkehrungen möglich
für kriminalpolizeiliche Sachbearbeiter mit
Spezialisierungen wie Buchprüfung, Baurecht,
Geldwäsche, Kinderpornographie, ...
Funktionsumfang/
Komplexität
für Computerspezialisten
X-Ways Investigator: Wichtige Funktionen
Fälle anlegen, Asservate zuordnen (Datenträger oder Images,
mit allen unterstützten Dateisystemen); optional ausschließlich
Container als Asservate, und ebenfalls optional nur als sicher
klassifizierte (d. h. virenfreie) Container („Containerversion“)
Unterschiedlich spezialisierte Ermittler können mit denselben
Containern arbeiten, in ihren eigenen Fällen, oder
schreibgeschützt im Fall eines anderen Ermittlers.
logische Suche, Suche im Index
übergreifendes Auflisten von Dateien aus allen Asservaten,
dynamische Filter, Dateien sortieren, Dateien markieren
Dateien betrachten, Dokumente ausdrucken
Dateien in Berichtstabellen aufnehmen, mit
Kommentaren versehen, damit aus fachlicher
Sicht für den Fall bewerten; Bericht erstellen
Arbeitsaufteilung
Vorarbeiten mit X-Ways Forensics, z. B.
Datenträger-Sicherung, Images verifizieren,
RAIDs zusammensetzen, gelöschte Partitionen
X-Ways Forensics
suchen lassen, ...
intensive Suche nach gelöschten Dateien laufen lassen,
Signaturprüfung, Inhalte von Archiven und in
Dokumente eingebettete Bilder aufnehmen,
verschlüsselte Dateien separat behandeln, ...
grobes Bereinigen um irrelevante Daten, wie
bekanntermaßen unverdächtige Dateien laut Hash, exakte
Datei-Duplikate, anhand von fallspezifischen Filtern, ...
grobe Auswahl potentiell relevanter Dateien anhand von
Suchtreffern (nach Suchbegriffen wie von Ermittlern
vorgegeben), mit dem Dateityp-Filter oder Hash-Sets ...
aus großen Binärdateien wie freier Speicher, Swap-Datei,
wenn z. B. aufgrund von Suchtreffern relevant, nur grob
die Umgebung der Suchtreffer herauskopieren
Erzeugung eines Suchindexes
Datei-Container
Vorarbeiten mit X-Ways Forensics Ergebnis: ein sog.
mit allen potentiell relevanten Dateien
Container
In einem Container bleiben für jede Datei erhalten:
Datei-Inhalt, Dateigröße
Dateiname in Unicode (asiatische Sprachen kein Problem)
Originalpfad (optional incl. Name des Asservats)
Löschzustand (existent, gelöscht, umbenannt, verschoben, ...)
alle Original-Zeitstempel soweit vorhanden (Erstellung,
Inhaltsänderung, Datensatzänderung, letzter Zugriff, Löschung)
DOS/Windows-Attribute, Unix/Linux-Permissions/Filemode
Kompressions- und Verschlüsselungsstatus
ggf. Klassifikation als alternativer Datenstrom, Resource, Schlupf, ...
ggf. Klassifikation als fiktive Datei (für „Freier Speicher“,
eingebettete Bilder, Thumbnails, Partitionslücken usw.)
Auch beliebige Anmerkungen zu jeder einzelnen Datei können mit
weitergegeben werden, z. B. Realname des Besitzers der Datei.
Arbeitsaufteilung
Staatsanwalt
X-Ways Forensics
Bericht
„Containerversion“
X-Ways
Investigator
virenbefreit
Container
geschütztes internes
Netz
für Ermittler mit Spezialisierungen
wie Buchprüfung, Baurecht,
Geldwäsche, Kinderpornographie, ...
für Computerspezialisten bei LKÄ,
Polizeipräsidien, …
Installationsmöglichkeiten
Jeder Ermittler hat seine eigene Installation auf eigenem Rechner.
Individuelle Konfiguration. Etwas höherer administrativer
Aufwand. Erforderlich z. B. für Ermittler im Bereich Kinderpornographie, die eigenständig CDs und DVDs einlesen.
Mehrere Ermittler teilen sich eine Installation auf einem Server.
Wahlweise individuelle Konfiguration. Netzleitung stark belastet
beim Suchen, Hashen usw.
