Der FTK Imager von AccessData ist ein Standardwerkzeug in der IT-Forensik. Er dient primär dazu, eine bit-genaue, forensisch saubere Kopie (Image) eines Datenträgers zu erstellen. Dieser Prozess ist die Grundlage für fast jede weitere Analyse. Hier ist eine Anleitung zur Vorgehensweise und zu den Erkenntnissen, die man daraus zieht.

Bevor die Software gestartet wird, muss die Integrität des Beweismittels sichergestellt werden.

Schreibschutz (Write-Blocking): Das Original-Medium (z.B. eine Festplatte) muss über einen Hardware-Write-Blocker an die forensische Workstation angeschlossen werden. Dies verhindert jegliche Schreibzugriffe und damit Veränderungen am Original-Beweismittel.

Dokumentation: Führen Sie von Anfang an ein genaues Protokoll (Chain of Custody). Notieren Sie Datum, Zeit, beteiligte Personen und fotografieren Sie den Aufbau und das Asservat (inkl. Seriennummern).

Ziel-Laufwerk: Stellen Sie sicher, dass das Ziellaufwerk, auf dem das Image gespeichert wird, leer (forensisch „gewiped“) und ausreichend groß ist.

Der Prozess wird durch einen Assistenten in FTK Imager geführt.

Nach dem Start von FTK Imager wählen Sie im Menü File → Create Disk Image. Sie werden aufgefordert, den Quell-Typ anzugeben.

Source Type: Wählen Sie hier Physical Drive. Dies stellt sicher, dass der gesamte Datenträger Sektor für Sektor kopiert wird, inklusive unpartitionierter Bereiche und des Master Boot Records (MBR). Die Auswahl Logical Drive würde nur eine einzelne Partition (z.B. C:) sichern, was unvollständig wäre.

Sie müssen nun das Format für die Image-Datei festlegen. E01 (EnCase Evidence File) ist der De-facto-Industriestandard und wird empfohlen.

Füllen Sie die nachfolgende Maske sorgfältig aus. Diese Informationen werden in die Image-Datei (bei E01) eingebettet und sind ein wichtiger Teil der Dokumentation.

Case Number: Aktenzeichen oder Fallnummer

Evidence Number: Eindeutige Asservatennummer (z.B. 001)

Unique Description: Kurze Beschreibung (z.B. „HDD aus Notebook von Max Mustermann“)

Examiner: Name des durchführenden Forensikers

Wählen Sie den Zielordner und den Dateinamen für das Image. Wichtig: Aktivieren Sie die Option „Verify images after they are created“.

Start: Klicken Sie auf „Start“. Der Prozess beginnt nun. FTK Imager liest den gesamten Quelldatenträger und schreibt die Daten in die Zieldatei(en).

Nachdem das Image geschrieben wurde, startet automatisch der Verifizierungsprozess. FTK Imager liest das gerade erstellte Image erneut und berechnet dessen Hashwert.

Der reine Vorgang des Imaging liefert bereits entscheidende, gerichtsverwertbare Fakten:

Nachweis der Integrität: Am Ende des Prozesses zeigt FTK Imager eine Zusammenfassung an. Dort werden die berechneten Hashwerte (MD5 und SHA1) des Original-Laufwerks und des erstellten Images gegenübergestellt. Wenn diese Werte identisch sind, haben Sie den mathematischen Beweis, dass Ihre Kopie eine exakte 1:1-Kopie des Originals ist. Dieser Schritt ist der wichtigste für die Gerichtsverwertbarkeit.

Hardware-Dokumentation: Die Software protokolliert technische Details des Original-Datenträgers wie Modell, Seriennummer und Größe.

Fehlerhafte Sektoren: FTK Imager meldet und protokolliert Lesefehler (Bad Sectors). Dies kann ein Hinweis auf einen physischen Defekt des Datenträgers sein.

