Der FTK Imager von AccessData ist ein Standardwerkzeug in der IT-Forensik. Er dient primär dazu, eine bit-genaue, forensisch saubere Kopie (Image) eines Datenträgers zu erstellen. Dieser Prozess ist die Grundlage für fast jede weitere Analyse. Hier ist eine Anleitung zur Vorgehensweise und zu den Erkenntnissen, die man daraus zieht.

Bevor die Software gestartet wird, muss die Integrität des Beweismittels sichergestellt werden.

Schreibschutz (Write-Blocking): Das Original-Medium (z.B. eine Festplatte) muss über einen Hardware-Write-Blocker an die forensische Workstation angeschlossen werden. Dies verhindert jegliche Schreibzugriffe und damit Veränderungen am Original-Beweismittel.

Dokumentation: Führen Sie von Anfang an ein genaues Protokoll (Chain of Custody). Notieren Sie Datum, Zeit, beteiligte Personen und fotografieren Sie den Aufbau und das Asservat (inkl. Seriennummern).

Ziel-Laufwerk: Stellen Sie sicher, dass das Ziellaufwerk, auf dem das Image gespeichert wird, leer (forensisch „gewiped“) und ausreichend groß ist.

Der Prozess wird durch einen Assistenten in FTK Imager geführt.

Nach dem Start von FTK Imager wählen Sie im Menü File → Create Disk Image. Sie werden aufgefordert, den Quell-Typ anzugeben.

Source Type: Wählen Sie hier Physical Drive. Dies stellt sicher, dass der gesamte Datenträger Sektor für Sektor kopiert wird, inklusive unpartitionierter Bereiche und des Master Boot Records (MBR). Die Auswahl Logical Drive würde nur eine einzelne Partition (z.B. C:) sichern, was unvollständig wäre.

Sie müssen nun das Format für die Image-Datei festlegen. E01 (EnCase Evidence File) ist der De-facto-Industriestandard und wird empfohlen.

Füllen Sie die nachfolgende Maske sorgfältig aus. Diese Informationen werden in die Image-Datei (bei E01) eingebettet und sind ein wichtiger Teil der Dokumentation.

Case Number: Aktenzeichen oder Fallnummer

Evidence Number: Eindeutige Asservatennummer (z.B. 001)

Unique Description: Kurze Beschreibung (z.B. „HDD aus Notebook von Max Mustermann“)

Examiner: Name des durchführenden Forensikers

Wählen Sie den Zielordner und den Dateinamen für das Image. Wichtig: Aktivieren Sie die Option „Verify images after they are created“.

Start: Klicken Sie auf „Start“. Der Prozess beginnt nun. FTK Imager liest den gesamten Quelldatenträger und schreibt die Daten in die Zieldatei(en).

Nachdem das Image geschrieben wurde, startet automatisch der Verifizierungsprozess. FTK Imager liest das gerade erstellte Image erneut und berechnet dessen Hashwert.

Der reine Vorgang des Imaging liefert bereits entscheidende, gerichtsverwertbare Fakten:

Nachweis der Integrität: Am Ende des Prozesses zeigt FTK Imager eine Zusammenfassung an. Dort werden die berechneten Hashwerte (MD5 und SHA1) des Original-Laufwerks und des erstellten Images gegenübergestellt. Wenn diese Werte identisch sind, haben Sie den mathematischen Beweis, dass Ihre Kopie eine exakte 1:1-Kopie des Originals ist. Dieser Schritt ist der wichtigste für die Gerichtsverwertbarkeit.

Hardware-Dokumentation: Die Software protokolliert technische Details des Original-Datenträgers wie Modell, Seriennummer und Größe.

Fehlerhafte Sektoren: FTK Imager meldet und protokolliert Lesefehler (Bad Sectors). Dies kann ein Hinweis auf einen physischen Defekt des Datenträgers sein.

Das Image ist nun die Grundlage für die eigentliche Analyse. Mit FTK Imager selbst können Sie bereits eine erste Sichtung durchführen, ohne das Original zu gefährden:

Sichere Dateisystem-Analyse: Sie können das Image in FTK Imager öffnen (File → Add Evidence Item) und durch die Verzeichnisstruktur navigieren, als wäre es ein normales Laufwerk. Sie sehen alle Dateien, auch versteckte und Systemdateien.

Wiederherstellung gelöschter Daten: FTK Imager zeigt gelöschte Dateien an und erlaubt deren Export. Das Image enthält auch den unallocated space, in dem die Inhalte dieser Dateien noch liegen.

Vorschau und Export: Sie können Dateien direkt im Programm ansehen (Texte, Bilder etc.) und gezielt exportieren, ohne das Image zu verändern.

Metadaten-Sichtung: Sie können grundlegende Metadaten von Dateien (Erstellt, Geändert, Letzter Zugriff - MAC-Times) einsehen.

Suche im Arbeitsspeicher: Wenn Sie ein Image des Arbeitsspeichers (RAM) erstellt haben, können Sie dieses nach Passwörtern im Klartext, IP-Adressen, Chat-Fragmenten und anderer flüchtiger Evidenz durchsuchen.

Diese Anleitung beschreibt das methodisch saubere Vorgehen zur Erstellung einer bit-genauen Kopie (Image) eines Datenträgers mit dem Werkzeug Guymager. Das Ziel ist nicht nur die reine Kopie, sondern die Einhaltung forensischer Prinzipien, um die Gerichtsverwertbarkeit des Images sicherzustellen.