Mehrere Ermittler teilen sich eine Installation auf einem TerminalServer. Wahlweise individuelle Konfiguration. Netzleitung wird
immer nur mit den Bildschirmdaten belastet.
Administratoren verantwortlich für Installation, Benutzerkonten und
Vergabe der Zugriffsrechte auf Verzeichnisse mit Falldaten und
Containern. Sog. Case-Manager versorgen Ermittler mit Containern
und Such-Indexen.
Individueller Funktionsumfang
Die Benutzeroberfläche von X-Ways Investigator kann von den
Administratoren zum Teil individuell weiter vereinfacht/reduziert
werden, z. B. aus Sicherheitsgründen.
Verhindern des direkten Öffnens von Datenträgern
Verhindern des Öffnens von konventionellen Images
Verhindern des Öffnens von unsicheren Containern
Verhindern der Möglichkeit, eigene Container zu erstellen
Verhindern des Herauskopierens von Nicht-Bild-Dateien in den Bericht
Ausblenden der Möglichkeit, mit Hash-Datenbanken zu arbeiten
Verhindern der Wahl fortgeschrittener Optionen
Verhindern des Ausführens komplexerer Funktionen
Slide 4
Arbeitsaufteilungsmodell für
Ermittlungsbehörden
X-Ways Investigator
(Ermittlerversion von
X-Ways Forensics)
(Konkurrenz)
Preis
Vergleich der Benutzeroberflächen
X-Ways Forensics
Normalpreis
X-Ways
Investigator
halber
Preis
weitere Vereinfachungen
u. adminstrative Sicherheitsvorkehrungen möglich
für kriminalpolizeiliche Sachbearbeiter mit
Spezialisierungen wie Buchprüfung, Baurecht,
Geldwäsche, Kinderpornographie, ...
Funktionsumfang/
Komplexität
für Computerspezialisten
X-Ways Investigator: Wichtige Funktionen
Fälle anlegen, Asservate zuordnen (Datenträger oder Images,
mit allen unterstützten Dateisystemen); optional ausschließlich
Container als Asservate, und ebenfalls optional nur als sicher
klassifizierte (d. h. virenfreie) Container („Containerversion“)
Unterschiedlich spezialisierte Ermittler können mit denselben
Containern arbeiten, in ihren eigenen Fällen, oder
schreibgeschützt im Fall eines anderen Ermittlers.
logische Suche, Suche im Index
übergreifendes Auflisten von Dateien aus allen Asservaten,
dynamische Filter, Dateien sortieren, Dateien markieren
Dateien betrachten, Dokumente ausdrucken
Dateien in Berichtstabellen aufnehmen, mit
Kommentaren versehen, damit aus fachlicher
Sicht für den Fall bewerten; Bericht erstellen
Arbeitsaufteilung
Vorarbeiten mit X-Ways Forensics, z. B.
Datenträger-Sicherung, Images verifizieren,
RAIDs zusammensetzen, gelöschte Partitionen
X-Ways Forensics
suchen lassen, ...
intensive Suche nach gelöschten Dateien laufen lassen,
Signaturprüfung, Inhalte von Archiven und in
Dokumente eingebettete Bilder aufnehmen,
verschlüsselte Dateien separat behandeln, ...
grobes Bereinigen um irrelevante Daten, wie
bekanntermaßen unverdächtige Dateien laut Hash, exakte
Datei-Duplikate, anhand von fallspezifischen Filtern, ...
grobe Auswahl potentiell relevanter Dateien anhand von
Suchtreffern (nach Suchbegriffen wie von Ermittlern
vorgegeben), mit dem Dateityp-Filter oder Hash-Sets ...
aus großen Binärdateien wie freier Speicher, Swap-Datei,
wenn z. B. aufgrund von Suchtreffern relevant, nur grob
die Umgebung der Suchtreffer herauskopieren
Erzeugung eines Suchindexes
Datei-Container
Vorarbeiten mit X-Ways Forensics Ergebnis: ein sog.
mit allen potentiell relevanten Dateien
Container
In einem Container bleiben für jede Datei erhalten:
Datei-Inhalt, Dateigröße
Dateiname in Unicode (asiatische Sprachen kein Problem)
Originalpfad (optional incl. Name des Asservats)
Löschzustand (existent, gelöscht, umbenannt, verschoben, ...)
alle Original-Zeitstempel soweit vorhanden (Erstellung,
Inhaltsänderung, Datensatzänderung, letzter Zugriff, Löschung)
DOS/Windows-Attribute, Unix/Linux-Permissions/Filemode
Kompressions- und Verschlüsselungsstatus
ggf. Klassifikation als alternativer Datenstrom, Resource, Schlupf, ...
ggf. Klassifikation als fiktive Datei (für „Freier Speicher“,
eingebettete Bilder, Thumbnails, Partitionslücken usw.)
