Dieser Artikel wurde ursprünglich im Forensic Magazine veröffentlicht.

Die Zeit bis zur Beweisaufnahme ist wichtig. Vor allem dann, wenn die Gefahr besteht, dass relevante Falldaten verloren gehen. Eine schnellstmögliche Datenextraktion ist von größter Bedeutung – gerade dann, wenn die Daten zunächst wiederhergestellt werden müssen. Dies ist häufig bei gelöschten Nachrichten auf einem Gerät der Fall. Fehlende Daten können Lücken in der Beweisführung verursachen, die Ihre Ermittlungen behindern – doch mit den richtigen Tools und Techniken kann es möglich sein, die Nachrichten wiederherzustellen.

Was geschieht mit gelöschten Nachrichten?

Textnachrichten befinden sich in der Datenbank eines Telefons. Wenn Nachrichten von einem Benutzer gelöscht werden, werden sie in den freien Speicher der Datenbank verschoben, wo sie bis zur endgültigen Löschung verbleiben sollten. Die gelöschten Nachrichten können von diesem Speicherort wiederhergestellt werden, Sie können aber das Löschdatum möglicherweise nicht ermitteln.

Ein wichtiger Aspekt beim Umgang mit gelöschten Nachrichten ist der „Vacuum“-Prozess, d. h. das Entfernen gelöschter Daten aus der Datenbank, entweder automatisch durch den Provider oder mit dem Befehl „VACUUM“. Solange dies nicht geschieht, bleibt die Größe der Datenbank unverändert. Der Schlüssel liegt also darin, so schnell wie möglich an die Beweise zu gelangen, um die gelöschten Nachrichten aus dem freien Speicher der Datenbank wiederherzustellen.

Die schnellstmögliche Wiederherstellung dieser Dateien ist von entscheidender Bedeutung, da der „Vacuum“-Prozess auf vielen modernen Telefonen zeitnah erfolgt. Ältere Telefone, z. B. Wegwerfgeräte, bewahren gelöschte Daten möglicherweise länger auf, was die Wiederherstellung erleichtert. Dennoch können Cloud-Daten hilfreich sein, da Backups möglicherweise Duplikate von Daten enthalten, die auf dem Gerät gelöscht wurden.

So stellen Sie die gelöschten Nachrichten wieder her 

Mit dem Cellebrite Inseyets Physical Analyzer (Inseyets.PA) können Sie im analysierten Datenmodell schnell nach gelöschten Daten suchen. Das sieht dann so aus wie auf der Abbildung unten. Bitte beachten Sie, dass auf dem getesteten Gerät keine gelöschten Nachrichten vorhanden waren, daher werden gelöschte Daten unter „Netzwerke und Verbindungen“ angezeigt.

Oben sehen wir die roten Elemente, die gelöscht werden, und die entsprechenden „x“-Markierungen auf der rechten Seite. Wenn eines dieser gelöschten Objekte der Schlüssel zu Ihren Ermittlungen ist, sollten Sie die Quelldatei aufrufen, die Datenbank prüfen und sicherstellen, dass das Objekt tatsächlich gelöscht und nicht nur von Ihrem digitalen Forensik-Tool mittels Carving oder Datenanreicherung erfasst wurde.

Tools wie Physical Analyzer (PA), die Deep Carving in SQLite bieten, können Ihnen helfen, gelöschte Nachrichten wiederherzustellen, die noch auf dem Gerät vorhanden sind. Sie können dies auch durch eine Stichwortsuche in der Hex-Ansicht in PA erreichen.

Um auf einfache Weise nach gelöschten Nachrichten zu suchen, untersuchen wir zunächst die geparsten Daten, um zu prüfen, ob als gelöscht gekennzeichnete Nachrichten bereits wiederhergestellt wurden. Wenn sie gefunden werden, validieren wir dies, indem wir auf die Quelldatei klicken und die Datenbank auf Genauigkeit prüfen. Wenn jedoch keine gelöschten Nachrichten in den geparsten Daten gefunden werden, untersuchen wir die Datenbank mit dem Deep Carving- oder SQLite-Tool, um gelöschte Daten wiederherzustellen.

Im obigen Beispiel wurden KEINE gelöschten Nachrichten wiederhergestellt. Dies könnte daran liegen, dass für die Datenbank die „VACUUM“-Funktion ausgeführt wurde (die oft von den Entwicklern eingestellt wird) oder dass nichts gelöscht wurde.

Was ist, wenn Sie die Nachrichten nicht wiederherstellen können?

Es kann vorkommen, dass Sie die Nachrichten nicht wiederherstellen können. Vielleicht ist die Löschung vor einiger Zeit erfolgt und der entsprechende freie Speicherplatz wurde im Rahmen der normalen Datenbankfunktion gelöscht. Dennoch können Sie auch in diesem Szenario einige Erkenntnisse gewinnen.

In Ihrer Datenbank wird jede Nachricht in einer fortlaufenden Reihenfolge gespeichert, und wie Sie hier sehen können, fehlt der Eintrag 30. Selbst mit Deep Carving war der Eintrag 30 nicht wiederherstellbar.

Ein genauerer Blick in die Datenbank zeigt, dass die Nachricht unter Eintrag 29 am 28. April 2023 und Eintrag 31 am 1. Mai 2023 gesendet wurde. Daraus können Sie schließen, dass die fehlende Nachricht zwischen dem 28. April und dem 1. Mai gesendet wurde.

In den meisten Fällen weisen gelöschte Nachrichten darauf hin, dass jemand bewusst beschlossen hat, Informationen von seinem Gerät zu entfernen. Dies könnte auf die Absicht hindeuten, Daten zu verheimlichen oder belastende Beweise zu beseitigen.

Nicht immer lassen sich aus gelöschten Nachrichten oder Daten die benötigten Beweise wiederherstellen, und auch wenn Sie vielleicht nicht den entscheidenden Beweis finden, so können Sie doch Teilergebnisse erzielen.  Auch wenn es sich nur um Indizien handelt, können sie als Teil des Ganzen dazu beitragen, Handlungen in einen Zusammenhang zu stellen, und sogar das fehlende Puzzleteil liefern, das zur Lösung Ihres Falls beiträgt.

Über die Autoren

Heather Barnhart ist Senior Director of Community Engagement bei Cellebrite, einem weltweit führenden Anbieter von erstklassigen digitalen Ermittlungslösungen für den öffentlichen und privaten Sektor. Sie schult und berät Fachleute für digitale Forensik in Fällen rund um den Globus. Seit mehr als 20 Jahren arbeitet Heather an hochkarätigen Fällen, von Kindesmissbrauch bis hin zur Untersuchung von Osama bin Ladens digitalen Spuren. 

Als Product Specialist bei Cellebrite unterstützt Paul Lorentz regelmäßig Kunden bei der Bearbeitung komplizierter Fälle im Labor und freut sich, wenn er den Ermittlern mit Rat und Tat zur Seite stehen kann – sei es, indem er mit ihnen die Daten durchgeht oder als Gesprächspartner dient, um neue Perspektiven aufzuzeigen. Paul, ein erfahrener Veteran der Strafverfolgung, ist stolz auf sein Handwerk, weil er weiß, dass Daten zu stillen Zeugen werden, die denjenigen eine Stimme geben, die oft keine haben.

Diesen Beitrag teilen