Wenn ich einen USB Stick komplett kopiere. Hinterlässt das Spuren auf dem USB Stick?
OK Danke, gibt es Protokolle, z. B. im LOST.DIR oder im Cache?
2 Antworten
Jein!
Das Klonen zB hinterlässt auf dem Quell-Stick keine Spuren aber auf dem Ziel-Stick schon.
Das Kopieren von Daten kann je nach Einstellung des OS oder Dateisystems Zugriffszeiten verändern die man dann aus den entsprechenden Metadaten im Dateisystemkatalog ermitteln kann.
Außerdem wird zB in Windows in der Registry vermerkt, dass der Quell- und Ziel-Stick angeschlossen waren.
Es gibt eventuell auch Logs und Spuren in der Firmware des Sticks wenn zB einzelne Sektoren scher zu lesen waren und zum ausmappen markiert wurden - auch das kann theoretisch vorkommen.
Eventuell gibt es Einträge in Logdaten des Computers je nach dem ob es kleine Probleme beim kopieren gab. Es kann sogar Spuren in Form von Vorschaubildern geben die zwar dann nicht beweisen das du etwas kopiert hast aber sie beweisen das du drauf zugegriffen hast.
Dann gibt es noch Dinge wie Shellbags unter Windows die genutzt werden können um zu zeigen das du auf bestimmte Ordner zugegriffen hast.
Also nehmen wir jetzt mal den Fall das du etwas auf Win 10 kopierst und die Zugriffszeiten auch aktualisiert wurden dann sehe ich bei einer forensischen Untersuchung deines PC und der Sticks zB folgendes:
- Zugriff auf den Quell-Stick (Shellbags)
- Zugriff auf den Ziel-Stick (Shellbags)
- Update aller Zugriffszeiten am Quell-Stick die zeitlich damit übereinstimmen würden wie lange das kopieren dauert.
Das spricht dann schon eine recht deutliche Sprache.
Es kommt aber auch immer darauf an welche Daten man zur Verfügung hat - wenn du zB am Firmen-PC Daten unberechtigt vom Firmen-Stick auf einen privaten Stick kopierst und ich dann zB den Firmen-PC und den Stick untersuchen kann, dann ist so etwas wahrscheinlich gut nachweisbar.
Habe ich nur den Quell-Stick und nichts weiter, wird es schwerer.
Außerdem ist es eine Preisfrage - wenn ich Firmware, Dateisystemkatalog und alles andere zerlegen muss, kommt eine hohe 4-stellige Summe an Kosten heraus. Diese muss auch jemand bereit sein zu zahlen.
Klaust du zB einer Firma deren Geschäftsgeheimnisse im Wert von zig Millionen dann wird eine entsprechende Untersuchung sicher auch gemacht. Dein großer Bruder wird es eher nicht bezahlen um zu beweisen das du zB seine Pornosammlung kopiert hast ;-)
Auf dem Quell-Stick wird nichts verändert.
Unter Umständen doch - zB in der Firmware-Area bzw. Service-Area. Diese kann man dann mit entsprechenden Tools ebenfalls untersuchen. Ist allerdings ein extremer Aufwand.
Gleiches gilt für den Zeitpunkt des letzten Zugriffs. Das hängt aber von OS-Einstellungen bzw. Dateisystem ab.
Auf dem Ziel-Stick allerdings schon.
Das ist klar das auf dem Ziel Stick Daten geschrieben werden. Das versteht sich ja von selbst.
Viele Betriebs Systeme (darunter auch Windows) ändern oder fügen nemlich Metadaten hinzu, was die dateien auf dem Ziel stick ändert.
Nicht nur da - Vorschaubilder, Ordnereinstellungen, etc. landen auch auf dem PC auf dem kopiert wurde.
Auch auf dem Haupt system wird dieser Transwer vermekt und Gespeichert.
Genau das meinte ich.
Unter Umständen doch - zB in der Firmware-Area bzw. Service-Area. Diese kann man dann mit entsprechenden Tools ebenfalls untersuchen. Ist allerdings ein extremer Aufwand.
Oder noch einfacher: Verwechsle nie die Meta-Daten einer Datei mit dem Daten einer Datei. 😉
Je nach Betriebssystem darf mach auch Systemlogs nie vergessen.
Ein Normal-User dürfte aber den Kopiervorgang auf dem Quelldatenträger nicht nachvollziehen können.
Selbst Profis müssten gezielt danach suchen.
Verwechsle nie die Meta-Daten einer Datei mit dem Daten einer Datei.
Stimmt, aber wir sprechen hier nicht vom Metadaten allein. Je nach Firmware gibt es einige Dinge die Nutzungsstatistiken und den Verschließ von Speicherblöcken vermerken.
Diese kann man nur Auslesen indem man mit speziellen Tools wie PC3000 arbeitet oder die Daten direkt von den Chips ließt und zusammensetzt.
Da stehen aber auch schon 8 oder 9 von 10 Forensikern an. Bei einer HDD könnte ich da eventuell was finden - mit der Firmware eines USB-Stickt habe ich mich nie so intensiv beschäftigt.
Wenn du ihn kopierst, dann bleiben die Daten auf den Stick unberührt
Falsch - es kann durchaus Spuren im Dateisystem oder der Firmware geben, die zumindest auf Zugriffe hindeuten...
Zugriffe hat man aber auch bei der normalen Benutzung. Aus diesen Spuren kann man also nicht auf ein Klonen des Sticks schließen.
Stimmt - siehe meine Antwort als ganzes. Ich kann ja nicht immer alles jedem als Kommentar nochmal reinkopieren.
Auf dem Quell-Stick wird nichts verändert.
Auf dem Ziel-Stick allerdings schon.
Viele Betriebs Systeme (darunter auch Windows) ändern oder fügen nemlich Metadaten hinzu, was die dateien auf dem Ziel stick ändert.
Auch auf dem Haupt system wird dieser Transwer vermekt und Gespeichert.