Auch beliebige Anmerkungen zu jeder einzelnen Datei können mit
weitergegeben werden, z. B. Realname des Besitzers der Datei.
Arbeitsaufteilung
Staatsanwalt
X-Ways Forensics
Bericht
„Containerversion“
X-Ways
Investigator
virenbefreit
Container
geschütztes internes
Netz
für Ermittler mit Spezialisierungen
wie Buchprüfung, Baurecht,
Geldwäsche, Kinderpornographie, ...
für Computerspezialisten bei LKÄ,
Polizeipräsidien, …
Installationsmöglichkeiten
Jeder Ermittler hat seine eigene Installation auf eigenem Rechner.
Individuelle Konfiguration. Etwas höherer administrativer
Aufwand. Erforderlich z. B. für Ermittler im Bereich Kinderpornographie, die eigenständig CDs und DVDs einlesen.
Mehrere Ermittler teilen sich eine Installation auf einem Server.
Wahlweise individuelle Konfiguration. Netzleitung stark belastet
beim Suchen, Hashen usw.
Mehrere Ermittler teilen sich eine Installation auf einem TerminalServer. Wahlweise individuelle Konfiguration. Netzleitung wird
immer nur mit den Bildschirmdaten belastet.
Administratoren verantwortlich für Installation, Benutzerkonten und
Vergabe der Zugriffsrechte auf Verzeichnisse mit Falldaten und
Containern. Sog. Case-Manager versorgen Ermittler mit Containern
und Such-Indexen.
Individueller Funktionsumfang
Die Benutzeroberfläche von X-Ways Investigator kann von den
Administratoren zum Teil individuell weiter vereinfacht/reduziert
werden, z. B. aus Sicherheitsgründen.
Verhindern des direkten Öffnens von Datenträgern
Verhindern des Öffnens von konventionellen Images
Verhindern des Öffnens von unsicheren Containern
Verhindern der Möglichkeit, eigene Container zu erstellen
Verhindern des Herauskopierens von Nicht-Bild-Dateien in den Bericht
Ausblenden der Möglichkeit, mit Hash-Datenbanken zu arbeiten
Verhindern der Wahl fortgeschrittener Optionen
Verhindern des Ausführens komplexerer Funktionen
Slide 5
Arbeitsaufteilungsmodell für
Ermittlungsbehörden
X-Ways Investigator
(Ermittlerversion von
X-Ways Forensics)
(Konkurrenz)
Preis
Vergleich der Benutzeroberflächen
X-Ways Forensics
Normalpreis
X-Ways
Investigator
halber
Preis
weitere Vereinfachungen
u. adminstrative Sicherheitsvorkehrungen möglich
für kriminalpolizeiliche Sachbearbeiter mit
Spezialisierungen wie Buchprüfung, Baurecht,
Geldwäsche, Kinderpornographie, ...
Funktionsumfang/
Komplexität
für Computerspezialisten
X-Ways Investigator: Wichtige Funktionen
Fälle anlegen, Asservate zuordnen (Datenträger oder Images,
mit allen unterstützten Dateisystemen); optional ausschließlich
Container als Asservate, und ebenfalls optional nur als sicher
klassifizierte (d. h. virenfreie) Container („Containerversion“)
Unterschiedlich spezialisierte Ermittler können mit denselben
Containern arbeiten, in ihren eigenen Fällen, oder
schreibgeschützt im Fall eines anderen Ermittlers.
logische Suche, Suche im Index
übergreifendes Auflisten von Dateien aus allen Asservaten,
dynamische Filter, Dateien sortieren, Dateien markieren
Dateien betrachten, Dokumente ausdrucken
Dateien in Berichtstabellen aufnehmen, mit
Kommentaren versehen, damit aus fachlicher
Sicht für den Fall bewerten; Bericht erstellen
Arbeitsaufteilung
Vorarbeiten mit X-Ways Forensics, z. B.