Das Image ist nun die Grundlage für die eigentliche Analyse. Mit FTK Imager selbst können Sie bereits eine erste Sichtung durchführen, ohne das Original zu gefährden:

Sichere Dateisystem-Analyse: Sie können das Image in FTK Imager öffnen (File → Add Evidence Item) und durch die Verzeichnisstruktur navigieren, als wäre es ein normales Laufwerk. Sie sehen alle Dateien, auch versteckte und Systemdateien.

Wiederherstellung gelöschter Daten: FTK Imager zeigt gelöschte Dateien an und erlaubt deren Export. Das Image enthält auch den unallocated space, in dem die Inhalte dieser Dateien noch liegen.

Vorschau und Export: Sie können Dateien direkt im Programm ansehen (Texte, Bilder etc.) und gezielt exportieren, ohne das Image zu verändern.

Metadaten-Sichtung: Sie können grundlegende Metadaten von Dateien (Erstellt, Geändert, Letzter Zugriff - MAC-Times) einsehen.

Suche im Arbeitsspeicher: Wenn Sie ein Image des Arbeitsspeichers (RAM) erstellt haben, können Sie dieses nach Passwörtern im Klartext, IP-Adressen, Chat-Fragmenten und anderer flüchtiger Evidenz durchsuchen.

Diese Anleitung beschreibt das methodisch saubere Vorgehen zur Erstellung einer bit-genauen Kopie (Image) eines Datenträgers mit dem Werkzeug Guymager. Das Ziel ist nicht nur die reine Kopie, sondern die Einhaltung forensischer Prinzipien, um die Gerichtsverwertbarkeit des Images sicherzustellen.

Bevor Guymager gestartet wird, müssen die Rahmenbedingungen stimmen. Dieser Schritt ist entscheidend für die forensische Korrektheit.

1. Physischer Schreibschutz (Write-Blocker): Das Original-Beweismittel (Source) muss über einen Hardware-Write-Blocker mit der forensischen Workstation verbunden werden. Dies ist die einzige Garantie dafür, dass keine Daten auf dem Original verändert werden.

2. Forensisch sauberes Zielmedium (Destination): Der Datenträger, auf dem das Image gespeichert werden soll, muss ausreichend groß und nachweislich leer sein (z.B. durch einen vorherigen Wipe-Vorgang). Dies verhindert eine Kontamination der Beweise.

3. Lückenlose Dokumentation: Beginnen Sie Ihr Untersuchungsprotokoll (Chain of Custody). Dokumentieren Sie Datum, Uhrzeit, Fallnummer, Asservatennummer, Seriennummern der Geräte (Beweismittel, Write-Blocker, Zieldatenträger) und machen Sie Fotos vom Aufbau.

Führen Sie Guymager mit administrativen Rechten aus (z.B. via sudo guymager).

Guymager listet nach dem Start alle erkannten Laufwerke auf.

Identifizieren Sie das korrekte Quell-Laufwerk anhand seiner Bezeichnung (z.B. /dev/sdb), Größe und des Herstellermodells. Guymager hilft dabei, indem es Systemlaufwerke der Workstation markiert, um Verwechslungen zu vermeiden.

Klicken Sie mit der rechten Maustaste auf das Quell-Laufwerk und wählen Sie „Acquire image“.

Ein Konfigurationsfenster öffnet sich. Hier werden alle Parameter für das forensisch saubere Image festgelegt.

Reiter „Format“:

File format: Wählen Sie „Linux DD raw image“ für maximale Kompatibilität oder „Expert Witness Compression Format (EWF/E01)“.

Empfehlung: E01 ist der Industriestandard. Es bietet Komprimierung, teilt das Image in handhabbare Segmente und speichert Metadaten direkt in der Datei.

Split image files: Legen Sie eine Segmentgröße fest (z.B. 2048 MiB), um das Image in kleinere Dateien aufzuteilen.

Reiter „Destination“:

Image directory: Wählen Sie den Ordner auf Ihrem Ziel-Laufwerk.

Image filename: Geben Sie einen aussagekräftigen Dateinamen nach einem festen Schema ein, z.B. Fallnummer_Asservatennummer_Datum (Bsp: 2025-09-15_A01_System-HDD).