Bevor Guymager gestartet wird, müssen die Rahmenbedingungen stimmen. Dieser Schritt ist entscheidend für die forensische Korrektheit.

1. Physischer Schreibschutz (Write-Blocker): Das Original-Beweismittel (Source) muss über einen Hardware-Write-Blocker mit der forensischen Workstation verbunden werden. Dies ist die einzige Garantie dafür, dass keine Daten auf dem Original verändert werden.

2. Forensisch sauberes Zielmedium (Destination): Der Datenträger, auf dem das Image gespeichert werden soll, muss ausreichend groß und nachweislich leer sein (z.B. durch einen vorherigen Wipe-Vorgang). Dies verhindert eine Kontamination der Beweise.

3. Lückenlose Dokumentation: Beginnen Sie Ihr Untersuchungsprotokoll (Chain of Custody). Dokumentieren Sie Datum, Uhrzeit, Fallnummer, Asservatennummer, Seriennummern der Geräte (Beweismittel, Write-Blocker, Zieldatenträger) und machen Sie Fotos vom Aufbau.

Führen Sie Guymager mit administrativen Rechten aus (z.B. via sudo guymager).

Guymager listet nach dem Start alle erkannten Laufwerke auf.

Identifizieren Sie das korrekte Quell-Laufwerk anhand seiner Bezeichnung (z.B. /dev/sdb), Größe und des Herstellermodells. Guymager hilft dabei, indem es Systemlaufwerke der Workstation markiert, um Verwechslungen zu vermeiden.

Klicken Sie mit der rechten Maustaste auf das Quell-Laufwerk und wählen Sie „Acquire image“.

Ein Konfigurationsfenster öffnet sich. Hier werden alle Parameter für das forensisch saubere Image festgelegt.

Reiter „Format“:

File format: Wählen Sie „Linux DD raw image“ für maximale Kompatibilität oder „Expert Witness Compression Format (EWF/E01)“.

Empfehlung: E01 ist der Industriestandard. Es bietet Komprimierung, teilt das Image in handhabbare Segmente und speichert Metadaten direkt in der Datei.

Split image files: Legen Sie eine Segmentgröße fest (z.B. 2048 MiB), um das Image in kleinere Dateien aufzuteilen.

Reiter „Destination“:

Image directory: Wählen Sie den Ordner auf Ihrem Ziel-Laufwerk.

Image filename: Geben Sie einen aussagekräftigen Dateinamen nach einem festen Schema ein, z.B. Fallnummer_Asservatennummer_Datum (Bsp: 2025-09-15_A01_System-HDD).

Reiter „Hash calculation / verification“:

Hashes to calculate: Aktivieren Sie MD5 und mindestens SHA1 oder SHA256. Die Berechnung mehrerer Hashes erhöht die Beweiskraft.

Verify image after acquisition: Diese Option ist zwingend erforderlich. Guymager berechnet nach dem Schreibvorgang den Hashwert des erstellten Images erneut und vergleicht ihn mit dem Hash des Originals.

Reiter „Case information“:

Füllen Sie die Metadaten-Felder sorgfältig aus. Diese Informationen werden Teil der Log-Datei und (bei E01) des Images selbst.

Case number: Fallnummer

Evidence number: Asservatennummer

Examiner: Name des Forensikers

Description: Kurzbeschreibung des Asservats

Klicken Sie auf „Start“. Der Imaging-Prozess beginnt.

Das Statusfenster zeigt nun in Echtzeit den Fortschritt, die Lesegeschwindigkeit, gefundene Fehler (Bad Sectors) und die verbleibende Zeit an.

Warten Sie, bis der Lese- (Acquisition) und der anschließende Verifizierungs-Prozess (Verification) vollständig abgeschlossen sind.

Nach erfolgreichem Abschluss finden Sie im Zielordner:

Die Image-Datei(en): Z.B. 2025-09-15_A01_System-HDD.E01, …E02, usw.

Die Info-Datei: Z.B. 2025-09-15_A01_System-HDD.info. Diese Textdatei ist ein essentieller Teil Ihrer Dokumentation.

Die .info-Datei enthält:

Alle von Ihnen eingegebenen Fall-Informationen.

Genaue technische Details zum Quell-Laufwerk (Hersteller, Modell, Seriennummer).

Den exakten Start- und Endzeitpunkt des Prozesses.

Die berechneten Hashwerte (MD5, SHA1/256) der Quelle.

Die berechneten Hashwerte des Images nach der Verifizierung.

Eine Liste aller Lesefehler, falls vorhanden.

Ein Image ist dann „forensisch korrekt“ erstellt, wenn Sie die folgenden Punkte zweifelsfrei belegen können:

Unveränderlichkeit: Der Einsatz eines Hardware-Write-Blockers hat das Original geschützt.

Vollständigkeit: Das Image ist eine bit-genaue Kopie des Originals.

Integrität: Der Hashwert der Quelle und der Hashwert des Images sind identisch. Dies wird in der .info-Datei von Guymager bestätigt und ist der mathematische Beweis für eine 1:1-Kopie.

Dokumentation: Der gesamte Prozess wurde sowohl manuell im Untersuchungsprotokoll als auch automatisch durch die .info-Datei von Guymager lückenlos dokumentiert.

Sichern Sie die erstellten Image-Dateien sowie die .info-Datei zusammen mit Ihrem Untersuchungsprotokoll als Teil der Fallakte. Die Analyse findet nun ausschließlich auf den Image-Dateien statt.