Datenträger-Sicherung, Images verifizieren,
RAIDs zusammensetzen, gelöschte Partitionen
X-Ways Forensics
suchen lassen, ...
intensive Suche nach gelöschten Dateien laufen lassen,
Signaturprüfung, Inhalte von Archiven und in
Dokumente eingebettete Bilder aufnehmen,
verschlüsselte Dateien separat behandeln, ...
grobes Bereinigen um irrelevante Daten, wie
bekanntermaßen unverdächtige Dateien laut Hash, exakte
Datei-Duplikate, anhand von fallspezifischen Filtern, ...
grobe Auswahl potentiell relevanter Dateien anhand von
Suchtreffern (nach Suchbegriffen wie von Ermittlern
vorgegeben), mit dem Dateityp-Filter oder Hash-Sets ...
aus großen Binärdateien wie freier Speicher, Swap-Datei,
wenn z. B. aufgrund von Suchtreffern relevant, nur grob
die Umgebung der Suchtreffer herauskopieren
Erzeugung eines Suchindexes
Datei-Container
Vorarbeiten mit X-Ways Forensics Ergebnis: ein sog.
mit allen potentiell relevanten Dateien
Container
In einem Container bleiben für jede Datei erhalten:
Datei-Inhalt, Dateigröße
Dateiname in Unicode (asiatische Sprachen kein Problem)
Originalpfad (optional incl. Name des Asservats)
Löschzustand (existent, gelöscht, umbenannt, verschoben, ...)
alle Original-Zeitstempel soweit vorhanden (Erstellung,
Inhaltsänderung, Datensatzänderung, letzter Zugriff, Löschung)
DOS/Windows-Attribute, Unix/Linux-Permissions/Filemode
Kompressions- und Verschlüsselungsstatus
ggf. Klassifikation als alternativer Datenstrom, Resource, Schlupf, ...
ggf. Klassifikation als fiktive Datei (für „Freier Speicher“,
eingebettete Bilder, Thumbnails, Partitionslücken usw.)
Auch beliebige Anmerkungen zu jeder einzelnen Datei können mit
weitergegeben werden, z. B. Realname des Besitzers der Datei.
Arbeitsaufteilung
Staatsanwalt
X-Ways Forensics
Bericht
„Containerversion“
X-Ways
Investigator
virenbefreit
Container
geschütztes internes
Netz
für Ermittler mit Spezialisierungen
wie Buchprüfung, Baurecht,
Geldwäsche, Kinderpornographie, ...
für Computerspezialisten bei LKÄ,
Polizeipräsidien, …
Installationsmöglichkeiten
Jeder Ermittler hat seine eigene Installation auf eigenem Rechner.
Individuelle Konfiguration. Etwas höherer administrativer
Aufwand. Erforderlich z. B. für Ermittler im Bereich Kinderpornographie, die eigenständig CDs und DVDs einlesen.
Mehrere Ermittler teilen sich eine Installation auf einem Server.
Wahlweise individuelle Konfiguration. Netzleitung stark belastet
beim Suchen, Hashen usw.
Mehrere Ermittler teilen sich eine Installation auf einem TerminalServer. Wahlweise individuelle Konfiguration. Netzleitung wird
immer nur mit den Bildschirmdaten belastet.
Administratoren verantwortlich für Installation, Benutzerkonten und
Vergabe der Zugriffsrechte auf Verzeichnisse mit Falldaten und
Containern. Sog. Case-Manager versorgen Ermittler mit Containern
und Such-Indexen.
Individueller Funktionsumfang
Die Benutzeroberfläche von X-Ways Investigator kann von den
Administratoren zum Teil individuell weiter vereinfacht/reduziert
werden, z. B. aus Sicherheitsgründen.
Verhindern des direkten Öffnens von Datenträgern
Verhindern des Öffnens von konventionellen Images
Verhindern des Öffnens von unsicheren Containern
Verhindern der Möglichkeit, eigene Container zu erstellen
Verhindern des Herauskopierens von Nicht-Bild-Dateien in den Bericht
Ausblenden der Möglichkeit, mit Hash-Datenbanken zu arbeiten
Verhindern der Wahl fortgeschrittener Optionen
Verhindern des Ausführens komplexerer Funktionen
Slide 6
Arbeitsaufteilungsmodell für
Ermittlungsbehörden
X-Ways Investigator
(Ermittlerversion von
X-Ways Forensics)
(Konkurrenz)
Preis
Vergleich der Benutzeroberflächen
X-Ways Forensics
Normalpreis
X-Ways
Investigator
halber
Preis
weitere Vereinfachungen
u. adminstrative Sicherheitsvorkehrungen möglich
für kriminalpolizeiliche Sachbearbeiter mit
Spezialisierungen wie Buchprüfung, Baurecht,
Geldwäsche, Kinderpornographie, ...