Reiter „Hash calculation / verification“:

Hashes to calculate: Aktivieren Sie MD5 und mindestens SHA1 oder SHA256. Die Berechnung mehrerer Hashes erhöht die Beweiskraft.

Verify image after acquisition: Diese Option ist zwingend erforderlich. Guymager berechnet nach dem Schreibvorgang den Hashwert des erstellten Images erneut und vergleicht ihn mit dem Hash des Originals.

Reiter „Case information“:

Füllen Sie die Metadaten-Felder sorgfältig aus. Diese Informationen werden Teil der Log-Datei und (bei E01) des Images selbst.

Case number: Fallnummer

Evidence number: Asservatennummer

Examiner: Name des Forensikers

Description: Kurzbeschreibung des Asservats

Klicken Sie auf „Start“. Der Imaging-Prozess beginnt.

Das Statusfenster zeigt nun in Echtzeit den Fortschritt, die Lesegeschwindigkeit, gefundene Fehler (Bad Sectors) und die verbleibende Zeit an.

Warten Sie, bis der Lese- (Acquisition) und der anschließende Verifizierungs-Prozess (Verification) vollständig abgeschlossen sind.

Nach erfolgreichem Abschluss finden Sie im Zielordner:

Die Image-Datei(en): Z.B. 2025-09-15_A01_System-HDD.E01, …E02, usw.

Die Info-Datei: Z.B. 2025-09-15_A01_System-HDD.info. Diese Textdatei ist ein essentieller Teil Ihrer Dokumentation.

Die .info-Datei enthält:

Alle von Ihnen eingegebenen Fall-Informationen.

Genaue technische Details zum Quell-Laufwerk (Hersteller, Modell, Seriennummer).

Den exakten Start- und Endzeitpunkt des Prozesses.

Die berechneten Hashwerte (MD5, SHA1/256) der Quelle.

Die berechneten Hashwerte des Images nach der Verifizierung.

Eine Liste aller Lesefehler, falls vorhanden.

Ein Image ist dann „forensisch korrekt“ erstellt, wenn Sie die folgenden Punkte zweifelsfrei belegen können:

Unveränderlichkeit: Der Einsatz eines Hardware-Write-Blockers hat das Original geschützt.

Vollständigkeit: Das Image ist eine bit-genaue Kopie des Originals.

Integrität: Der Hashwert der Quelle und der Hashwert des Images sind identisch. Dies wird in der .info-Datei von Guymager bestätigt und ist der mathematische Beweis für eine 1:1-Kopie.

Dokumentation: Der gesamte Prozess wurde sowohl manuell im Untersuchungsprotokoll als auch automatisch durch die .info-Datei von Guymager lückenlos dokumentiert.

Sichern Sie die erstellten Image-Dateien sowie die .info-Datei zusammen mit Ihrem Untersuchungsprotokoll als Teil der Fallakte. Die Analyse findet nun ausschließlich auf den Image-Dateien statt.

Das Linux-Standardwerkzeug dd kann für das forensische Imaging verwendet werden. Es erstellt eine exakte bit-genaue Kopie, erfordert jedoch absolute Sorgfalt und manuelle Zusatzschritte, um als forensisch korrekt zu gelten.

1. Physischer Schreibschutz (Write-Blocker): Verbinden Sie den Original-Datenträger zwingend über einen Hardware-Write-Blocker mit Ihrer forensischen Workstation.

2. Sauberes Zielmedium: Stellen Sie sicher, dass das Ziellaufwerk, auf dem das Image gespeichert wird, ausreichend groß und forensisch sauber (gewiped) ist.

3. Lückenlose Dokumentation: Führen Sie ein genaues Protokoll (Chain of Custody). Notieren Sie alle Schritte, Zeiten, Gerätedaten und erstellen Sie Fotos vom Aufbau.

4. Terminal öffnen: Alle folgenden Befehle werden in einem Linux-Terminal ausgeführt.

Der Prozess besteht aus mehreren manuellen Schritten, die exakt befolgt werden müssen.