Funktionsumfang/
Komplexität
für Computerspezialisten
X-Ways Investigator: Wichtige Funktionen
Fälle anlegen, Asservate zuordnen (Datenträger oder Images,
mit allen unterstützten Dateisystemen); optional ausschließlich
Container als Asservate, und ebenfalls optional nur als sicher
klassifizierte (d. h. virenfreie) Container („Containerversion“)
Unterschiedlich spezialisierte Ermittler können mit denselben
Containern arbeiten, in ihren eigenen Fällen, oder
schreibgeschützt im Fall eines anderen Ermittlers.
logische Suche, Suche im Index
übergreifendes Auflisten von Dateien aus allen Asservaten,
dynamische Filter, Dateien sortieren, Dateien markieren
Dateien betrachten, Dokumente ausdrucken
Dateien in Berichtstabellen aufnehmen, mit
Kommentaren versehen, damit aus fachlicher
Sicht für den Fall bewerten; Bericht erstellen
Arbeitsaufteilung
Vorarbeiten mit X-Ways Forensics, z. B.
Datenträger-Sicherung, Images verifizieren,
RAIDs zusammensetzen, gelöschte Partitionen
X-Ways Forensics
suchen lassen, ...
intensive Suche nach gelöschten Dateien laufen lassen,
Signaturprüfung, Inhalte von Archiven und in
Dokumente eingebettete Bilder aufnehmen,
verschlüsselte Dateien separat behandeln, ...
grobes Bereinigen um irrelevante Daten, wie
bekanntermaßen unverdächtige Dateien laut Hash, exakte
Datei-Duplikate, anhand von fallspezifischen Filtern, ...
grobe Auswahl potentiell relevanter Dateien anhand von
Suchtreffern (nach Suchbegriffen wie von Ermittlern
vorgegeben), mit dem Dateityp-Filter oder Hash-Sets ...
aus großen Binärdateien wie freier Speicher, Swap-Datei,
wenn z. B. aufgrund von Suchtreffern relevant, nur grob
die Umgebung der Suchtreffer herauskopieren
Erzeugung eines Suchindexes
Datei-Container
Vorarbeiten mit X-Ways Forensics Ergebnis: ein sog.
mit allen potentiell relevanten Dateien
Container
In einem Container bleiben für jede Datei erhalten:
Datei-Inhalt, Dateigröße
Dateiname in Unicode (asiatische Sprachen kein Problem)
Originalpfad (optional incl. Name des Asservats)
Löschzustand (existent, gelöscht, umbenannt, verschoben, ...)
alle Original-Zeitstempel soweit vorhanden (Erstellung,
Inhaltsänderung, Datensatzänderung, letzter Zugriff, Löschung)
DOS/Windows-Attribute, Unix/Linux-Permissions/Filemode
Kompressions- und Verschlüsselungsstatus
ggf. Klassifikation als alternativer Datenstrom, Resource, Schlupf, ...
ggf. Klassifikation als fiktive Datei (für „Freier Speicher“,
eingebettete Bilder, Thumbnails, Partitionslücken usw.)
Auch beliebige Anmerkungen zu jeder einzelnen Datei können mit
weitergegeben werden, z. B. Realname des Besitzers der Datei.
Arbeitsaufteilung
Staatsanwalt
X-Ways Forensics
Bericht
„Containerversion“
X-Ways
Investigator
virenbefreit
Container
geschütztes internes
Netz
für Ermittler mit Spezialisierungen
wie Buchprüfung, Baurecht,
Geldwäsche, Kinderpornographie, ...
für Computerspezialisten bei LKÄ,
Polizeipräsidien, …
Installationsmöglichkeiten
Jeder Ermittler hat seine eigene Installation auf eigenem Rechner.
Individuelle Konfiguration. Etwas höherer administrativer
Aufwand. Erforderlich z. B. für Ermittler im Bereich Kinderpornographie, die eigenständig CDs und DVDs einlesen.
Mehrere Ermittler teilen sich eine Installation auf einem Server.
Wahlweise individuelle Konfiguration. Netzleitung stark belastet
beim Suchen, Hashen usw.
Mehrere Ermittler teilen sich eine Installation auf einem TerminalServer. Wahlweise individuelle Konfiguration. Netzleitung wird
immer nur mit den Bildschirmdaten belastet.
Administratoren verantwortlich für Installation, Benutzerkonten und
Vergabe der Zugriffsrechte auf Verzeichnisse mit Falldaten und
Containern. Sog. Case-Manager versorgen Ermittler mit Containern
und Such-Indexen.
Individueller Funktionsumfang
Die Benutzeroberfläche von X-Ways Investigator kann von den
Administratoren zum Teil individuell weiter vereinfacht/reduziert
werden, z. B. aus Sicherheitsgründen.
Verhindern des direkten Öffnens von Datenträgern
Verhindern des Öffnens von konventionellen Images
Verhindern des Öffnens von unsicheren Containern
Verhindern der Möglichkeit, eigene Container zu erstellen
Verhindern des Herauskopierens von Nicht-Bild-Dateien in den Bericht
Ausblenden der Möglichkeit, mit Hash-Datenbanken zu arbeiten
Verhindern der Wahl fortgeschrittener Optionen
Verhindern des Ausführens komplexerer Funktionen
Slide 7
Arbeitsaufteilungsmodell für
Ermittlungsbehörden
X-Ways Investigator
(Ermittlerversion von
X-Ways Forensics)
(Konkurrenz)
Preis
Vergleich der Benutzeroberflächen
X-Ways Forensics
Normalpreis
X-Ways
Investigator
halber
Preis
weitere Vereinfachungen
u. adminstrative Sicherheitsvorkehrungen möglich
für kriminalpolizeiliche Sachbearbeiter mit
Spezialisierungen wie Buchprüfung, Baurecht,
Geldwäsche, Kinderpornographie, ...
Funktionsumfang/
Komplexität
für Computerspezialisten
X-Ways Investigator: Wichtige Funktionen
Fälle anlegen, Asservate zuordnen (Datenträger oder Images,
mit allen unterstützten Dateisystemen); optional ausschließlich
Container als Asservate, und ebenfalls optional nur als sicher
klassifizierte (d. h. virenfreie) Container („Containerversion“)
Unterschiedlich spezialisierte Ermittler können mit denselben
Containern arbeiten, in ihren eigenen Fällen, oder
schreibgeschützt im Fall eines anderen Ermittlers.
logische Suche, Suche im Index
übergreifendes Auflisten von Dateien aus allen Asservaten,
dynamische Filter, Dateien sortieren, Dateien markieren
Dateien betrachten, Dokumente ausdrucken
Dateien in Berichtstabellen aufnehmen, mit
Kommentaren versehen, damit aus fachlicher
Sicht für den Fall bewerten; Bericht erstellen
Arbeitsaufteilung
Vorarbeiten mit X-Ways Forensics, z. B.
Datenträger-Sicherung, Images verifizieren,
RAIDs zusammensetzen, gelöschte Partitionen
X-Ways Forensics
suchen lassen, ...
intensive Suche nach gelöschten Dateien laufen lassen,
Signaturprüfung, Inhalte von Archiven und in
Dokumente eingebettete Bilder aufnehmen,
verschlüsselte Dateien separat behandeln, ...
grobes Bereinigen um irrelevante Daten, wie
bekanntermaßen unverdächtige Dateien laut Hash, exakte
Datei-Duplikate, anhand von fallspezifischen Filtern, ...
grobe Auswahl potentiell relevanter Dateien anhand von
Suchtreffern (nach Suchbegriffen wie von Ermittlern
vorgegeben), mit dem Dateityp-Filter oder Hash-Sets ...
aus großen Binärdateien wie freier Speicher, Swap-Datei,
wenn z. B. aufgrund von Suchtreffern relevant, nur grob
die Umgebung der Suchtreffer herauskopieren
Erzeugung eines Suchindexes
Datei-Container
Vorarbeiten mit X-Ways Forensics Ergebnis: ein sog.
mit allen potentiell relevanten Dateien
Container
In einem Container bleiben für jede Datei erhalten:
Datei-Inhalt, Dateigröße
Dateiname in Unicode (asiatische Sprachen kein Problem)
Originalpfad (optional incl. Name des Asservats)
Löschzustand (existent, gelöscht, umbenannt, verschoben, ...)
alle Original-Zeitstempel soweit vorhanden (Erstellung,
Inhaltsänderung, Datensatzänderung, letzter Zugriff, Löschung)
DOS/Windows-Attribute, Unix/Linux-Permissions/Filemode
Kompressions- und Verschlüsselungsstatus
ggf. Klassifikation als alternativer Datenstrom, Resource, Schlupf, ...
ggf. Klassifikation als fiktive Datei (für „Freier Speicher“,
eingebettete Bilder, Thumbnails, Partitionslücken usw.)