Identifizieren Sie die Gerätedateien des Quell- und Ziellaufwerks. Führen Sie den Befehl mit administrativen Rechten aus.

sudo fdisk -l

oder

lsblk -o NAME,SIZE,MODEL,SERIAL

Die Ausgabe listet alle Laufwerke auf. Identifizieren Sie Ihr Quell-Laufwerk (z.B. /dev/sdb) und den Einhängepunkt Ihres Ziel-Laufwerks (z.B. /mnt/forensic_drive). Eine Verwechslung an dieser Stelle ist fatal!

Bevor Sie kopieren, müssen Sie den Hashwert des kompletten Original-Datenträgers berechnen. Dieser Wert ist der Referenzwert für die spätere Verifizierung.

sudo sha256sum /dev/sdb

Dieser Vorgang kann je nach Größe des Datenträgers lange dauern. Kopieren Sie den ausgegebenen Hashwert exakt in Ihre Dokumentation.

Beispiel-Ausgabe:

a1b2c3d4e5f6[...]7890  /dev/sdb

Nun wird die bit-genaue Kopie erstellt. Der folgende Befehl enthält wichtige Parameter für den forensischen Einsatz:

if= : Input File (Ihre Quelle, z.B. /dev/sdb)

of= : Output File (Ihr Ziel, z.B. /mnt/forensic_drive/image.dd)

bs= : Block Size (definiert die Les- und Schreib-Größe, 4M ist ein guter Standardwert für die Geschwindigkeit)

conv=noerror,sync :

noerror: Ignoriert Lesefehler (Bad Sectors) und bricht nicht ab.

sync: Füllt die durch Lesefehler entstandenen Lücken in der Kopie mit Null-Bytes. Dies stellt sicher, dass die Daten-Offsets im Image mit dem Original übereinstimmen.

Führen Sie den Befehl aus:

sudo dd if=/dev/sdb of=/mnt/forensic_drive/image.dd bs=4M conv=noerror,sync

Tipp für eine Fortschrittsanzeige: dd zeigt standardmäßig keinen Fortschritt an. Sie können das Tool pv (Pipe Viewer) verwenden, um den Fortschritt zu sehen (muss eventuell nachinstalliert werden: sudo apt install pv):

sudo dd if=/dev/sdb bs=4M conv=noerror,sync | pv | sudo dd of=/mnt/forensic_drive/image.dd

Nachdem der Kopiervorgang abgeschlossen ist, berechnen Sie den Hashwert der erstellten Image-Datei.

sha256sum /mnt/forensic_drive/image.dd

Kopieren Sie auch diesen Hashwert exakt in Ihre Dokumentation.

Beispiel-Ausgabe:

a1b2c3d4e5f6[...]7890  /mnt/forensic_drive/image.dd

Dies ist der entscheidende Schritt zur Verifizierung. Vergleichen Sie den Hashwert des Originals (aus Schritt 2) mit dem Hashwert der Kopie (aus Schritt 4).

Sind die Hashwerte absolut identisch? Herzlichen Glückwunsch. Sie haben den mathematischen Beweis erbracht, dass es sich bei Ihrer Kopie um ein exaktes, unverändertes 1:1-Abbild des Originals handelt.

Weichen die Hashwerte voneinander ab? Der Prozess ist fehlgeschlagen. Das Image ist forensisch wertlos. Mögliche Ursachen sind ein defekter Write-Blocker, fehlerhafter RAM in der Workstation oder ein Fehler im Vorgehen.

Ein mit dd erstelltes Image ist nur dann forensisch korrekt, wenn der gesamte Prozess lückenlos dokumentiert wurde. Ihre finale Dokumentation muss enthalten:

Alle Befehle, die Sie eingegeben haben.

Die vollständigen Terminal-Ausgaben, insbesondere die Hash-Berechnungen.

Die Ergebnisse des Hash-Vergleichs.

Alle Informationen aus Ihrer manuellen Protokollierung (Zeiten, Personen, Fotos etc.).

Die erstellte .dd-Datei (ein sogenanntes RAW-Image) kann nun für die Analyse in forensische Software wie Autopsy oder den FTK Imager geladen werden.