Auch beliebige Anmerkungen zu jeder einzelnen Datei können mit
weitergegeben werden, z. B. Realname des Besitzers der Datei.
Arbeitsaufteilung
Staatsanwalt
X-Ways Forensics
Bericht
„Containerversion“
X-Ways
Investigator
virenbefreit
Container
geschütztes internes
Netz
für Ermittler mit Spezialisierungen
wie Buchprüfung, Baurecht,
Geldwäsche, Kinderpornographie, ...
für Computerspezialisten bei LKÄ,
Polizeipräsidien, …
Installationsmöglichkeiten
Jeder Ermittler hat seine eigene Installation auf eigenem Rechner.
Individuelle Konfiguration. Etwas höherer administrativer
Aufwand. Erforderlich z. B. für Ermittler im Bereich Kinderpornographie, die eigenständig CDs und DVDs einlesen.
Mehrere Ermittler teilen sich eine Installation auf einem Server.
Wahlweise individuelle Konfiguration. Netzleitung stark belastet
beim Suchen, Hashen usw.
Mehrere Ermittler teilen sich eine Installation auf einem TerminalServer. Wahlweise individuelle Konfiguration. Netzleitung wird
immer nur mit den Bildschirmdaten belastet.
Administratoren verantwortlich für Installation, Benutzerkonten und
Vergabe der Zugriffsrechte auf Verzeichnisse mit Falldaten und
Containern. Sog. Case-Manager versorgen Ermittler mit Containern
und Such-Indexen.
Individueller Funktionsumfang
Die Benutzeroberfläche von X-Ways Investigator kann von den
Administratoren zum Teil individuell weiter vereinfacht/reduziert
werden, z. B. aus Sicherheitsgründen.
Verhindern des direkten Öffnens von Datenträgern
Verhindern des Öffnens von konventionellen Images
Verhindern des Öffnens von unsicheren Containern
Verhindern der Möglichkeit, eigene Container zu erstellen
Verhindern des Herauskopierens von Nicht-Bild-Dateien in den Bericht
Ausblenden der Möglichkeit, mit Hash-Datenbanken zu arbeiten
Verhindern der Wahl fortgeschrittener Optionen
Verhindern des Ausführens komplexerer Funktionen
Slide 8
Arbeitsaufteilungsmodell für
Ermittlungsbehörden
X-Ways Investigator
(Ermittlerversion von
X-Ways Forensics)
(Konkurrenz)
Preis
Vergleich der Benutzeroberflächen
X-Ways Forensics
Normalpreis
X-Ways
Investigator
halber
Preis
weitere Vereinfachungen
u. adminstrative Sicherheitsvorkehrungen möglich
für kriminalpolizeiliche Sachbearbeiter mit
Spezialisierungen wie Buchprüfung, Baurecht,
Geldwäsche, Kinderpornographie, ...
Funktionsumfang/
Komplexität
für Computerspezialisten
X-Ways Investigator: Wichtige Funktionen
Fälle anlegen, Asservate zuordnen (Datenträger oder Images,
mit allen unterstützten Dateisystemen); optional ausschließlich
Container als Asservate, und ebenfalls optional nur als sicher
klassifizierte (d. h. virenfreie) Container („Containerversion“)
Unterschiedlich spezialisierte Ermittler können mit denselben
Containern arbeiten, in ihren eigenen Fällen, oder
schreibgeschützt im Fall eines anderen Ermittlers.
logische Suche, Suche im Index
übergreifendes Auflisten von Dateien aus allen Asservaten,
dynamische Filter, Dateien sortieren, Dateien markieren
Dateien betrachten, Dokumente ausdrucken
Dateien in Berichtstabellen aufnehmen, mit
Kommentaren versehen, damit aus fachlicher
Sicht für den Fall bewerten; Bericht erstellen
Arbeitsaufteilung
Vorarbeiten mit X-Ways Forensics, z. B.
Datenträger-Sicherung, Images verifizieren,
RAIDs zusammensetzen, gelöschte Partitionen
X-Ways Forensics
suchen lassen, ...
intensive Suche nach gelöschten Dateien laufen lassen,
Signaturprüfung, Inhalte von Archiven und in
Dokumente eingebettete Bilder aufnehmen,
verschlüsselte Dateien separat behandeln, ...
grobes Bereinigen um irrelevante Daten, wie
bekanntermaßen unverdächtige Dateien laut Hash, exakte
Datei-Duplikate, anhand von fallspezifischen Filtern, ...
grobe Auswahl potentiell relevanter Dateien anhand von
Suchtreffern (nach Suchbegriffen wie von Ermittlern
vorgegeben), mit dem Dateityp-Filter oder Hash-Sets ...
aus großen Binärdateien wie freier Speicher, Swap-Datei,
wenn z. B. aufgrund von Suchtreffern relevant, nur grob
die Umgebung der Suchtreffer herauskopieren
Erzeugung eines Suchindexes
Datei-Container
Vorarbeiten mit X-Ways Forensics Ergebnis: ein sog.
mit allen potentiell relevanten Dateien
Container
In einem Container bleiben für jede Datei erhalten:
Datei-Inhalt, Dateigröße
Dateiname in Unicode (asiatische Sprachen kein Problem)
Originalpfad (optional incl. Name des Asservats)
Löschzustand (existent, gelöscht, umbenannt, verschoben, ...)
alle Original-Zeitstempel soweit vorhanden (Erstellung,
Inhaltsänderung, Datensatzänderung, letzter Zugriff, Löschung)
DOS/Windows-Attribute, Unix/Linux-Permissions/Filemode
Kompressions- und Verschlüsselungsstatus
ggf. Klassifikation als alternativer Datenstrom, Resource, Schlupf, ...
ggf. Klassifikation als fiktive Datei (für „Freier Speicher“,
eingebettete Bilder, Thumbnails, Partitionslücken usw.)
Auch beliebige Anmerkungen zu jeder einzelnen Datei können mit
weitergegeben werden, z. B. Realname des Besitzers der Datei.
Arbeitsaufteilung
Staatsanwalt
X-Ways Forensics
Bericht
„Containerversion“
X-Ways
Investigator
virenbefreit
Container
geschütztes internes
Netz
für Ermittler mit Spezialisierungen
wie Buchprüfung, Baurecht,
Geldwäsche, Kinderpornographie, ...
für Computerspezialisten bei LKÄ,
Polizeipräsidien, …
Installationsmöglichkeiten
Jeder Ermittler hat seine eigene Installation auf eigenem Rechner.
Individuelle Konfiguration. Etwas höherer administrativer
Aufwand. Erforderlich z. B. für Ermittler im Bereich Kinderpornographie, die eigenständig CDs und DVDs einlesen.
Mehrere Ermittler teilen sich eine Installation auf einem Server.
Wahlweise individuelle Konfiguration. Netzleitung stark belastet
beim Suchen, Hashen usw.
Mehrere Ermittler teilen sich eine Installation auf einem TerminalServer. Wahlweise individuelle Konfiguration. Netzleitung wird
immer nur mit den Bildschirmdaten belastet.
Administratoren verantwortlich für Installation, Benutzerkonten und
Vergabe der Zugriffsrechte auf Verzeichnisse mit Falldaten und
Containern. Sog. Case-Manager versorgen Ermittler mit Containern
und Such-Indexen.
Individueller Funktionsumfang
Die Benutzeroberfläche von X-Ways Investigator kann von den
Administratoren zum Teil individuell weiter vereinfacht/reduziert
werden, z. B. aus Sicherheitsgründen.
Verhindern des direkten Öffnens von Datenträgern
Verhindern des Öffnens von konventionellen Images
Verhindern des Öffnens von unsicheren Containern
Verhindern der Möglichkeit, eigene Container zu erstellen
Verhindern des Herauskopierens von Nicht-Bild-Dateien in den Bericht
Ausblenden der Möglichkeit, mit Hash-Datenbanken zu arbeiten
Verhindern der Wahl fortgeschrittener Optionen
Verhindern des Ausführens komplexerer Funktionen
